3. サービス アカウントを作成する

3-legged OAuth を Google の認証方法として使用している場合は、この手順をスキップして、ダウンロードと インストールに進んでください。

サービス アカウントを認証方法として使用する場合は、Password Sync をインストールする前にアカウントを作成して設定しておく必要があります。アカウントの作成方法は、自動化スクリプトを実行するか(推奨)、サービス アカウントを手動で作成するかによって異なります。

7 つの手順のうちの 3 番目

オプション 1: 自動化スクリプトを使用してアカウントを作成する

Google Workspace サポートでは、この GitHub スクリプトのサポートを提供していません。スクリプトの使用中に問題が発生した場合は、手順に沿ってアカウントを手動で作成してください。スクリプトの使用について詳しくは、こちらをご覧ください。

  1. 特権管理者としてログインし、ブラウザ ウィンドウで Cloud Shell を開きます。

  2. エディタで「python3 <(curl -s -S -L https://git.io/password-sync-create-service-account) 」と入力します。

  3. Cloud Shell ウィンドウで手順を完了します。

  4. [Download(ダウンロード)] をクリックし、サービス アカウントのクライアント ID が含まれる JSON ファイルをパソコンにダウンロードします。

  5. ダウンロードとインストールに進みます。

スクリプトの使用について 詳しくは、こちらをご覧ください

オプション 2: 手動でサービス アカウントを作成する

ステップ 1: プロジェクトを作成する

  1. Google Cloud にアクセスし、特権管理者としてログインします。コンソールに初めてログインする場合は、利用規約に同意してください。
  2. [IAM & Admin] 次に [Manage Resources] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  3. 上部にある [プロジェクトを作成] をクリックし、プロジェクト名を入力します。
  4. (省略可)プロジェクトをフォルダに追加するには、[**場所**] で [**参照**] をクリックし、フォルダに移動して [**選択**] をクリックします。
  5. [作成] をクリックします。
  6. デフォルトでは、プロジェクトを管理する権限があるのはプロジェクトの作成者だけです。作成者が退職してもプロジェクトを管理できるように、少なくとも 1 人の他のユーザーにプロジェクト オーナーのロールを割り当てる必要があります。詳しくは、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

ステップ 2: サービス アカウントに対して API を有効にする

  1. 新規に作成したプロジェクトの横にあるチェックボックスをオンにします。
  2. [APIs & Services] 次に [Library] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  3. Admin SDK API を検索し、API 名、[有効にする] の順にクリックします。

ヒント: 以下でメールアドレスを追加する場合は、共有管理者のメールアカウントを使用してください。

  1. Google Cloud で、あらかじめ作成しておいたプロジェクトを開きます。
    • サービス アカウントを手動で作成した場合は、ステップ 1: プロジェクトを作成するで作成したプロジェクトが該当します。
    • スクリプトを使用してプロジェクトを作成した場合は、スクリプトの実行後、Google Cloud Shell Editor のリストに名前が表示されたプロジェクトが該当します。
  2. [API とサービス] 次に [OAuth 同意画面] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  3. [**ブランディング**] をクリックします。

    [**開始**] が表示されない場合は、ステップ 4 に進みます。必要がない場合は、ステップ 5 に進みます。

  4. [クライアント] をクリックします。

    [+ クライアントを作成] が表示された場合は、ステップ 4: サービス アカウントを作成するに進みます。必要がない場合は、ステップ 5 に進みます。

  5. [開始] をクリックします。
  6. [**アプリ名**] に、アプリケーション名(Google Workspace Migrate や GWM など)を入力します。
  7. [**ユーザー サポートメール**] に、ユーザーが質問する際に連絡できるメールアドレスを入力し、[**次へ**] をクリックします。
  8. [対象] で [内部] を選択し、[次へ] をクリックします。
  9. [連絡先情報] に、関連するメールアドレスを入力し、[次へ] をクリックします。
  10. For [**完了**] で、[**Google API サービス: ユーザーデータに関するポリシーに同意します**] チェックボックスを選択します。
  11. [Continue] 次に [Create] をクリックします。

ステップ 4: サービス アカウントを作成する

  1. [APIs & Services] 次に [Credentials] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  2. [認証情報を作成] 次に [サービス アカウント] をクリックします。
  3. [Service account name] に、サービス アカウントの名前を入力し、必要に応じて説明を追加します。
  4. [作成して続行 次に 完了] をクリックします。
  5. サービス アカウントの一意の ID の値をメモします。後で必要になります。この値はサービス アカウントのクライアント ID でもあります。

    [Tip]: この値は、サービス アカウントの [詳細] タブまたは JSON ファイルでも確認できます。

  6. [完了] 次に [保存] をクリックします。
  7. 上にある [**鍵**] 次に [**鍵を追加**] 次に [**新しい鍵を作成**] をクリックします。
  8. 鍵のタイプが [JSON] に設定されていることを確認し、[作成] をクリックします。

    サービス アカウントの秘密鍵 JSON ファイルがパソコンにダウンロードされたことを知らせるメッセージが表示されます。

  9. ファイル名とブラウザが指定する保存場所をメモします。後で必要になります。
  10. [閉じる] をクリックします。

ステップ 5: 管理コンソールでクライアント ID を承認する

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [API の制御] 次に [ドメイン全体の委任を管理] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [新しく追加] をクリックし、サービス アカウントのクライアント ID を入力します。

    この ID(一意の ID とも呼ばれます)は、サービス アカウントを作成したときにダウンロードした JSON ファイル、または Google Cloud([IAM と管理] 次に [サービス アカウント] 次に 目的のサービス アカウント名をクリック)で確認できます。

  3. [**OAuth スコープ**] に、次のスコープを入力します。

    https://www.googleapis.com/auth/admin.directory.user

  4. [承認] をクリックします。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。