【管理者・オーナー向け】Google WorkspaceでSCIMプロビジョニングを設定する方法

Google WorkspaceをIdPとして、Hubbleとのプロビジョニングを設定をするマニュアルです。

💡〈注意〉

【目次】

1. プロジェクトを作成する

2. APIを有効にする

3. サービスアカウントを作成する

4. サービスアカウントの情報を取得する

5. Google管理コンソールでAPIスコープを承認する

6. Hubbleの管理画面で設定をする

作成を選択します。

プロジェクトの作成が完了したら、プロジェクト「Hubble」を選択した状態で、ナビゲーションメニュー（画面左上の「三本線のアイコン」）から「APIとサービス」→「ライブラリ」をクリックします。

「このページを表示するには、プロジェクトを選択してください。」と表示される場合：「選択」ボタンをクリックして、作成したプロジェクト「Hubble」を選択します。

検索窓に以下のAPIを入力して検索し、APIを有効化します。ナビゲーションメニューから「APIとサービス」→「ライブラリ」をクリックし、有効化する操作を繰り返します。

検索窓から上記を検索し有効化します。

「APIとサービス」→「有効なAPIとサービス」から画面下部の一覧表で、APIを有効化したか確認可能です。

ロールをオーナーにして完了をクリックするとサービスアカウントが作成されます。

該当のサービスの三点リーダーから「鍵を管理」を選択します。

キーを追加を選択します。

キーAI自動入力機能お追加からキーのタイプはJSONを選択します。

作成をクリックすると秘密鍵が作成されます。

続けて「詳細」をクリックし、「サービスアカウントの詳細」画面で表示される「メール」と「一意のID」の値をテキストエディタなどにコピー＆ペーストして控えます。

ナビゲーションメニューから「IAMと管理」→「IAM」をクリックし、表示された画面で、「Hubble」プロジェクトの役割が、「オーナー」もしくは「編集者」であることを確認します。

役割の設定を確認できたら、Google Cloud Platform での対応完了です。

Google特権管理者で https://admin.google.com/ にログインし、「セキュリティ」→「アクセスとデータ管理」→「API の制御」→「ドメイン全体の委任を管理」→「新しく追加」と進みます。

クライアントID：「4.サービスアカウントの情報を取得する」で確認した「一意のID」を入力

OAuth スコープ：以下の3つのURLすべてをコピー＆ペーストして入力してください（「,」も含めてコピー）

上記の値を入力し、「承認」をクリックします。「詳細を表示」より、入力した内容が追加されたことを確認します。

秘密鍵を含むJSONファイルをアップロードします

①へGoogle Workspace特権管理者のメールアドレスを、②へドメインを入力します。入力後、更新をクリックします。

プロビジョニングする対象を選択します。

ユーザープロビジョニングのフィルタ（ユーザー作成）

グループプロビジョニングのフィルタ（グループ作成）

グループがあり、ユーザーと紐づいている場合はHubble上にアカウントをグループ内にユーザーが紐づきます。

例）

①グループAとグループBのユーザーを作成した。

②グループAとグループBのグループ作成した。

③その場合、グループAには、グループAのメンバーが紐づきます。グループBには、グループBのメンバーが紐づきます。