ドメイン全体の委任を使用すると、Google Workspace for Education の特権管理者は、特定のユーザーの同意を必要とせずに、ドメイン内のユーザーのデータにアクセスする権限をサードパーティ アプリケーションに付与できます。ドメイン全体の委任は、サービス アカウントまたはサードパーティ アプリケーションのクライアント ID を指定して、Google 管理コンソールで行います。
サービス アカウントは、個々のユーザーではなく Google Cloud プロジェクトに属するアカウントです。アプリケーションは、個々のエンドユーザーではなく、サービス アカウントの代理として Google API へのアクセスをリクエストできます。サービス アカウントは Google Cloud コンソールで設定します。
OAuth クライアント ID は、Google のサーバーに対してアプリケーションを識別するために使われる公開識別子です。
ドメイン全体の委任の設定
Google Workspace の特権管理者は、管理コンソールでドメイン全体の委任を使用してサービス アカウントまたは OAuth クライアント ID を設定できます。
- 管理コンソールで、メインメニュー > [セキュリティ] > [アクセスとデータ管理] > [API の制御] に移動します。
- [ドメイン全体の委任] で [ドメイン全体の委任を管理] を選択します。
- [新しく追加] をクリックします。
- [クライアント ID] フィールドに、サービス アカウントのクライアント ID またはアプリケーションの OAuth クライアント ID を入力します。[OAuth スコープ] フィールドに、サービス アカウントまたはアプリケーションに付与する OAuth スコープのリストを入力します。
- [承認] をクリックします。
管理者が Google Workspace Marketplace からドメイン用のアプリケーションをインストールする場合、そのアプリケーションで使用されるサービス アカウントを手動で設定する必要はありません。必要な権限はインストール時に自動的に付与されます。
リソース
- ドメイン全体の委任のベスト プラクティス