所有権転送のためにアカウントを認可する

所有権のGmail転送機能を使用するには、Google Cloudプロジェクトとサービスアカウントをセットアップする必要があります。代理人の追加およびメールの転送に必要なAPIエンドポイントは、ドメイン全体の権限を付与されているサービスアカウントでのみ使用できます。

開始する前に

Google WorkspaceドメインとGoogle Cloud Platformへの管理者アクセス権を持っている必要があります。

Google Cloudプロジェクトタスク

Google Cloud Platformインターフェイス(https://console.cloud.google.com)で以下のGoogle Cloudプロジェクトタスクを完了します。

プロジェクトを作成する

  1. 上部のナビゲーションバーで、クイックスタート(Quickstart)ドロップダウンリストをクリックします。現在選択されているプロジェクトが表示されます。

  2. ドロップダウンリストから、組織を選択し、新規プロジェクト(NEW PROJECT)をクリックします。

  3. プロジェクト名(Project name)フィールドにプロジェクト名を入力し、作成(CREATE)をクリックします。

  4. 上部のナビゲーションバーで、クイックスタート(Quickstart)ドロップダウンリストから新規プロジェクトを選択します。

  5. プロジェクトダッシュボードのプロジェクト情報(Project info)パネルで、ユーザーをこのプロジェクトに追加する(ADD PEOPLE TO THIS PROJECT)をクリックします。

  6. Gmail接続の認可に使用したGoogle Workspaceサービスアカウントを、Viewerロールを持つNew Principalとして追加します。

プロジェクトのGmail APIを有効にする

  1. 左側のナビゲーションペインで、APIとサービス(APIs & Services) > ライブラリ(Library)を選択します。

  2. 検索フィールドに、Gmailと入力します。

  3. Gmail API をクリックし、Gmail API(Enable)ページの有効化(Enable)(Gmail API)をクリックします。

サービスアカウントを作成する

  1. 左側のナビゲーションペインで、IAMと管理者(IAM & Admin) > サービスアカウント(Service Accounts)を選択します。

  2. サービスアカウント(Service accounts)ページの上部にあるサービスアカウントの作成(CREATE SERVICE ACCOUNT)をクリックします。

  3. サービスアカウントの詳細(Service account details)セクションでサービスアカウント名と説明(オプション)を追加し、完了(DONE)をクリックします。

  4. リストから編集するサービスアカウントを選択します。

  5. 権限(PERMISSIONS)タブのアクセス付与(GRANT ACCESS)をクリックします。

  6. Gmail接続の認可に使用したGoogle Workspaceアカウントを、New Principalとして追加します。

  7. 以下のロールをこのアカウントに追加します。

    • Service Account User

    • Service Account Token Creator

    保存(Save)をクリックして変更を確認します。

  8. 詳細(DETAILS)タブで一意のID(Unique ID)を記録します。これは、サービスアカウントのリストに表示されたOAuth 2.0のクライアントID(Client ID)と同じです。

Google Cloudのサービスアカウントの詳細については、「サービスアカウントに対するアクセス権の管理」を参照してください。

Google管理タスク

Google Admin Consolehttps://admin.google.com)で以下の管理タスクを完了します。

権限のドメイン全体の委任をセットアップする

APIエンドポイントを使用して代理人の追加またはユーザーのメールの転送を行うには、ドメイン全体の権限を持つGoogle Cloudサービスアカウントが必要です。

サービスアカウントのドメイン全体の権限を有効化することで、ユーザーのデータ側で手動の権限を設定することなくサービスアカウントがアクセス可能になります。

  1. 左側のナビゲーションペインで、セキュリティ(Security) > データアクセスと制御(Access data and control) > API制御(API controls)に移動します。

  2. ドメイン全体の委任の管理(MANAGE DOMAIN WIDE DELEGATION)をクリックします。

  3. 新規追加(Add new)をクリックしてAPIクライアントを追加します。

  4. 前のタスクでコピーしたサービスアカウントのクライアントID(Client ID)クライアント名(Client Name)フィールドに入力します。

サービスアカウントにスコープを登録して追加する

  1. 代理人の追加またはメールの転送に必要なスコープを追加します。

    • https://www.googleapis.com/auth/gmail.settings.basic

    • https://www.googleapis.com/auth/gmail.settings.sharing

  2. 認可(Authorize)をクリックし、保存(Save)をクリックします。

サービスアカウントはGoogle Workspaceドメインのユーザーのデータにアクセスできるようになりました。

Okta Workflowsで所有権の転送をテストする

  1. Workflowsコンソールでフローを作成し、Google Cloudプロジェクトとサービスアカウントを使用するアクションカードのいずれかを追加します。

  2. カードのオプション(Options)には、Google Cloud Platformプロジェクト(Google Cloud Platform Project)サービスアカウント(Service Account)のドロップダウンリストが含まれます。これらのタスクで作成したプロジェクトとサービスアカウントが設定されているはずです。

  3. 必要に応じてカードを構成し、正常に実行されることを確認します。

関連項目

Gmailコネクター

フロー内のカード

Gmail APIのドキュメント