無料で使えるGoogleのIDaaS「Google Cloud Identity Free Edition」を利用してみた

みなさん、こんにちは！
AWS事業本部の青柳＠福岡オフィスです。

今回は、Googleが提供する IDaaS (Identity as a Service) である Google Cloud Identity を使い始めるまでの流れをご紹介したいと思います。

「Google Cloud Identity」とは

Googleが提供するユーザーアカウントのサービスと言えば、真っ先に「Googleアカウント」を思い浮かべる方も多いのではないかと思います。

Googleアカウントと「Google Cloud Identity」は何が違うのでしょうか？

大きな違いが、Googleアカウントが個人向けのサービスであるのに対して、Google Cloud Identityは組織 (会社や学校など) 単位でユーザーアカウントの管理ができるサービスという点です。

また、Googleアカウントではユーザーアカウント名 (メールアドレス) が原則として「〇〇〇〇@gmail.com」となるのに対して、Google Cloud Identityでは「〇〇〇〇@example.com」といった独自ドメインを利用できるという点もあります。

Google Cloud Identityのエディションについて

Google Cloud Identityには「Free Edition」と「Premium Edition」という2つのエディションがあります。

それぞれのエディションの違いは、主に以下の通りです。

• Google Cloud Identity Free Edition
  • 無料で利用可能
  • 作成できるユーザー数が「50」までに制限される
  • モバイルデバイス管理やセキュリティ対策などに関する基本的な機能が利用可能
  • サポートはコミュニティベースのもののみ提供
• Google Cloud Identity Premium Edition
  • 有償 (1ユーザーあたり$6/月)
  • ユーザー数の制限なし
  • より高度な管理・セキュリティ機能が利用可能
  • メールおよび電話による24時間365日のサポートを提供

(詳細については下記リンクを参照してください)
Cloud Identity の機能とエディションの比較 - Cloud Identity ヘルプ

また、Google Cloud Identityは、Googleのアプリケーションスイートである G Suite の機能の一部として利用することもできます。

契約しているG Suiteのプランが「Basic」「Business」の場合はGoogle Cloud Identity Free Edition相当の機能、「Enterprise」の場合はGoogle Cloud Identity Premium Edition相当の機能が利用可能です。

※ Basic/Businessプランで利用できるGoogle Cloud Identityは、Google Cloud Identity Free Editionを単体で利用する場合と比較して「作成可能ユーザー数」「サポート」の制約が緩和されます。
　・ユーザー数： 上限50 → G Suiteで契約したユーザー数まで利用可能
　・サポート： G Suiteのサポートサービスに準拠 (24時間265日の標準サポート)

Google Cloud Identity Free Editionを使ってみる

それでは、実際にGoogle Cloud Identity (以後「Cloud Identity」と表記します) を利用開始してみましょう。

今回は検証目的のため、無料の「Free Edition」を選択します。

準備

Cloud Identity Free Editionの利用を開始するにあたって、いくつか用意すべきものがあります。

自身が管理しているドメイン

Cloud Identityと紐付けるドメインを用意します。
「example.com」のようなシンプルなドメイン名でも構いませんし、「sub.example.com」のようなサブドメインを紐付けることもできます。
今回は、AWSのRoute 53を使って取得した「sub.〇〇〇〇.com」というドメインを使用することにします。

Google Cloud Platform (GCP) のアカウント

Cloud Identity Free Editionの利用開始はGCPのコンソールから行いますので、GCPのアカウントが必要です。
GCPのアカウントは無料で作成することができます。
また、今回の作業によってGCPの利用費が発生することはありません。
(アカウントの作成手順は割愛します。詳しくはGCPのWebサイトを参照してください)

GCPコンソールからCloud Identityの申し込みを開始する

GCPのアカウントでGCPコンソールにログインします。

メニューから「IAMと管理」→「IDと組織」の順に選択します。

「チェックリストに移動」をクリックします。

「(1) Identityアカウントを設定または確認する」の右側にある「開く」をクリックします。

「Identityアカウントを設定または確認する」ウィンドウが開きますので、下の方にスクロールして以下の選択を行います。

• オプションを選択して詳細な手順を見る： 「初めて利用する」を選択します

「CLOUD IDENTITYに申し込む」ボタンが現れますので、クリックします。

Cloud Identity利用開始の情報を入力する

Cloud Identityを利用開始するための諸情報を入力していきます。

「次へ」をクリックします。

Cloud Identityを利用する企業または組織の情報を入力します。
と言っても、ここで入力する情報はCloud Identityのアカウント管理に直接関係する内容ではありません。
今回は検証目的のため、下図のように入力しました。

「日本」を選択して、「次へ」をクリックします。

管理者アカウントの連絡用メールアドレスを入力します。
どのようなメールアドレスでも構いませんが、管理者アカウントのパスワードを紛失した場合などの復元用にも使われますので、確実に受信可能なメールアドレスにすることをお勧めします。
(後から変更することも可能です)

Cloud Identityに紐付けるドメイン名を入力します。

入力したドメインに「MXレコード」(メールサーバー情報) が設定されていない場合、このような警告が表示されます。
今回はG Suiteのメールサービスを利用しませんので、このまま「次へ」をクリックします。

管理者アカウントの名前 (姓・名) を入力します。
一般的に、管理者アカウント (rootやadmin) を特定の人に紐付けるのは推奨されないと思いますが、とりあえず自分の名前を入力しておきます。
(これも後から変更可能です)

管理者アカウントのログイン情報を入力します。
ユーザー名は任意に設定できますが、ここは標準的な「admin」にします。

Googleからのお知らせメール配信の要否について、「OK」または「いいえ」のいずれかを選択します。

最終確認ページです。
「私はロボットではありません」にチェックを入れて、「同意してアカウントを作成」をクリックします。

これでCloud Identityの利用が開始されました。

「設定に進む」をクリックします。

Google管理コンソールへログインする

Cloud Identityのアカウント管理は、G Suiteなどの管理と共通の「Google管理コンソール」で行います。

前の手順の続きで、自動的に管理コンソールへのログイン画面に遷移します。
さきほど設定した「管理者アカウント」のメールアドレスが既に入力されていますので、「次へ」をクリックします。

パスワードを入力して、「次へ」をクリックします。

初回ログインのため、本人確認の実施を求められます。
携帯電話・スマートフォンのショートメッセージ (SMS) で確認しますので、電話番号を入力します。

SMSで確認コード (「G-XXXXXX」) が送られてきますので、「G-」の部分を除いた6桁の数字を入力します。

サービス利用の同意画面が表示されます。(初回ログイン時のみ)
「同意する」をクリックします。

管理コンソールへログインできました。

初回の設定作業がありますので、「次へ」をクリックします。

ドメイン所有権の証明

Cloud Identityを利用開始するにあたっての初期設定として、「ドメイン所有権の証明」を行う必要があります。

これは、Cloud Identityとの紐付けを指定したドメインを「間違いなく私が所有している」ということをGoogleに対して証明するものです。

(このプロセスが無いと、他人が勝手にドメインをCloud Identityに紐付けて利用することが可能になってしまいます)

下図の画面になりますので、「所有権を証明」をクリックします。

ドメインの所有権を証明する方法として、以下のいずれかを選択することができます。

• TXTレコードを作成する (推奨)
• CNAMEレコードを作成する
• メタタグを追加する
• HTMLファイルをアップロードする

今回はGoogleが推奨する「TXTレコードを作成する」手順で進めます。

確認方法が「TXT確認」となっていることを確認して、「続行」をクリックします。

TXTレコードに設定する文字列 (「確認コード」) が表示されています。
この後の手順で使いますので、その際はこの画面から文字列をコピーするようにしてください。

また、その下にはドメインのTXTレコードを作成する具体的な手順が案内されています。
なんと、AWSのRoute 53でホストされているドメインであることが自動的に判別されており、AWS向けの手順が表示されています。

(ただし、案内されている手順はAWSマネジメントコンソールのUIが古いものになっていますので、その点は注意してください)

ここからは、AWSマネジメントコンソールを操作していきます。

Route 53の画面から、対象ドメインのホストゾーンを選択して、「レコードを作成」をクリックします。

「シンプルルーティング」を選択して、「次へ」をクリックします。

「シンプルなレコードを定義」をクリックします。

レコードの定義内容を以下のように入力します。

• レコード名： 空欄のままにします
• 値/トラフィックのルーティング先： 「レコードタイプに応じたIPアドレスまたは別の値」を選択します
• 値のテキスト： Cloud Identityの「ドメインの所有権の証明」画面に表示されている「TXT確認コード」をコピーして、貼り付けます
• レコードタイプ： 「TXT」を選択します
• TTL： デフォルト値 (300秒) のままにします

上記の通り入力または選択したことを確認して、「シンプルなレコードを定義」をクリックします。

TXTレコードが追加されたことを確認して、「レコードを作成」をクリックします。

ドメインのホストゾーンにTXTレコードが作成されました。
AWSマネジメントコンソールでの作業はここまでです。

Cloud Identityの画面に戻り、画面を一番下までスクロールします。

「ドメインの所有権を証明」ボタンがありますので、クリックします。

Googleによって対象ドメインのTXTレコードの確認が行われますので、しばらく待ちます。

「＜ドメイン名＞の所有権を証明しました」と表示されれば、作業完了です。

このまま「新しいユーザーを作成する」に進むこともできますが、ここでは画面左上の「Google Admin」をクリックします。

管理コンソールのトップ画面が表示されました。
ここから、各種の管理を行うことができます。

以後、管理コンソールにアクセスする場合は、https://admin.google.comにアクセスして、管理者アカウントのメールアドレスとパスワードでログインすることができます。

おわりに

今回は、Google Cloud Identity Free Editionの利用開始から「Google管理コンソール」へ管理者アカウントでログインするまでの手順をご紹介しました。

Google管理コンソールの操作方法については、こちらのブログ記事が参考になるかと思います。

こちらのブログ記事では「G Suite」を利用している環境下でのGoogle管理コンソールの使い方をご紹介しています。
今回利用したGoogle Cloud Identityの場合とは画面が若干異なるかもしれませんが、「Google管理コンソールを使ってどのようなことができるのか」という点では参考になるのではないかと思います。

Google Cloud Identity Free Editionは無料で利用開始できますので、みなさんも是非試してみてください！