アクセス認証情報を作成する

認証情報は、アプリが Google Workspace API を呼び出せるように、Google の承認サーバーからアクセス トークンを取得するために使用されます。このガイドでは、アプリに必要な認証情報を選択して設定する方法について説明します。

このページに記載されている用語の定義については、認証と認可の概要をご覧ください。

適切なアクセス認証情報を選択する

必要な認証情報は、アプリのデータの種類、プラットフォーム、アクセス方法によって異なります。使用できる認証情報のタイプは次の 3 つです。

ユースケース 認証方法 この認証方法について
アプリで一般公開されているデータに匿名でアクセスします。 API キー この認証方法を使用する前に、使用する API が API キーをサポートしていることを確認してください。
メールアドレスや年齢などのユーザーデータにアクセスします。 OAuth クライアント ID アプリがユーザーの同意を得る必要があります。
ドメイン全体の委任を使用して、Google Workspace または Cloud Identity のユーザーに代わって自分のアプリケーションに属するデータにアクセスしたり、リソースにアクセスしたりできます。 サービス アカウント アプリがサービス アカウントとして認証されると、アプリはサービス アカウントにアクセス権限が付与されているすべてのリソースにアクセスできるようになります。

API キーの認証情報

API キーは、大文字と小文字、数字、アンダースコア、ハイフンを含む長い文字列です(例: AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe)。この認証方法は、一般公開データに匿名でアクセスするために使用されます。たとえば、[インターネット上の全員] 共有設定を使用して共有された Google Workspace ファイルなどです。詳しくは、API キーの使用をご覧ください。

API キーを作成するには:

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [API キー] をクリックします。
  3. 新しい API キーが表示されます。
    • [コピー] をクリックして、アプリのコードで使用する API キーをコピーします。API キーは、プロジェクトの認証情報の [API キー] セクションでも確認できます。
    • [キーを制限] をクリックして詳細設定を更新し、API キーの使用を制限します。詳しくは、API キーの制限を適用するをご覧ください。

OAuth クライアント ID の認証情報

エンドユーザーとして認証し、アプリ内でユーザーデータにアクセスするには、1 つ以上の OAuth 2.0 クライアント ID を作成する必要があります。クライアント ID は、Google の OAuth サーバーで 1 つのアプリを識別するために使用されます。アプリを複数のプラットフォームで実行する場合は、プラットフォームごとに個別のクライアント ID を作成する必要があります。

OAuth クライアント ID を作成する具体的な手順については、該当するアプリケーション タイプを選択してください。

ウェブ アプリケーション

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  3. [アプリケーションの種類] > [ウェブ アプリケーション] をクリックします。
  4. [名前] フィールドに、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
  5. アプリに関連する承認済みの URI を追加します。
    • クライアントサイド アプリ(JavaScript) - [承認済みの JavaScript 生成元] で [URI を追加] をクリックします。次に、ブラウザ リクエストに使用する URI を入力します。これは、アプリケーションが OAuth 2.0 サーバーに API リクエストを送信できるドメインを表します。
    • サーバーサイド アプリ(Java、Python など) - [承認済みのリダイレクト URI] で、[URI を追加] をクリックします。次に、OAuth 2.0 サーバーがレスポンスを送信できるエンドポイント URI を入力します。
  6. [作成] をクリックします。OAuth クライアントの作成画面が表示され、新しいクライアント ID とクライアント シークレットが表示されます。

    クライアント ID をメモします。クライアント シークレットはウェブ アプリケーションには使用されません。

  7. [OK] をクリックします。新しく作成された認証情報が [OAuth 2.0 クライアント ID] に表示されます。

Android

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  3. [アプリケーションの種類] > [Android] をクリックします。
  4. [名前] 欄に、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
  5. [パッケージ名] に、AndroidManifest.xml ファイルのパッケージ名を入力します。
  6. [SHA-1 証明書のフィンガープリント] に、生成された SHA-1 証明書のフィンガープリントを入力します。
  7. [作成] をクリックします。OAuth クライアントの作成画面が表示され、新しいクライアント ID が表示されます。
  8. [OK] をクリックします。新しく作成された認証情報が [OAuth 2.0 クライアント ID] に表示されます。

iOS

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  3. [Application type] > [iOS] をクリックします。
  4. [名前] 欄に、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
  5. アプリの Info.plist ファイルに記載されているバンドル ID を [バンドル ID] フィールドに入力します。
  6. 省略可: アプリが Apple App Store に表示されている場合は、App Store ID を入力します。
  7. 省略可: [チーム ID] 欄に、Apple によって生成され、チームに割り当てられた一意の 10 文字の文字列を入力します。
  8. [作成] をクリックします。OAuth クライアントの作成画面が表示され、新しいクライアント ID とクライアント シークレットが表示されます。
  9. [OK] をクリックします。新しく作成された認証情報が [OAuth 2.0 クライアント ID] に表示されます。

Chrome アプリ

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  3. [アプリケーションの種類] > [Chrome アプリ] をクリックします。
  4. [名前] 欄に、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
  5. [アプリケーション ID] 欄に、アプリに固有の 32 文字の ID 文字列を入力します。この ID の値は、アプリの Chrome ウェブストア URL と Chrome ウェブストア デベロッパー ダッシュボードで確認できます。
  6. [作成] をクリックします。OAuth クライアントの作成画面が表示され、新しいクライアント ID とクライアント シークレットが表示されます。
  7. [OK] をクリックします。新しく作成された認証情報が [OAuth 2.0 クライアント ID] に表示されます。

デスクトップ アプリ

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  3. [アプリケーションの種類] > [デスクトップ アプリ] をクリックします。
  4. [名前] フィールドに、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
  5. [作成] をクリックします。OAuth クライアントの作成画面が表示され、新しいクライアント ID とクライアント シークレットが表示されます。
  6. [OK] をクリックします。新しく作成された認証情報が [OAuth 2.0 クライアント ID] に表示されます。

テレビ、入力が限られたデバイス

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  3. [アプリケーションの種類] > [テレビと入力制限のあるデバイス] をクリックします。
  4. [名前] 欄に、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
  5. [作成] をクリックします。OAuth クライアントの作成画面が表示され、新しいクライアント ID とクライアント シークレットが表示されます。
  6. [OK] をクリックします。新しく作成された認証情報が [OAuth 2.0 クライアント ID] に表示されます。

ユニバーサル Windows プラットフォーム(UWP)

  1. Google Cloud コンソールで、メニュー > [API とサービス] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] > [OAuth クライアント ID] をクリックします。
  3. [アプリケーションの種類] > [Universal Windows Platform (UWP)] をクリックします。
  4. [名前] 欄に、認証情報の名前を入力します。この名前は Google Cloud コンソールにのみ表示されます。
  5. [ストア ID] に、アプリに固有の 12 文字の Microsoft Store ID 値を入力します。この ID は、アプリの Microsoft Store の URL とパートナー センターで確認できます。
  6. [作成] をクリックします。OAuth クライアントの作成画面が表示され、新しいクライアント ID とクライアント シークレットが表示されます。
  7. [OK] をクリックします。新しく作成された認証情報が [OAuth 2.0 クライアント ID] に表示されます。

サービス アカウント認証情報

サービス アカウントは、ユーザーではなく、アプリケーションで使用される特別なアカウントです。サービス アカウントを使用すると、ロボット アカウントによるデータへのアクセスやアクションの実行、Google Workspace や Cloud Identity のユーザーに代わってデータにアクセスすることができます。詳細については、サービス アカウントについてをご覧ください。

サービス アカウントを作成する

  1. Google Cloud コンソールで、メニュー > [IAM と管理] > [サービス アカウント] に移動します。

    [サービス アカウント] に移動

  2. [サービス アカウントを作成] をクリックします。
  3. サービス アカウントの詳細を入力し、[作成して続行] をクリックします。
  4. (省略可)サービス アカウントにロールを割り当てて、Google Cloud プロジェクトのリソースへのアクセス権を付与します。詳細については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
  5. [続行] をクリックします。
  6. (省略可)このサービス アカウントでアクションを管理、実行できるユーザーまたはグループを入力します。詳しくは、サービス アカウントの権限借用の管理をご覧ください。
  7. [完了] をクリックします。サービス アカウントのメールアドレスをメモします。

サービス アカウントにロールを割り当てる

特権管理者アカウントによって、ビルド済みロールまたはカスタムロールをサービス アカウントに割り当てる必要があります。

  1. Google 管理コンソールで、メニュー アイコン > [アカウント] > [管理者ロール] に移動します。

  2. 割り当てるロールにカーソルを合わせ、[管理者を割り当て] をクリックします。

  3. [Assign service accounts] をクリックします。

  4. サービス アカウントのメールアドレスを入力します。

  5. [追加] > [ロールを割り当て] をクリックします。

サービス アカウントの認証情報を作成する

公開鍵と秘密鍵のペアの形式で認証情報を取得する必要があります。これらの認証情報は、アプリ内のサービス アカウント アクションを承認するためにコードによって使用されます。

サービス アカウントの認証情報を取得するには:

  1. Google Cloud コンソールで、メニュー > [IAM と管理] > [サービス アカウント] に移動します。

    [サービス アカウント] に移動

  2. サービス アカウントを選択します。
  3. [] > [鍵を追加] > [新しい鍵を作成] をクリックします。
  4. [JSON] を選択し、[作成] をクリックします。

    新しい公開鍵と秘密鍵のペアが生成され、新しいファイルとしてパソコンにダウンロードされます。ダウンロードした JSON ファイルを credentials.json という名前で作業ディレクトリに保存します。この鍵の唯一のコピーです。鍵を安全に保管する方法については、サービス アカウント キーの管理をご覧ください。

  5. [閉じる] をクリックします。

省略可: サービス アカウントのドメイン全体の委任を設定する

Google Workspace 組織のユーザーに代わって API を呼び出すには、特権管理者アカウントによって、Google Workspace 管理コンソールでドメイン全体の権限の委任をサービス アカウントに付与する必要があります。詳細については、ドメイン全体の権限をサービス アカウントに委任するをご覧ください。

サービス アカウントのドメイン全体の権限の委任を設定するには:

  1. Google Cloud コンソールで、メニュー > [IAM と管理] > [サービス アカウント] に移動します。

    [サービス アカウント] に移動

  2. サービス アカウントを選択します。
  3. [詳細設定を表示] をクリックします。
  4. [ドメイン全体の委任] でサービス アカウントの [クライアント ID] を見つけます。[ をコピー] をクリックして、クライアント ID の値をクリップボードにコピーします。

  5. 関連する Google Workspace アカウントへの特権管理者権限がある場合は、[Google Workspace 管理コンソールを表示] をクリックし、特権管理者ユーザー アカウントを使用してログインし、以下の手順を続行します。

    関連する Google Workspace アカウントへの特権管理者アクセス権がない場合は、そのアカウントの特権管理者に連絡して、サービス アカウントのクライアント ID と OAuth スコープのリストを知らせて、管理者が管理コンソールで次の手順を実行できるようにします。

    1. Google 管理コンソールで、メニュー アイコン > [セキュリティ] > [アクセスとデータ管理] > [API の制御] に移動します。

      [API の制御] に移動

    2. [ドメイン全体の委任を管理] をクリックします。
    3. [新しく追加] をクリックします。
    4. [クライアント ID] 欄に、先ほどコピーしたクライアント ID を貼り付けます。
    5. [OAuth Scopes] に、アプリケーションに必要なスコープをカンマ区切りのリストで入力します。これは、OAuth 同意画面の設定時に定義したスコープのセットと同じです。
    6. [Authorize] をクリックします。

次のステップ

これで、Google Workspace で開発する準備が整いました。Google Workspace デベロッパー向けプロダクトのリストとサポートを見つける方法を確認する。