所有権転送のためのアカウントの認可

所有権のGmail転送機能を使用するには、Google Cloudプロジェクトとサービスアカウントをセットアップする必要があります。代理人の追加およびメールの転送に必要なAPIエンドポイントは、ドメイン全体の権限を付与されているサービスアカウントでのみ使用できます。

開始する前に

Google WorkspaceドメインとGoogle Cloud Platformへの管理者アクセス権を持っている必要があります。

Google Cloudプロジェクトタスク

Google Cloud Platformインターフェイス(https://console.cloud.google.com)で以下のGoogle Cloudプロジェクトタスクを完了します。

プロジェクトを作成する

すでにGoogle Cloudプロジェクトがある場合は、次のタスクに進んでください。

  1. 上部のナビゲーションバーで、[Quickstart(クイックスタート)]ドロップダウンリストをクリックします。現在選択されているプロジェクトが表示されます。

  2. ドロップダウンリストから、組織を選択し、[NEW PROJECT(新規プロジェクト)]をクリックします。

  3. [Project name(プロジェクト名)]フィールドにプロジェクト名を入力し、[CREATE(作成)]をクリックします。

  4. 上部のナビゲーションバーで、[Quickstart(クイックスタート)]ドロップダウンリストから新規プロジェクトを選択します。

  5. プロジェクトダッシュボードの[プロジェクト情報]パネルで、[ADD PEOPLE TO THIS PROJECT(ユーザーをこのプロジェクトに追加する)]をクリックします。

  6. Gmail接続の認可に使用したGoogle Workspaceサービスアカウントを、Viewerロールを持つNew Principalとして追加します。

プロジェクトのGmail APIを有効にする

  1. 左側のナビゲーションペインで、[APIs & Services(APIとサービス)][Library(ライブラリ)]を選択します。

  2. 検索フィールドに、Gmailと入力します。

  3. [Gmail API] をクリックし、Gmail APIページの[Enable(有効化)]をクリックします。

サービスアカウントを作成する

  1. 左側のナビゲーションペインで、[IAM & Admin(IAMと管理者)][Service Accounts(サービスアカウント)]を選択します。

  2. [Service accounts(サービスアカウント)]ページの上部にある[CREATE SERVICE ACCOUNT(サービスアカウントの作成)]をクリックします。

  3. [Service account details(サービスアカウントの詳細)]セクションでサービスアカウント名と説明(オプション)を追加し、[DONE(完了)]をクリックします。

  4. リストから編集するサービスアカウントを選択します。

  5. [権限]タブの[GRANT ACCESS(アクセス付与)]をクリックします。

  6. Gmail接続の認可に使用したGoogle Workspaceアカウントを、New Principalとして追加します。

  7. 以下のロールをこのアカウントに追加します。

    • Service Account User

    • Service Account Token Creator

    [Save(保存)]をクリックして変更を確認します。

  8. [詳細]タブで[Unique ID(一意のID)]を記録します。これは、サービスアカウントのリストに表示されたOAuth 2.0の[Client ID(クライアントID)]と同じです。

Google Cloudのサービスアカウントの詳細については、「サービスアカウントに対するアクセス権の管理」を参照してください。

Google管理タスク

Google管理コンソールhttps://admin.google.com)で以下の管理タスクを完了します。

権限のドメイン全体の委任をセットアップする

APIエンドポイントを使用して代理人の追加またはユーザーのメールの転送を行うには、ドメイン全体の権限を持つGoogle Cloudサービスアカウントが必要です。

サービスアカウントのドメイン全体の権限を有効化することで、ユーザーのデータ側で手動の権限を設定することなくサービスアカウントがアクセス可能になります。

  1. 左側のナビゲーションペインで、[Security(セキュリティ)][Access data and control(データアクセスと制御)][API controls(API制御)]に移動します。

  2. [MANAGE DOMAIN WIDE DELEGATION(ドメイン全体の委任の管理)]をクリックします。

  3. [Add new(新規追加)]をクリックしてAPIクライアントを追加します。

  4. 前のタスクでコピーしたサービスアカウントの[Client ID(クライアントID)][Client Name(クライアント名)]フィールドに入力します。

サービスアカウントにスコープを登録して追加する

  1. 代理人の追加またはメールの転送に必要なスコープを追加します。

    • https://www.googleapis.com/auth/gmail.settings.basic

    • https://www.googleapis.com/auth/gmail.settings.sharing

  2. [Authorize(認可)]をクリックし、[Save(保存)]をクリックします。

サービスアカウントはGoogle Workspaceドメインのユーザーのデータにアクセスできるようになりました。

Okta Workflowsで所有権の転送をテストする

  1. Workflows Consoleでフローを作成し、Google Cloudプロジェクトとサービスアカウントを使用するアクションカードのいずれかを追加します。

  2. カードのオプションには、[Google Cloud Platform Project(Google Cloud Platformプロジェクト)][Service Account(サービスアカウント)]のドロップダウンリストが含まれます。これらのタスクで作成したプロジェクトとサービスアカウントが設定されているはずです。

  3. 必要に応じてカードを構成し、正常に実行されることを確認します。

関連項目

Gmailコネクター

Workflows要素

Gmail APIのドキュメント