ユーザーの ID

このページでは、 Google Cloudにアクセスできるように組織内のユーザーの ID を構成する方法について説明します。ユーザーがアプリケーションの認証に使用する ID については説明しません。アプリケーションでユーザーの認証を行う方法については、Identity Platform のドキュメントで顧客 ID とアクセス管理(CIAM)の説明をご覧ください。

ユーザーが Google Cloudにアクセスするには、 Google Cloudが認識できる ID が必要です。Google Cloud が ID を認識できるように ID を構成するには、いくつかの方法があります。

Cloud Identity アカウントまたは Google Workspace アカウント

Cloud Identity または Google Workspace を使用して管理対象のユーザー アカウントを作成できます。これらのアカウントはライフサイクルと構成を制御するため、管理対象アカウントと呼ばれます。これらのアカウントのユーザーは、 Google Cloud で認証を行い、 Google Cloud リソースの使用許可を得ることができます。

Cloud Identity と Google Workspace は、共通の技術プラットフォームを共有します。どちらのプロダクトにも、ユーザー、グループ、認証を管理するために同様の機能が用意されています。

Cloud Identity または Google Workspace で管理される特権管理者アカウントのみが、管理対象外の一般ユーザー向けアカウントを持つユーザーを招待して、その一般ユーザー向けアカウントを管理対象アカウントに移行できます。

Cloud Identity または Google Workspace を使用するには、次の操作を行います。

フェデレーション ユーザー ID

ID を連携させると、ユーザーが既存の ID と認証情報を使用して Google サービスにログインできるようになります。 Google Cloudで ID を連携するには、いくつかの方法があります。

Cloud Identity または Google Workspace を使用した連携

ID を Cloud Identity または Google Workspace と連携させると、ユーザーが Google サービスへのアクセス時にパスワードの入力を求められることはありません。代わりに、外部 ID プロバイダ(IdP)にリダイレクトされます。

このタイプの ID 連携を使用するには、ユーザーは外部 IdP の外部 ID と Cloud Identity または Google Workspace で対応する Google アカウントを持っている必要があります。通常は同じメールアドレスを使用します。これらのアカウントの同期を維持するには、Google Cloud Directory Sync(GCDS)などのツールを使用するか、外部の信頼できるソースを使用してアカウントをプロビジョニングします。たとえば、Microsoft Entra IDActive Directory を使用してアカウントのプロビジョニングを設定できます。

Cloud Identity または Google Workspace を使用した連携の詳細については、シングル サインオンをご覧ください。

Workforce Identity の連携

Workforce Identity 連携では、外部 ID プロバイダ(IdP)を使用して、ワークフォース(従業員、パートナー、請負業者などのユーザー グループ)を IAM を使用して認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携では、Cloud Identity の Google Cloud Directory Sync(GCDS)とは異なり、既存の IdP から Google CloudID にユーザー ID を同期する必要はありません。Workforce Identity 連携は、 Google Cloudの ID 機能を拡張して、同期のない属性ベースのシングル サインオンをサポートします。

Workforce Identity 連携の詳細については、Workforce Identity 連携の概要をご覧ください。

次のステップ