所有権転送のためのアカウントの認可
所有権のGmail転送機能を使用するには、Google Cloudプロジェクトとサービスアカウントをセットアップする必要があります。代理人の追加およびメールの転送に必要なAPIエンドポイントは、ドメイン全体の権限を付与されているサービスアカウントでのみ使用できます。
開始する前に
Google WorkspaceドメインとGoogle Cloud Platformへの管理者アクセス権を持っている必要があります。
Google Cloudプロジェクトタスク
Google Cloud Platformインターフェイス(https://console.cloud.google.com)で以下のGoogle Cloudプロジェクトタスクを完了します。
プロジェクトを作成する
すでにGoogle Cloudプロジェクトがある場合は、次のタスクに進んでください。
-
上部のナビゲーションバーで、[Quickstart(クイックスタート)]ドロップダウンリストをクリックします。現在選択されているプロジェクトが表示されます。
-
ドロップダウンリストから、組織を選択し、[NEW PROJECT(新規プロジェクト)]をクリックします。
-
[Project name(プロジェクト名)]フィールドにプロジェクト名を入力し、[CREATE(作成)]をクリックします。
-
上部のナビゲーションバーで、[Quickstart(クイックスタート)]ドロップダウンリストから新規プロジェクトを選択します。
-
プロジェクトダッシュボードの[プロジェクト情報]パネルで、[ADD PEOPLE TO THIS PROJECT(ユーザーをこのプロジェクトに追加する)]をクリックします。
-
Gmail接続の認可に使用したGoogle Workspaceサービスアカウントを、Viewerロールを持つNew Principalとして追加します。
プロジェクトのGmail APIを有効にする
-
左側のナビゲーションペインで、
を選択します。 -
検索フィールドに、Gmailと入力します。
-
[Gmail API] をクリックし、Gmail APIページの[Enable(有効化)]をクリックします。
サービスアカウントを作成する
-
左側のナビゲーションペインで、
を選択します。 -
[Service accounts(サービスアカウント)]ページの上部にある[CREATE SERVICE ACCOUNT(サービスアカウントの作成)]をクリックします。
-
[Service account details(サービスアカウントの詳細)]セクションでサービスアカウント名と説明(オプション)を追加し、[DONE(完了)]をクリックします。
-
リストから編集するサービスアカウントを選択します。
-
[権限]タブの[GRANT ACCESS(アクセス付与)]をクリックします。
-
Gmail接続の認可に使用したGoogle Workspaceアカウントを、New Principalとして追加します。
-
以下のロールをこのアカウントに追加します。
-
Service Account User
-
Service Account Token Creator
[Save(保存)]をクリックして変更を確認します。
-
-
[詳細]タブで[Unique ID(一意のID)]を記録します。これは、サービスアカウントのリストに表示されたOAuth 2.0の[Client ID(クライアントID)]と同じです。
Google Cloudのサービスアカウントの詳細については、「サービスアカウントに対するアクセス権の管理」を参照してください。
Google管理タスク
Google管理コンソール(https://admin.google.com)で以下の管理タスクを完了します。
権限のドメイン全体の委任をセットアップする
APIエンドポイントを使用して代理人の追加またはユーザーのメールの転送を行うには、ドメイン全体の権限を持つGoogle Cloudサービスアカウントが必要です。
サービスアカウントのドメイン全体の権限を有効化することで、ユーザーのデータ側で手動の権限を設定することなくサービスアカウントがアクセス可能になります。
-
左側のナビゲーションペインで、
に移動します。 -
[MANAGE DOMAIN WIDE DELEGATION(ドメイン全体の委任の管理)]をクリックします。
-
[Add new(新規追加)]をクリックしてAPIクライアントを追加します。
-
前のタスクでコピーしたサービスアカウントの[Client ID(クライアントID)]を[Client Name(クライアント名)]フィールドに入力します。
サービスアカウントにスコープを登録して追加する
-
代理人の追加またはメールの転送に必要なスコープを追加します。
-
https://www.googleapis.com/auth/gmail.settings.basic
-
https://www.googleapis.com/auth/gmail.settings.sharing
-
-
[Authorize(認可)]をクリックし、[Save(保存)]をクリックします。
サービスアカウントはGoogle Workspaceドメインのユーザーのデータにアクセスできるようになりました。
Okta Workflowsで所有権の転送をテストする
-
Workflows Consoleでフローを作成し、Google Cloudプロジェクトとサービスアカウントを使用するアクションカードのいずれかを追加します。
-
カードのオプションには、[Google Cloud Platform Project(Google Cloud Platformプロジェクト)]と[Service Account(サービスアカウント)]のドロップダウンリストが含まれます。これらのタスクで作成したプロジェクトとサービスアカウントが設定されているはずです。
-
必要に応じてカードを構成し、正常に実行されることを確認します。