Directory API: リクエストの承認

アプリケーションから Admin SDK API に送信するすべてのリクエストには、認証トークンを含める必要があります。このトークンは Google でアプリケーションを識別するためにも使用されます。

承認プロトコルについて

アプリケーションでは OAuth 2.0 を使用してリクエストを承認する必要があります。これ以外の承認プロトコルはサポートされていません。アプリケーションで Google ログインを使用している場合、承認手続きの一部が自動化されます。

OAuth 2.0 によるリクエストの承認

Admin SDK API へのすべてのリクエストは、認証済みのユーザーによって承認される必要があります。

OAuth 2.0 の承認プロセス（または「フロー」）の詳細は、開発するアプリケーションの種類によって若干異なりますが、次の一般的なプロセスは、すべての種類のアプリケーションに適用されます。

アプリケーションの作成時に、Google API コンソールを使用してアプリケーションを登録します。そうすると、後で必要になるクライアント ID やクライアントシークレットなどの情報が Google から提供されます。
Google API Console で Admin SDK API を有効にします（API が API コンソールに表示されない場合は、この手順をスキップしてください）。
アプリケーションは、ユーザーデータにアクセスする必要がある場合、特定のアクセス範囲を Google にリクエストします。
データをリクエストするアプリケーションの承認を求める Google の同意画面がユーザーに表示されます。
ユーザーが承認すると、Google からアプリケーションに短期間有効なアクセストークンが与えられます。
アプリケーションは、そのアクセストークンを付けてユーザーデータをリクエストします。
リクエストとトークンが有効であると判断されると、リクエストされたデータが返されます。

プロセスによっては、更新トークンを使用して新しいアクセストークンを取得するなど、追加の手順が必要になる場合もあります。各種アプリケーションに対するフローについて詳しくは、Google の OAuth 2.0 に関するドキュメントをご覧ください。

Admin SDK API で使用される OAuth 2.0 のスコープ情報は次のとおりです。

デバイス用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.device.chromeos`	Chrome デバイスのすべてのオペレーションにアクセスするためのグローバルスコープ。
`https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly`	Chrome デバイスの取得に限ったスコープ。
`https://www.googleapis.com/auth/admin.directory.device.mobile`	モバイルデバイスのすべてのオペレーションにアクセスするためのグローバルスコープ。
`https://www.googleapis.com/auth/admin.directory.device.mobile.readonly`	モバイルデバイスの取得に限ったスコープ。
`https://www.googleapis.com/auth/admin.directory.device.mobile.action`	モバイルデバイスでアクションを起こすタスクのためのスコープ。
グループ、グループエイリアス、グループメンバー用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.group.member`	グループメンバーのすべてのロールと情報オペレーションにアクセスするためのスコープ。
`https://www.googleapis.com/auth/admin.directory.group.member.readonly`	グループメンバーのロールと情報の取得に限ったスコープ。
`https://www.googleapis.com/auth/admin.directory.group`	グループのエイリアスやメンバーを含め、すべてのグループオペレーションにアクセスするためのグローバルスコープ。
`https://www.googleapis.com/auth/admin.directory.group.readonly`	グループ、グループエイリアス、メンバー情報の取得に限ったスコープ。
組織部門用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.orgunit`	組織部門のすべてのオペレーションにアクセスするためのグローバルスコープ。
`https://www.googleapis.com/auth/admin.directory.orgunit.readonly`	組織部門の取得に限ったスコープ。
ユーザーとユーザーエイリアス用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.user`	ユーザーとユーザーエイリアスのすべてのオペレーションにアクセスするためのグローバルスコープ。
`https://www.googleapis.com/auth/admin.directory.user.readonly`	ユーザーまたはユーザーエイリアスの取得に限ったスコープ。
`https://www.googleapis.com/auth/admin.directory.user.alias`	ユーザーエイリアスのすべてのオペレーションにアクセスするためのスコープ。
`https://www.googleapis.com/auth/admin.directory.user.alias.readonly`	ユーザーエイリアスの取得に限ったスコープ。
ユーザーセキュリティ機能用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.user.security`	すべてのアプリケーション固有のパスワード、OAuth トークン、確認コードのオペレーションにアクセスするためのスコープ。
ロール管理用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.rolemanagement`	ロールとロール割り当てを含め、すべてのロール管理オペレーションのためのスコープ。
`https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly`	ロール、権限、ロール割り当てを取得、列挙するためのスコープ。
カスタムユーザースキーマ用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.userschema`	カスタムユーザーのすべてのスキーマオペレーションにアクセスするためのスコープ。
`https://www.googleapis.com/auth/admin.directory.userschema.readonly`	カスタムユーザーのスキーマの取得に限ったスコープ。
顧客用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.customer`	顧客のすべてのオペレーションにアクセスするためのスコープ。
`https://www.googleapis.com/auth/admin.directory.customer.readonly`	顧客の取得に限ったスコープ。
ドメイン用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.domain`	ドメインのすべてのオペレーションにアクセスするためのスコープ。
`https://www.googleapis.com/auth/admin.directory.domain.readonly`	ドメインの取得に限ったスコープ。
カレンダーリソース用のスコープ	説明
`https://www.googleapis.com/auth/admin.directory.resource.calendar`	カレンダーリソースのすべてのオペレーションにアクセスするためのスコープ。
`https://www.googleapis.com/auth/admin.directory.resource.calendar.readonly`	カレンダーリソースの取得に限ったスコープ。

OAuth 2.0 を使用してアクセスをリクエストするには、アプリケーションの登録時に Google から提供された情報（クライアント ID やクライアントシークレットなど）の他に、このスコープ情報が必要になります。

ヒント: Google API クライアントライブラリで一部の承認プロセスを処理することもできます。これらのライブラリは、各種プログラミング言語で利用できます。詳しくは、ライブラリとサンプルのページをご覧ください。