
Cloud Identity Free プランで独自ドメインのユーザーアカウントを作成してみた
アノテーション、Google Cloud が大好きな村上です。
「Google Cloud を組織で利用したいが、ユーザー管理はどうすれば良いのか」 「スタッフ個人の Gmail アカウントで IAM ロールを付与しているが、退職者が出た際のアカウント削除が煩雑で困っている」といったお問い合わせをいただくことがあります。
このような「ユーザー管理の属人化」や「セキュリティリスク」といった課題をスマートに解決するのが、IDaaS(Identity as a Service)サービスの Google Cloud Identity です。Cloud Identity を利用することで、Google Workspace を契約していなくても、組織で所有する独自ドメインを使ってユーザーを一元管理できます。そして何より、基本的な機能は無料で利用開始できます。
今回は、この Cloud Identity の設定手順を、大量のスクリーンショットとともに解説していきます。
Step1: Cloud Identity Freeプランに申し込む
それでは、早速設定を始めます。公式ドキュメントに記載の登録ページからサインアップを開始します。
Cloud Identity に申し込む - Cloud Identity ヘルプ
-
会社名、従業員数、地域を入力します。
-
次に、管理者となるあなたの氏名と、現在サインインしているアカウントのメールアドレスを入力します。
- 組織で管理したい独自ドメイン名を入力します。
-
入力したドメインでアカウントを設定することを確認します。
-
最後に、Cloud Identityを管理するための管理者アカウント(ユーザー名とパスワード)を作成します。このユーザーが組織の最初のユーザーとなります。
「同意して続行」をクリックすると、アカウントの作成は完了です。
Step2: ドメインの所有権を証明する (Cloud DNS利用)
次に、入力したドメインの所有者であることを証明します。これは、第三者によるなりすましを防ぐための重要な手続きです。
- アカウント作成後、ドメイン設定の開始を促す画面が表示されます。「Get started」をクリックして進みましょう。
-
ドメインホスト(ドメインの DNS レコードを管理しているサービス)を選択します。今回は Google Cloud の「Cloud DNS」で管理しているケースを想定して進めます。
-
ドメインを証明するためのコードが表示されます。ドメインの所有権を証明するにはいくつか方法がありますが、今回は Google が推奨する TXT レコードではなく、CNAME レコードを使う方法を試してみます。どちらの方法でも証明は可能ですが、CNAME レコードは特定のホスト名に対するエイリアス(別名)を設定するものです。表示された Host と Points to の値をそれぞれコピーしておきます。
- ここから別のタブで Google Cloud コンソールを開きます。 コンソールの左ペインから Network services > Cloud DNS を選択し、設定対象のゾーン詳細画面に移動します。
- 「レコードセットを追加」をクリックし、先ほどコピーした値を入力します。
項目 | 設定内容 |
---|---|
DNS名 | CNAMEの「Host」の値を貼り付けます。 |
リソースレコードのタイプ | 「CNAME」を選択します。 |
正規名 | CNAMEの「Points to」の値を貼り付けます。 |
-
作成後、レコードセットの一覧にCNAMEレコードが追加されたことを確認します。
-
元の Cloud Identity のタブに戻り、画面下部にある VERIFY DOMAIN (ドメインの確認)ボタンを押すと、あっという間にドメインが承認されました。DNS レコードの変更がインターネット全体に反映される(プロパゲーション)には数分〜数時間かかる場合があります。ボタンを押してもすぐに承認されない場合は、少し時間を置いてから再度試してみてください。(今回は幸いにもすぐに承認されました。)
Step3: 組織のユーザーを追加する
ドメインの所有権が証明されたので、いよいよ組織へ新しいメンバーを追加していきます。
-
証明完了画面、または送付されてきたメールのリンクから管理画面へアクセスします。Cloud Identity の管理画面です。
-
コンソールの左ペインから「Directory」>「Users」を選択し、「Add new user」をクリックします。
-
追加したいメンバーの姓名、ユーザー名(メールアドレスの@より前の部分)を入力してユーザーを作成します。
-
ユーザー一覧画面で、管理者アカウントと、新しく追加したユーザーが表示されていれば作業は完了です。
まとめ
今回は、大量のスクリーンショットを使い、Cloud Identity Free プランの導入手順を詳細に解説しました。
- Cloud Identity にサインアップし、管理者アカウントとドメインを登録する
- Cloud DNS に CNAME レコードを追加してドメインの所有権を証明する
- 管理コンソールから組織のユーザーを追加する
以上のステップで、個人の Gmail アカウントに依存しない、セキュアで管理しやすいユーザー基盤を構築することができました。
この記事がどなたかのお役に立てば幸いです。