GoogleのCloud Identityに登録するドメインの注意点

クラウドインテグレーションサービス部の石井です。

私は、社内向けのGoogle Cloud検証環境の構築に携わっています。検証環境でユーザー管理をするために、Googleが提供するIDaaSソリューションである「Cloud Identity」を利用することにしました。Cloud Identityを利用するにはドメインの登録が必要なので登録しようとしたところ、ドメインに起因した問題が発生しました。

この記事では、これからGoogle Cloudを組織利用しようと考えている人や、組織利用するにあたりID管理の方法を検討している人に向けて、Cloud Identityにドメイン登録する際の注意点を紹介します。

Cloud Identityとは

Cloud Identityは、GoogleアカウントやGoogleグループを作成・管理できるIDaaSソリューションです。Cloud Identityで作成したGoogleアカウントには、二要素認証の強制、パスワードポリシー、アクセス元IPアドレス制限などを管理者側から設定できます。

Cloud Identityで作成したGoogleアカウントやGoogleグループに対して、Google CloudのIdentity and Access Management（IAM）から権限を付与することで、Google Cloudリソースへのアクセス管理を実現できます。なお、50アカウントまでは無償利用が可能です。

Cloud Identityの特徴

Cloud Identity以外にも、Googleアカウント・グループを作成・管理する方法はあります。いずれの方法で作成したGoogleアカウント・グループに対しても、Google CloudのIAMを使用してGoogle Cloudリソースを操作するための権限を付与できます。

ここでは、他のGoogleアカウント・グループを用意する方法と、検証環境でCloud Identityを選定した理由を説明することで、Cloud Identityの特徴を掴んでもらおうと思います。

Cloud Identity以外のGoogleアカウント・グループを用意する方法

Google Workspace

Google Workspaceは、IDaaS以外にもGmailやGoogleカレンダーなどのコラボレーションツールも利用できるソリューションです。Cloud Identityの多機能版といえます。

Cloud Identityと同様に、作成したGoogleアカウントやGoogleグループに対して、Google CloudのIAMから権限を付与することで、Google Cloudリソースへのアクセス管理を実現できます。

費用は1アカウントから掛かります。プランにより料金は異なり、最安値のプランでCloud Identityと同等であり、それ以外のプランではCloud Identityより高い料金体系となっています。

個人作成のGoogleアカウント

Googleアカウントは個人で作成できます。GmailやGoogle Driveを使用するために個人で作成したことがある方も多いかと思います。個人で作成したGoogleアカウントに対しても、Google CloudのIAMから権限を付与することで、Google Cloudリソースへのアクセス管理を実現できます。

ただし、個人で作成したGoogleアカウントは管理者による管理ができず、アカウントが流出した際の対処を管理者が実施できないため注意が必要です。

Cloud Identityを選択した理由

上記と比較して、Cloud Identityを選択した理由は3点あります。

セキュリティ

二要素認証の強制、パスワードポリシーの適用などのセキュリティ機能を使用したいため、個人作成のGoogleアカウントの利用は適切ではないと判断しました。

コスト

Cloud Identityは50アカウントまでの無料枠があり、この枠で検証環境の利用者数が賄えると見込みました。

機能

Google Cloudの検証環境を提供することが目的のため、Google Workspaceで使用できるGmailやGoogleカレンダーなどのツールは不要と判断しました。

このような理由から、Cloud Identityを利用することにしました。

方法	機能	セキュリティ	費用
Cloud Identity	ID管理が主たる機能	二要素認証の強制、パスワードポリシーの適用、アクセス元IP制限などを管理者が設定可能	7.20米ドル（1ユーザーあたり、年間契約） 50アカウントまでは無料
Google WorkSpace	ID管理に加えて、GmailやGoogleカレンダーなどの機能が使用可能	二要素認証の強制、パスワードポリシーの適用、アクセス元IP制限などを管理者が設定可能	7.20米ドル（1ユーザーあたり、年間契約） ※ 最も安価なプランの場合
個人作成のGoogleアカウント	GmailやGoogleカレンダーなどが利用可能	管理者による設定や管理は不可	無料

Cloud Identity
機能	ID管理が主たる機能
セキュリティ	二要素認証の強制、パスワードポリシーの適用、アクセス元IP制限などを管理者が設定可能
費用	7.20米ドル（1ユーザーあたり、年間契約） 50アカウントまでは無料
Google WorkSpace
機能	ID管理に加えて、GmailやGoogleカレンダーなどの機能が使用可能
セキュリティ	二要素認証の強制、パスワードポリシーの適用、アクセス元IP制限などを管理者が設定可能
費用	7.20米ドル（1ユーザーあたり、年間契約） ※ 最も安価なプランの場合
個人作成のGoogleアカウント
機能	GmailやGoogleカレンダーなどが利用可能
セキュリティ	管理者による設定や管理は不可
費用	無料

Cloud Identityに登録するドメインの注意点

Cloud Identityでは、初回設定時にドメイン登録が必須です。詳細な手順は公式ドキュメント^※をご参照ください。

※ Cloud Identity に申し込む - Cloud Identity ヘルプ

ここからは、Cloud Identityに登録するドメインの注意点について、実際に直面した事象とその解決策を踏まえて紹介します。

ドメイン所有組織内でGoogle Identity/Google Workspaceで利用するドメインが衝突しないようにする

Cloud Identityに紐づけるドメインには、以下2つの条件があります。

• ①ドメインの所有権を保持していること（DNS設定にTXTレコードを登録できること）
• ②Cloud IdentityまたはGoogle Workspaceで未使用のドメインであること

検証環境では、会社のドメインを使用する予定でした。しかし、このドメインはすでに他部門のCloud Identityで使用済みだったため、ドメイン登録が行えませんでした。

新たに独自ドメインを取得して登録する手段もあったのですが、コストを抑えて検証環境を構築する方針のため、今回は会社のドメインに属するサブドメインを作成して登録しました。

解決策はシンプルな内容でしたが、条件②について良く理解した上でドメインを選定することが重要です。

例えば、部門内での利用を見込んで構築している今回の検証環境で、会社のドメインが使用できたケースを想定します。その後、将来的に会社全体でGoogle Workspaceを使用したコラボレーションを行う可能性はゼロではありません。その場合は全社ドメインの競合が発生する可能性もあります。

このような事態に陥るリスクを抑えるために、将来的なドメイン競合の可能性も考慮した上で、他で使用予定がないドメインを使用したほうが良いと考えます。

ドメイン宛てにメール送信が行われることを考慮する

Cloud IdentityやGoogle Cloudを利用していると、問題のあるアクションの発生や、サービスアップデート情報などがメールで送信されます。このようなメールは、Googleアカウントの権限やサービスの利用状況に合わせて「<アカウント名>@<Cloud Identityで登録したドメイン>」宛てに自動的に送信されます。

自社ドメイン以外で登録した場合、メールサーバを用意しなければ通知メールを受け取れません（自社ドメインでもメールサーバが無い場合は用意する必要があります）。本検証環境でも当初はメールを受信できていませんでしたが、以下のようにサブドメインのメールアドレス宛のメールを、会社ドメインのメーリングリストに転送する設定を行いました。

1. Cloud IdentityからGoogleアカウント（例 admin-group@<サブドメイン>）を作成
2. Googleグループに対して、各種管理者/所有者権限を付与（権限があるグループやアカウント宛にメール送信されるため）
3. 親ドメインのメーリングリスト（例 admin-group@<親ドメイン>）を作成
4. DNSサーバーにadmin-group@<サブドメイン>からadmin-group@<親ドメイン>の転送ルールを追加

上記以外にもいくつか解決策はあります。Google Workspaceを使えばコストはかかりますが、Gmailを使用できるため煩わしい設定は不要です。Google CloudのサービスであるEssential Contactsを使用すれば、任意のメールアドレスを送信先として登録できます。こちらは、一部対象外のメールがあると公式ドキュメントに記載があるため、これを許容して利用する必要があります。

セキュリティ通知やアップデート情報もメール送信されるので、特に商用利用する場合はメールを受信できる状態にすることが望ましいでしょう。ラックの検証環境のようにCloud Identityを使用する場合には、登録したドメイン宛てのメールを受信できるようにする仕組みや設定の検討が必要だと思います。

最後に

今回の記事ではCloud Identityと、Cloud Identity利用時に登録が必須であるドメインの注意点を紹介しました。特にドメイン宛てのメール送信については、詳しく紹介されている資料が少なく、私自身が苦労したポイントでした。この記事が、これからGoogle Cloudを組織・チームで利用しようとしている方の参考になれば幸いです。

ラックでは、Google Cloudを活用するための様々な支援サービスを提供しています。クラウド環境における運用課題やセキュリティ課題の解消に向けた対応など、お客様の目的に合わせたサービスを提供しますので、お困りの際はぜひご相談ください。

プロフィール