リクエストを設定して承認する

開発を開始する前に、Chrome Policy API の利用規約を確認し、Google Cloud プロジェクトを作成し、Chrome Policy API を有効にして、アクセス認証情報を設定する必要があります。

Chrome Policy API は管理者ロールの権限を尊重し、定義された認可スコープによって管理されます。

ステップ 1: Google Cloud プロジェクトを作成する

Chrome Policy API を使用するには、Google Cloud プロジェクトが必要です。このプロジェクトは、API の管理、課金の有効化、共同編集者の追加と削除、権限の管理など、すべての Google Cloud サービスの作成、有効化、使用の基礎となります。

使用する Google Cloud プロジェクトがまだない場合は、次の手順で Google Cloud プロジェクトを作成します。

  1. Google Cloud Console を開きます。
  2. 左上のメニュー アイコン > [IAM と管理]> [プロジェクトを作成] をクリックします。
  3. [プロジェクト名] フィールドに、プロジェクトのわかりやすい名前を入力します。
  4. [ロケーション] フィールドで [参照] をクリックして、割り当て可能な組織を表示します。Chrome ポリシーを管理する組織を選択し、[選択] をクリックします。
  5. [作成] をクリックします。コンソールが [ダッシュボード] ページに移動し、数分以内にプロジェクトが作成されます。

ステップ 2: Chrome Policy API を有効にする

Google Cloud プロジェクトで Chrome Policy API を有効にするには:

  1. Google Cloud Console を開きます。
  2. 上部で Google Cloud プロジェクトを選択します。
  3. 左上のメニュー > [API とサービス] > [ライブラリ] をクリックします。
  4. 検索フィールドに「Chrome」と入力し、Enter キーを押します。
  5. 検索結果のリストで、[Chrome Policy API] をクリックします。
  6. [有効にする] をクリックします。
  7. 他の API を有効にするには、手順 2 ~ 5 を繰り返します。

ステップ 3: 認証情報を作成する

Chrome Policy API へのリクエストは、エンドユーザーまたはロボット サービス アカウントとして認証できます。

  1. Google Cloud Console を開きます。
  2. 上部で Google Cloud プロジェクトを選択します。
  3. 左上のメニュー > [API とサービス] > [OAuth 同意画面] をクリックします。
  4. アプリのユーザータイプを選択し、[作成] をクリックします。
  5. アプリ登録フォームに入力し、[保存して続行] をクリックします。

  6. [スコープを追加または削除] をクリックします。Google Cloud プロジェクトで有効にした各 API のスコープのリストを含むパネルが表示されます。次のいずれかの認可スコープを追加します。

    • https://www.googleapis.com/auth/chrome.management.policy
    • https://www.googleapis.com/auth/chrome.management.policy.readonly

    readonly スコープには、変更操作を実行できません。

エンドユーザーまたはサービス アカウントの認証を設定する

詳しい手順については、以下のいずれかをクリックしてください。

オプション 1: OAuth 2.0 を使用してエンドユーザーとして認証する

  1. Google Cloud Console を開きます。
  2. 上部で Google Cloud プロジェクトを選択します。
  3. 左上のメニュー > [API とサービス] > [認証情報] をクリックします。
  4. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  5. 手順に沿って OAuth 2.0 認証情報を作成します。

OAuth 2.0 認証のために、組織の Chrome 管理者が管理コンソールで特別な設定を行う必要はありません。アプリのユーザーは、アカウントに必要な管理者ロールの権限が関連付けられていること、およびアプリの OAuth 同意画面に同意していることが必要です。

ヒント: OAuth Playground でアプリをテストできます。

オプション 2: サービス アカウントとして認証する

サービス アカウントは、ユーザーではなく、アプリケーションで使用される特別な種類のアカウントです。サービス アカウントを使用すると、ロボット アカウント自体でデータにアクセスしたり、アクションを実行したり、ユーザーに代わってデータにアクセスしたりできます。詳細については、サービス アカウントについてをご覧ください。

サービス アカウントと認証情報を作成する

  1. Google Cloud コンソールを開きます。
  2. 上部で Google Cloud プロジェクトを選択します。
  3. 左上のメニュー > [API とサービス] > [認証情報] をクリックします。
  4. [認証情報を作成] > [サービス アカウント] をクリックします。
  5. サービス アカウント名を入力し、[作成して続行] をクリックします。
  6. 省略可: サービス アカウントにロールを割り当て、Google Cloud プロジェクトのリソースへのアクセス権を付与します。詳細については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
  7. [続行] をクリックします。
  8. 省略可: このサービス アカウントで管理とアクションを実行できるユーザーまたはグループを入力します。詳細については、サービス アカウントの権限借用の管理をご覧ください。
  9. [完了] をクリックします。数分後、新しいサービス アカウントが [サービス アカウント] リストに表示されます。(ページの更新が必要になる場合があります)。
  10. [サービス アカウント] リストで、作成したサービス アカウントをクリックします。
  11. [] > [鍵を追加] > [新しい鍵を作成] をクリックします。
  12. [JSON] を選択し、[作成] をクリックします。

    新しい公開鍵と秘密鍵のペアが生成され、新しいファイルとしてマシンにダウンロードされます。このファイルは、この鍵の唯一のコピーです。キーを安全に保存する方法については、サービス アカウント キーの管理をご覧ください。

管理コンソールでサービス アカウントを承認する

リクエストをサービス アカウントとして認証する場合は、組織の Chrome 管理者が管理コンソールで追加の手順を実行してプロセスを完了する必要があります。

Chrome 管理者は、必要な管理者ロールの権限を使用してサービス アカウントにロールを直接割り当てるか、ドメイン全体の委任を設定して、サービス アカウントが適切な権限を持つユーザーに成り代わってそのユーザーに代わって動作できるようにします。

サービス アカウントのドメイン全体の委任を設定するには、Chrome 管理者が管理コンソールで次の手順を行う必要があります。

  1. 管理コンソールを開きます。
  2. 左上のメニュー アイコン > [セキュリティ] > [アクセスとデータ管理] > [API の制御] をクリックします。
  3. [ドメイン全体の委任を管理] をクリックします。
  4. [新しく追加] をクリックします。
  5. [クライアント ID] フィールドに、サービス アカウントに関連付けられているクライアント ID を貼り付けます。サービス アカウントのクライアント ID を確認する方法
  6. [OAuth スコープ] フィールドに、サービス アカウント アプリケーションに必要なスコープのカンマ区切りリストを入力します。これは、OAuth 同意画面の構成時に定義したスコープと同じセットです。
  7. [承認] をクリックします。

ステップ 4: OAuth Playground でアプリをテストする

  1. Google Cloud Console を開きます。
  2. 上部で Google Cloud プロジェクトを選択します。
  3. 左上のメニュー > [API とサービス] > [認証情報] をクリックします。
  4. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  5. [アプリケーションの種類] > [ウェブ アプリケーション] をクリックします。
  6. [名前] フィールドに、認証情報の名前を入力します。この名前は Cloud コンソールにのみ表示されます。
  7. テストの時点では、[Authorized redirect URIs] に「https://developers.google.com/oauthplayground」を追加します。テストが完了したら、必要に応じてこのリダイレクト URI をアプリから削除できます。
  8. [作成] をクリックし、「client ID」と「client secret」をクリップボードにコピーします。
  9. 新しいタブで OAuth 2.0 Playground を開きます。
  10. 右上の OAuth 2.0 の設定アイコン をクリックします。
  11. [Use your own OAuth credentials] を選択します。手順 8 でコピーした「client ID」と「client secret」を貼り付け、[閉じる] をクリックします。
  12. 左側の OAuth 2.0 Playground の手順に沿って操作します。
    • [Step 1: Select & authorize APIs] で、https://www.googleapis.com/auth/chrome.management.policy と必要な他の API スコープを追加し、[Authorize APIs] をクリックします。
    • [ステップ 2: トークンの認証コードを交換します] で、必要に応じて [有効期限が切れる前にトークンを自動更新する] を選択できます。
    • [ステップ 3: API へのリクエストを設定します] で、Chrome Policy API リクエスト URI を入力し、必要に応じて [HTTP メソッド] などの設定を変更します。URL リクエストの例: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

ステップ 5: アプリが信頼できるものであることを確認する

組織の管理者は、管理コンソールでアプリを信頼できるアプリまたはブロック中としてマークできます。詳しくは、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。