3. サービス アカウントを作成する

3-legged OAuth を Google の認証方法として使用している場合は、この手順をスキップして、ダウンロードとインストールに進んでください。

サービス アカウントを認証方法として使用する場合は、パスワード同期をインストールする前にアカウントを作成して設定しておく必要があります。自動化スクリプトを使用して作成する方法(推奨)と、手動で作成する方法とがあります。

現在: 手順 3/7

オプション 1: 自動化スクリプトを使用してアカウントを作成する

この GitHub スクリプトは、Google Workspace サポートの対象外です。スクリプトの使用中に問題が発生した場合は、手順に沿ってアカウントを手動で作成してください。詳しくは、スクリプトの使用についての記事をご覧ください。

  1. 特権管理者としてログインし、ブラウザ ウィンドウで Cloud Shell を開きます。
  2. エディタで「python3 <(curl -s -S -L https://git.io/password-sync-create-service-account)」と入力します。
  3. Cloud Shell ウィンドウで手順を完了します。
  4. [Download(ダウンロード)] をクリックし、サービス アカウントのクライアント ID が含まれる JSON ファイルをパソコンにダウンロードします。
  5. ダウンロードとインストールに進みます。

詳しくは、スクリプトの使用についての記事をご覧ください。

オプション 2: 手動でサービス アカウントを作成する

ステップ 1: プロジェクトを作成する

  1. Google Cloud にアクセスし、特権管理者としてログインします。コンソールに初めてログインする場合は、利用規約に同意してください。
  2. [IAM と管理] 次に [リソースの管理] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  3. 上部にある [プロジェクトを作成] をクリックし、プロジェクト名を入力します。
  4. (省略可)プロジェクトをフォルダに追加するには、[場所] で [参照] をクリックし、フォルダに移動して [選択] をクリックします。
  5. [作成] をクリックします。
  6. デフォルトでは、プロジェクトを管理する権限があるのはプロジェクトの作成者だけです。作成者が退職してもプロジェクトを管理できるように、少なくとも 1 人の他のユーザーにプロジェクト オーナーのロールを割り当てる必要があります。詳細については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

ステップ 2: サービス アカウントに対して API を有効にする

  1. 新規に作成したプロジェクトの横にあるチェックボックスをオンにします。
  2. [API とサービス] 次に [ライブラリ] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  3. Admin SDK API を検索し、API 名、[有効にする] の順にクリックします。

ヒント: 以下でメールアドレスを追加する場合は、共有管理者のメールアカウントを使用してください。

  1. Google Cloud で、あらかじめ作成しておいたプロジェクトを開きます。
    • サービス アカウントを手動で作成した場合は、ステップ 1: プロジェクトを作成するで作成したプロジェクトが該当します。
    • スクリプトを使用してプロジェクトを作成した場合は、スクリプトの実行後、Google Cloud Shell Editor のリストに名前が表示されたプロジェクトが該当します。
  2. [API とサービス] 次に [OAuth 同意画面] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  3. [ブランディング] をクリックします。

    [使ってみる] が表示されない場合は、ステップ 4 に進みます。必要がない場合は、ステップ 5 に進みます。

  4. [クライアント] をクリックします。

    [+ クライアントを作成] が表示された場合は、ステップ 4: サービス アカウントを作成するに進みます。必要がない場合は、ステップ 5 に進みます。

  5. [開始] をクリックします。
  6. [アプリ名] に、アプリケーション名(Google Workspace Migrate や GWM など)を入力します。
  7. [ユーザー サポートメール] に、ユーザーが質問する際に連絡できるメールアドレスを入力し、[次へ] をクリックします。
  8. [対象] で [内部] を選択し、[次へ] をクリックします。
  9. [連絡先情報] で、関連するメールアドレスを入力し、[次へ] をクリックします。
  10. [完了] で、[Google API サービス: ユーザーデータに関するポリシーに同意します] チェックボックスを選択します。
  11. [続行] 次に [作成] をクリックします。

ステップ 4: サービス アカウントを作成する

  1. [API とサービス] 次に [認証情報] をクリックします。必要に応じてメニュー アイコン を先にクリックします。
  2. [認証情報を作成] 次に [サービス アカウント] をクリックします。
  3. [サービス アカウント名] に、サービス アカウントの名前を入力し、必要に応じて説明を追加します。
  4. [作成して続行] 次に [完了] をクリックします。
  5. サービス アカウントの一意の ID の値をメモします。後で必要になります。この値はサービス アカウントのクライアント ID でもあります。

    ヒント: サービス アカウントの [詳細] タブまたは JSON ファイルでも値を確認できます。

  6. [完了] 次に[保存] をクリックします。
  7. 上部にある [] 次に [鍵を追加] 次に [新しい鍵を作成] をクリックします。
  8. 鍵のタイプが [JSON] に設定されていることを確認し、[作成] をクリックします。

    サービス アカウントの秘密鍵 JSON ファイルがパソコンにダウンロードされたことを知らせるメッセージが表示されます。

  9. ファイル名とブラウザが指定する保存場所をメモします。後で必要になります。
  10. [閉じる] をクリックします。

ステップ 5: 管理コンソールでクライアント ID を承認する

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [API の制御] 次に [ドメイン全体の委任を管理] にアクセスします。

    この操作を行うには、特権管理者としてログインする必要があります。

  2. [新しく追加] をクリックし、サービス アカウントのクライアント ID を入力します。

    この ID(一意の ID とも呼ばれます)は、サービス アカウントを作成したときにダウンロードした JSON ファイル、または Google Cloud([IAM と管理] 次に [サービス アカウント] 次に 目的のサービス アカウント名をクリック)で確認できます。

  3. OAuth スコープに、次のスコープを入力します。

    https://www.googleapis.com/auth/admin.directory.user

  4. [承認] をクリックします。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。