初期設定

デベロッパー向けの設定

クラウド プロジェクトで API スイートを有効にする

  • Cloud Console(https://console.cloud.google.com/)に移動します。
  • 既存のクラウド プロジェクトを選択するか、新しいプロジェクトを作成します。
  • APIs & Services > Enable APIs and Services に移動します。
  • 「Chrome」を検索します。
  • [Chrome Policy API] を選択します。
  • 利用規約を確認します。
  • [Enable] をクリックします。

認証情報を作成する

方法 1: OAuth 2.0 クライアント ID

  • 「OAuth 2.0 クライアント ID」を作成するには、まずアプリケーションに関する情報を含んだ OAuth 同意画面を設定する必要があります。 Cloud Console で、APIs & Services > OAuth consent screen に移動します。

  • 同意画面の設定ページで、スコープ https://www.googleapis.com/auth/chrome.management.policy または https://www.googleapis.com/auth/chrome.management.policy.readonly を入力します。

    追加されるスコープは機密性が高いため、検証を受けるためにアプリの申請が必要になることがあります。そうしなかった場合、ユーザーにセキュリティ警告画面が表示されることがあります(アプリが社内向けでない場合)。

  • APIs & Services > Credentials > Create Credentials > OAuth client ID に移動し、手順に沿って認証情報を作成します。

  • 必要に応じて、OAuth Playground でアプリをテストします(詳細)。

方法 2: サービス アカウント

  • APIs & Services > Credentials > Create Credentials > Service account に移動します。
  • サービス アカウント名を入力し、[Create] をクリックします。
  • サービス アカウントのキーを作成します。[Add Key] をクリックして「json」キーを作成します。ファイルを安全な場所に保存しておきます。
  • 顧客に対する管理者権限を持つサービス アカウントを使用します。
    • 顧客がドメイン全体の委任を設定すると、サービス アカウントは適切な権限を持つユーザーまたはサービスに成り代わることができます(詳細)。
    • あるいは、サービス アカウントに対して、適切な権限を持つ管理者ロールを直接付与することもできます(詳細)。

顧客向けの設定

デベロッパーが作成したアプリケーションの種類によって、顧客管理者が行う設定方法が異なります。

「OAuth 2.0 クライアント」アプリ

特別な設定は必要ありません。

アプリのユーザーには適切な管理者権限が必要です(詳細)。

アプリのユーザーは、アプリの OAuth ポップアップ同意画面に同意する必要があります。 必要に応じて、このアプリでドメイン全体の委任を許可することもできます(詳細)。これにより、OAuth のポップアップ同意画面が表示されなくなります。

必要に応じて、アプリがブロックされていないかどうかを確認します。あるいはアプリを明示的に信頼します(詳細)。

「サービス アカウント」アプリ

サービス アカウントには適切な管理者権限が付与されている必要があります。 これには次の 2 つの方法があります。

  • ドメイン全体の委任を許可し、サービス アカウントが適切な権限を持つ管理者に成り代わることができるようにします(詳細)。
  • あるいは、サービス アカウントに管理者ロールを直接付与します(詳細)。

「方法」ガイド

方法 - アプリをブロックする / アプリを信頼する

  • 顧客管理者として、Google 管理コンソール(https://admin.google.com/)にアクセスします。
  • Security > API Controls に移動します。
  • [App access control] セクションで [Manage third party app access] をクリックします。
  • [Connected apps] リストにアプリが表示されない場合は、新しいアプリを設定します。
  • そうすると、アプリをブロックすることや、アプリを明示的に信頼することができるようになります。

方法 - ドメイン全体の委任

  • 顧客管理者として、Google 管理コンソール(https://admin.google.com/)にアクセスします。
  • > Security > API Controls > Domain-wide delegation に移動します。
  • [Add new] をクリックします。
  • クライアント ID(「service account unique id」または「app client ID」)を入力します。
  • 必要な OAuth スコープをすべて入力します。アプリによっては、Chrome Policy API 以外のスコープを入力する必要がある場合があります(デバイス、ユーザー、ブラウザ、組織部門、グループなどを管理する Directory API など)。
  • [Authorize] をクリックします。

方法 - 管理者権限

Chrome Policy API の各部分には、異なる管理者権限が必要です。 Policy API に必要な管理者権限を確認してください。 権限の付与は、次のようにして行います。

  • 顧客管理者として、Google 管理コンソール(https://admin.google.com/)にアクセスします。
  • [Admin roles] ページに移動します。
  • 既存のロールを見つけるか、必要な権限を持つ新しいロールを作成します。
  • このロールをユーザーのメールアドレスまたはサービス アカウントのメールアドレスに割り当てます。

方法 - OAuth Playground でアプリをテストする

  • Cloud Console でアプリの OAuth クライアント ID を作成する際に(上記の OAuth 2.0 クライアント ID を参照)、アプリケーション タイプに [Web Applications] を選択します。
  • [Name] に名前を入力します。
  • テストの時点では、[Authorized redirect URIs] に「https://developers.google.com/oauthplayground」を追加します。テストが完了したら、アプリからリダイレクト URI を削除できます。
  • [Create] をクリックし、「client ID」と「client secret」をコピーします。
  • [OAuth Playground] に移動します。
  • 右上隅にある歯車アイコン([OAuth 2.0 Configuration])をクリックして、[Use your own OAuth credentials] を選択し、「OAuth Client ID」と「OAuth Client secret」を入力します。

  • OAuth Playground で 3 ステップの簡単な手順を行う

    • ステップ 1: API を選択して承認します。

      スコープ入力フィールドに「https://www.googleapis.com/auth/chrome.management.policy」(またはその他の API スコープ)を追加し、[Authorize APIs] をクリックします。顧客管理者アカウントを使用して承認します。利用規約に同意します。

    • ステップ 2: トークンの認証コードを交換します。

      [Exchange authorization code for tokens] をクリックします。必要に応じて、[Auto-refresh the token before it expires] をクリックします。

    • ステップ 3: API へのリクエストを設定します。

    [Request URI] テキスト ボックスに API の URL を入力します。API の仕様に従って、[HTTP Method]、[Enter request body] などを変更します。 たとえば、ポリシー スキーマの一覧を取得するには URL「https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers」を入力します。