承認

Google Cloud Functionsカードを初めてフローに追加する際は、新しい接続を作成するよう求められます。アカウントを接続することにより、アカウント情報の保存およびコネクタを使用した次回のフロー構築時の接続の再利用が可能になります。

注:複数の接続を作成および保存して、チームと共有できます。

ヒント

ヒント

複数の接続を作成し、[Connections (接続)]ページから管理することができます。

アクションカードから新規接続を作成するには、次の手順を実行します。

  1. [New Connection (新規接続)]をクリックします。

  2. [Connection Nickname (接続ニックネーム)]を入力します。ベストプラクティスとして、複数のGoogle Cloud Functionsアカウントに接続できるようにこのニックネームを一意にします。

  3. [Project ID (プロジェクトID)]を入力して、[Create (作成)をクリックします。プロジェクトIDはプロジェクトURLから入手できます。

  4. アカウントを選択し、[Allow (許可)]をクリックします。

Google Cloud Functionsプロジェクトのセットアップ

Google Cloud FunctionsプロジェクトはGoogle Cloud Functions APIへのアクセスを提供します。コネクタのカスタムAPIアクションカードを使用することにより、承認されたユーザーはプロジェクトをAPIを呼び出すことができます。たとえば、ユーザーは特定のリージョンにデプロイされているクラウド関数を一覧表示するAPIを呼び出すことができます。Okta WorkflowsカスタムAPIアクションカードを使用してプロジェクト内のすべての関数を一覧表示するには。Google Cloud Functionsプロジェクトを正しくセットアップする必要があります。

次の手順を完了させます。

  • Google Cloud Functionsプロジェクトを作成します。

  • Google Cloud Functions APIを有効化します(ライブラリーで検索と有効化を行います)。そうしないと、ユーザーはAPIを呼び出したり、クラウド関数を呼び出したりすることができません。

  • Identity and Access Management APIを有効化します(ライブラリーで検索と有効化を行います)。そうしないと、ユーザーはクラウド関数を呼び出すことができません。

  • プロジェクトの作成時にプロジェクト名から始まるサービスアカウント(つまり、{project-name}@appspot.gserviceaccount.com)が作成されます。サービスアカウントに次のロールを追加します。

  •  Service Account Token Creator  
  • 新規クラウド関数のデフォルトのリージョンはus-central1です。

  • 同じ名前を持つクラウド関数を複数のリージョンにデプロイできることに注意してください。

  • [IAM & Admin (IAMと管理)]メニューを使用して、プロジェクトにユーザーを追加し、それらのユーザーにロールを割り当てます。

    • クラウド関数を呼び出すには、ユーザーにCloud Functions Invokerロールを割り当てる必要があります。

    • その他のロールとして、Cloud Functions AdminCloud Functions Developer、またはCloud Functions Viewerをクラウド関数に割り当てることを検討してください。

      • Cloud Functions Developerは関数の編集と呼び出しを行うことができます。

      • Cloud Functions Adminはユーザーを追加し、関数に対する権限を変更できます。

      • Cloud Functions Viewerは関数の表示のみが可能です。

さらに、以下の点に注意してください。

  • 関数の呼び出しカードを使用して認証する場合Google CloudプロジェクトIDを指定する必要があります。ユーザーは、Google Cloud Functionsプロジェクト内で割り当てられたIAMロールを使用して認証されます。

  • コネクタがGoogle Cloud関数を呼び出す際、ユーザーのIDトークン(JWT)を利用します。

  • 関数の呼び出しカードでは、ユーザーにGoogle Functions Invokerロールが必要です。セキュリティー保護されていないクラウド関数の呼び出しは関数の呼び出しカードでサポートされていませんが、ユーザーはセキュリティー保護されていない関数をカスタムAPIアクションカードを使用して呼び出すことができます。

  • セキュリティー保護された関数を作成できるのは、作成時に[Allow unauthenticated invocations (未認証の呼び出しを許可する)]チェックボックスオフにした場合のみです。作成後の関数のセキュリティー保護を有効化することはできません。適切なロールを使用してユーザーにセキュリティー保護されていない関数を割り当てても、呼び出すことはできません。

  • クラウド関数のデプロイ後、ユーザーをCloud Functions Invokerロールに追加することで、セキュリティーは独立して構成できます。

サポートされているスコープ

  • https://www.googleapis.com/auth/cloud-platform

  • https://www.googleapis.com/auth/cloudfunctions

  • openid

  • email

免責事項

Google Cloud Functions APIから受け取る情報のアプリでの使用はGoogleの限定的使用要件に従います。