このブログを検索

2018年11月20日

【Apps調査隊】Gmail API を使ったGmail 委任設定ついて調査せよ② -Google OAuthの設定、APIの許可方法-


Apps調査隊の小林です。

Gmail API の拡張により、 G Suite 管理者は Gmail の受任者を追加、確認、削除できるアプリを承認できるようになりました。

3回に分けて 「Gmail API を使ったGmail 委任設定についてご紹介しておりますが、今回は2回目のAPIを利用するためのGoogle Cloud Platformでの設定をご紹介致します。

 ーーーーーーーーーーーーーーーーーーーーーーー

【第1回】 Gmail代理と委任について

【第2回】 APIを利用するための設定について プロジェクトの作成、Google OAuthの設定、APIの許可方法など

【第3回】 Gmail API を使ったGmail 委任設定: Users.settings.delegatesのOAuth 2.0 Playground を使用したテストの方法

 ーーーーーーーーーーーーーーーーーーーーーーー

管理コンソールでAPIを有効化します。
 管理コンソール > セキュリティ > アクセスを有効にするに☑をいれます。

まずはGCPに登録

Google APIサービスを利用するには、Google Developer Consoleにプロジェクト登録と設定が必要です。

 APIを利用するために以下の設定が必要になります。
・プロジェクトの作成
・APIの許可
・認証情報の作成(OAuthクライアントID)

プロジェクトの作成します

1)GCP Console API ライブラリに移動します。


 2)新しいプロジェクトを作成します。

3)プロジェクト名、プロジェクト ID :プロジェクトに付けられたグローバル固有 IDを入力し、組織を選択します。作成するプロジェクトは管理対象ドメイン下に作成されます。ドメイン管理者には、プロジェクトとそのリソースに対する完全なアクセス権が設定されます。

場所(作成するプロジェクトを保管する親組織かフォルダ)を選択します。「参照」より親組織やフォルダを検索できます。


4)プロジェクト作成後、プロジェクトのモニタリングページが表示されます。


 5)スタートガイドの「APIを有効化し、鍵などの認証情報を取得」もしくは、
APIの「➔APIの概要に移動」をクリックし、APIとサービスの管理ページに移動します。


 6)APIとサービスの管理ページ 左メニューの「ライブラリ」をクリックします。



APIの許可


Gmail APIを選択し有効化します。

1)APIとサービスの管理ページ 左メニューの「ライブラリ」をクリックします。 APIライブラリページに移動します。


2)「有効化にする」をクリックします。


3)有効化されたAPIを確認し、目的のAPIが追加されていることを確認します。これでアプリから利用するAPIの設定は完了です。



API の有効化と無効化
https://cloud.google.com/apis/docs/enable-disable-apis?hl=ja&visit_id=636763919881618105-394637646&rd=1

認証情報の作成(OAuthクライアントID)

使用したい API を有効にしてから認証情報を作成します。

【認証の種類】
認証は2種類があります。
・OAuth2.0証明書を使う認証:ユーザーに対して同意画面を表示し、ユーザーに認証を求めます。
・サービスアカウントを使う認証:プログラムからAPIへ問い合わせすることができます。ユーザーに対して同意画面を表示はありません。

アプリケーションがAPIを使用してGoogleユーザーのデータにアクセスする場合、 OAuth2.0証明書を使う認証を行います。

【メモ】
 OAuth2.0証明書とは、
 悪意のあるアプリケーションからAPIを保護する仕組みです。

アプリケーションがOAuth2.0証明書で認証されると、アプリケーションのユーザーに同意画面が表示されます。

 同意画面でユーザーが同意すると、アプリケーションがユーザーデータにアクセスするための認証コードが生成されアプリケーションに送信されます。

アプリケーションは認証コードを使ってアクセストークンを取得し、アクセストークンを使ってユーザーデータにアクセスします。

 API キーの使用については以下をご参考く ださい。
https://cloud.google.com/docs/authentication/api-keys?hl=ja&visit_id=636776940301877220-1500688703&rd=1

クライアントIDの設定を行います。

 Google Drive APIは、アプリからユーザーデータへアクセスすることになるので、「OAuth 2.0によるユーザーデータへのアクセス」に該当します。

1)右側メニューの「認証情報」をクリックします。
「認証情報を作成」をクリックします。



2)OAuthクライアントIDをクリック


※プロジェクト内ではじめてクライアントIDを作成する場合は、同意画面の設定要求が表示されます。


3)「OAuth同意画面」で必須のメールアドレスとサービス名を入力します。

-メールアドレス
-サービス名
は必須項目になります。


その他URLなどは必要に応じて入力してください。 サービスロゴを省略した場合は、アプリアイコンが使用されます。 入力が完了したら「保存」をクリックします。


 5)保存をクリックして完了します。



6)同意画面が保存されると「クライアントID作成画面」に移動します。


7)アプリケーションの種類を選択します。今回は  ウェブアプリケーションを選択します。
次に、アプリケーションの名前、制限事項以下は必要であれば、 ブラウザからのリクエストで使用するJavaScript生成元 URI、 認証後ユーザーがリダイレクトされるアプリケーション内のURI を入力します。(設定は後から編集可能です。)


8)作成後、OAuthクライアントウィンドウに、クライアントIDとクライアントシークレットが表示されます。 これらをコピーして保存します。 「OK」をクリックして完了します。


 9)追加されたクライアントIDは認証情報画面で表示されます。


以上で、Google Cloud Platformでの設定は完了です。
次回は、Gmail API を使ったGmail 委任設定: Users.settings.delegatesのOAuth 2.0 Playground を使用したテストの方法をご案内いたします。