認可

Google Cloud Functionsカードを初めてフローに追加すると、接続の新規作成が求められます。アカウントを接続することで、アカウント情報の保存とコネクターを使った次回のフロー構築時の接続の再利用が可能になります。

Note(注):複数の接続を作成して保存し、チームと共有できます。

複数の接続を作成し、[接続]ページから管理できます。

アクションカードから新規接続を作成するには、次の手順を実行します。

  1. [New Connection(新規接続)]をクリックします。

  2. [Connection Nickname(接続ニックネーム)]を入力します。ベストプラクティスでは、複数のGoogle Cloud Functionsアカウントに接続できるようにニックネームを一意にします。

  3. [Project ID(プロジェクトID)]を入力して、[Create(作成)]をクリックします。プロジェクトIDはプロジェクトURLから入手できます。

  4. アカウントを選択し、[Allow(許可)]をクリックします。

Google Cloud Functionsプロジェクトのセットアップ

Google Cloud FunctionsプロジェクトはGoogle Cloud Functions APIへのアクセスを提供します。コネクターのカスタムAPIアクションカードを使用することにより、認可されたユーザーはプロジェクトをAPIを呼び出すことができます。たとえば、ユーザーは特定のリージョンにデプロイされるクラウド関数を一覧表示するAPIを呼び出すことができます。Okta WorkflowsのカスタムAPIアクションカードを使用してプロジェクト内のすべての関数を一覧表示するには。Google Cloud Functionsプロジェクトを正しくセットアップしなければなりません。

次の手順を完了させます。

  • Google Cloud Functionsプロジェクトを作成する

  • Google Cloud Functions APIを有効化します(ライブラリで検索して有効化)。そうしないと、ユーザーはAPIを呼び出したり、クラウド関数を呼び出したりすることができません。

  • Identity and Access Management APIを有効化します(ライブラリーで検索と有効化を行います)。そうしないと、ユーザーはクラウド関数を呼び出すことができません。

  • プロジェクトの作成時にプロジェクト名から始まるサービスアカウント(つまり、{project-name}@appspot.gserviceaccount.com)が作成されます。サービスアカウントに次のロールを追加します。

  • Service Account Token Creator

  • 新規クラウド関数のデフォルトのリージョンはus-central1です。

  • 同じ名前を持つクラウド関数を複数のリージョンにデプロイできることに注意してください。

  • [IAM & Admin(IAMと管理)]メニューを使用して、プロジェクトにユーザーを追加し、それらのユーザーにロールを割り当てます。

    • クラウド関数を呼び出すには、ユーザーにCloud Functions Invokerロールを割り当てる必要があります。

    • その他のロールとして、Cloud Functions AdminCloud Functions Developer、またはCloud Functions Viewerをクラウド関数に割り当てることを検討してください。

      • Cloud Functions Developerは、関数の編集と呼び出しを行うことができます。

      • Cloud Functions Adminはユーザーを追加して、関数に対する権限を変更できます。

      • Cloud Functions Viewerは関数の表示にのみ対応しています。

さらに、以下の点に注意してください。

  • 関数の呼び出しカードを使用して認証する場合Google CloudプロジェクトIDを指定しなければなりません。ユーザーは、Google Cloud Functionsプロジェクト内で割り当てられたIAMロールを使って認証されます。

  • コネクタがGoogle Cloud関数を呼び出す際、ユーザーのIDトークン(JWT)を利用します。

  • 関数の呼び出しカードでは、ユーザーにGoogle Functions Invokerロールが必要です。セキュリティ保護されていないクラウド関数の呼び出しは関数の呼び出しカードでサポートされていませんが、ユーザーはセキュリティ保護されていない関数をカスタムAPIアクションカードを使用して呼び出すことができます。

  • セキュリティ保護された関数を作成できるのは、作成時に[Allow unauthenticated invocations(未認証の呼び出しを許可する)]チェックボックスをオフにした場合のみです。作成後の関数のセキュリティ保護を有効化することはできません。適切なロールを使用してユーザーにセキュリティ保護されていない関数を割り当てても、呼び出すことはできません。

  • クラウド関数のデプロイ後、ユーザーをCloud Functions Invokerロールに追加することで、セキュリティは独立して構成できます。

サポートされるスコープ

  • https://www.googleapis.com/auth/cloud-platform

  • https://www.googleapis.com/auth/cloudfunctions

  • openid

  • email

免責事項

Google Cloud Functions APIから受け取る情報のアプリでの使用はGoogleの限定的使用要件に従います。