認証と認可は、Google Cloud のプロジェクトとリソースの リソースへのアクセスをそれぞれ制御できます。このドキュメントでは、Google Cloud での認証および 認証と認可の仕組みについて説明します。
このガイドでは、OAuth 2.0 とユーザーの Google 認証情報を使用して、 Meet REST API にアクセスする。認証と ユーザー認証情報で認証すると、Meet アプリがユーザーデータにアクセスできるようになります 認証されたユーザーの代理で操作を実行できますGoogle Cloud での認証により そのアプリはそのユーザーと同じ権限を持ち、ユーザーが ユーザーによって行われたかのようにアクションを実行します。
重要な用語
認証と認可に関連する用語のリストは次のとおりです。
- 認証
- プリンシパル(ユーザーになり得ます)を ユーザーの代わりに動作するアプリは ユーザーが本人であると表明します文章作成時 使用する際は、次の種類のリスクに注意する必要があります。 認証: ユーザー認証とアプリの認証です。対象 Meet REST API では、ユーザー認証を使用してのみ認証できます。
- 認可
- 権限、つまり「権限」アクセスする必要があります。 データの操作を実行できます。承認は、Terraform で記述したコードを通じて行われます。 説明しますこのコードは、アプリがユーザーの操作を希望することを ユーザーの代わりに、許可されている場合は、アプリ固有の認証情報を使用して認証情報を取得します。 データへのアクセスや操作の実行に必要な Google のアクセス トークンを取得します。
- サービス アカウント
- 特定の Google アカウントやユーザーの アクセスするための認証および許可を必要とする人間以外のユーザー クラウドベースのデータと運用の基盤です。アプリケーションは、サービス アカウントの サービス アカウントを Google API を呼び出すことで、ユーザーが直接アクセスできない できます。サービス アカウントを使用して、サービス アカウントを単独では 分析できますただし、サービス アカウントは、サービス アカウントを ドメイン全体の権限の委任。詳しくは、サービス アカウント 概要をご覧ください。
- ドメイン全体の権限の委任
- アプリケーションがユーザーにアクセスすることを承認できる管理機能 Google Workspace 組織のユーザーに代わって管理者が行います。ドメイン全体 委任を使用して、ユーザーデータに関する管理者関連のタスクを実行できます。宛先 委任できます。Google Workspace 管理者は サポートしています。この機能により、 管理者は、ドメイン全体の委任を有効にして、 できます。詳しくは、ドメイン全体の権限を サービス 。
Meet REST API のスコープ
認可スコープは、ユーザーに承認をリクエストする権限です。 アクセスする必要があります。ユーザーがアプリをインストールすると スコープを検証するよう求められます通常は、最もパフォーマンスの高い 範囲を狭くして、スコープの絞り込みを可能にし、アプリで使用するスコープを 不要ですユーザーは、明確に記述された制限付きへのアクセス権を、より容易に付与できる あります。
Meet REST API は、次の OAuth 2.0 スコープをサポートしています。
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.readonly |
ユーザーがアクセス可能な会議スペースのメタデータの読み取りをアプリに許可します。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/meetings.space.created |
アプリが作成した会議スペースに関するメタデータの作成、変更、読み取りをアプリに許可します。 | デリケートなコンテンツ |
https://www.googleapis.com/auth/drive.readonly |
Google Drive API から録画ファイルと文字起こしファイルをダウンロードすることをアプリに許可します。 | 制限付き |
次の Meet 関連の OAuth 2.0 スコープは Google Drive API のスコープリスト:
| スコープコード | 説明 | 用途 |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Google Meet で作成または編集されたドライブのファイルを表示する。 | 制限付き |
テーブルの [使用状況] 列は、各スコープの機密性を示しています。 次のように定義します。
推奨 / デリケート: これらのスコープは、特定の Google アプリに対してユーザーが承認したユーザーデータ。そのためには アプリが確認できるようになりますこの要件について詳しくは 機密スコープと制限付きスコープをご覧ください 要件。
制限付き: これらのスコープは、Google ユーザーデータと 制限付きスコープの検証プロセスを受ける必要があります。対象 この要件の詳細については、Google API サービスのユーザーデータ ポリシーと追加要件 (特定の API 用) スコープ。 制限付きデータをサーバーに保存する(または転送する)場合は、 セキュリティ診断を受けます
アプリで他の Google API にアクセスする必要がある場合は、それらのスコープを追加できます できます。Google API スコープの詳細については、OAuth 2.0 を使用した OAuth 2.0 の使用をご覧ください。 Google API にアクセスする。
ユーザーとアプリのレビュアーに表示する情報を定義するには、以下をご覧ください。 OAuth 同意画面を構成して、 スコープ。
特定の OAuth 2.0 スコープについて詳しくは、OAuth 2.0 スコープの Google API。
ドメイン全体の委任を使用して認証と認可を行う
ドメイン管理者は、ドメイン全体の委任を 認可する権限を有します。 サービス アカウントにそれらのロールを1 つまたは複数のコンテナを 同意します。ドメイン全体の委任を設定すると、サービスは ユーザーになりすますことができる 。 認証にはサービス アカウントが使用されますが、ドメイン全体の委任 ユーザーになりすましているため、ユーザー認証と見なされます。制限なし ユーザー認証を許可する機能では、ドメイン全体の委任を使用できます。
関連トピック
Google Workspace での認証と認可の概要については、 認証とポリシーの詳細を 承認します。
Google Cloud での認証と認可の概要については、以下をご覧ください。 Google。