2024.08.23 コラム
Google Cloud と外部IDプロバイダーの連携:Cloud Identity と Workforce Identity の比較
はじめに
こんにちは、DataCurrent の笹沼です。
最近、外部IDで Google Cloud のサービスを利用したいという要望をよく聞きます。
企業ではユーザー管理や多数の外部サービスとの連携においてID管理が不可欠です。
Google はID管理ソリューションを提供しています。このコラムでは、外部IDプロバイダーと Google Cloud を連携するサービスを紹介します。内容は Cloud Identity と Workforce Identity の比較です。
Google Workspace もありますが、Cloud Identity とアカウント管理機能は同じため、本コラムでは同じサービスとして扱います。
目次
はじめに
目次
全体像
事前知識
Google アカウント
Google Cloud 組織リソース
組織ドメインについて
ID Provider(IdP)
Cloud Identity とは?
エディション
Google Workspace とは?
Workforce Identity 連携とは?
Workload Identity 連携との違い
外部ID連携
Cloud Identity を利用する場合
Workforce Identity 連携を利用する場合
外部ID連携の比較
主なユースケース
まとめ
全体像
先に全体像の説明をします。この部分を理解されている方は途中の説明を飛ばしていただいても問題ありません。
以下は全体像を表した図です。
Cloud Identity を利用した Google Cloud との外部ID連携は Google アカウントに ID を同期します。
Workforce Identity 連携を利用した Google Cloud との外部ID連携は外部IDで Google Cloud IAM へIDを連携します。
2つの違いを理解するために、Google サービスについて必要な知識を解説していきます。
事前知識
Google Cloud のログインに必要な用語を解説します。
Google アカウント
Google Cloud を利用するためには Google アカウントが必要です。Google Cloud には、Google アカウントでログインします。以下の3種類の Google アカウントが存在します。
- @gmail.comドメイン
- 個人用 Google アカウント
- 組織ドメイン
- Google Workspace アカウント
- Cloud Identity アカウント
詳細はこちらをご確認ください。
※ Google アカウントは他の IdP で言うユーザーIDです。
Google Cloud 組織リソース
Google Cloud ではリソース管理の単位が複数あります。組織リソースは、Google Cloud 内のプロジェクト、フォルダ、リソースを一元管理できます。
組織リソースは、Google Cloudリソース階層のルートノードであり、フォルダとプロジェクトリソースの祖先になります。組織リソースに適用されるIAMアクセス制御ポリシーは、組織の全リソースに適用されます。
https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy?hl=ja#organizations
Google Cloud は「組織なし」でも利用可能ですが、組織リソース機能を有効化していないと利用できないサービスが多くあります。特にプロジェクト管理やセキュリティ面を考慮すると、組織機能を利用した Google Cloud の管理をお勧めします。
本コラムでは組織リソースを利用します。ID管理が対象のため、個人用 Google アカウントについては取り扱いません。
組織ドメインについて
Google Cloud で組織を有効にするためには、Google Workspace か Cloud Identity の利用が必要です。
組織リソースは、Google WorkspaceとCloud Identityのユーザーが使用できます。
https://cloud.google.com/resource-manager/docs/creating-managing-organization?hl=ja
後述する Workforce Identity 連携も組織リソースで利用するサービスです。
Google Cloud で外部ID連携するためには組織リソースが必要です。
ID Provider(IdP)
ユーザーIDを保存および検証するサービスです。代表的なものには、Active Directory や Microsoft Entra ID(旧Azure AD)などがあります。Google アカウントも Google が IdP として提供するユーザーIDです。
本コラムでは扱いませんが、オンプレミスでユーザー管理をしている場合、Google Cloud Directory Sync(GCDS)を使用して、既存の LDAP ディレクトリ内のユーザーデータと Google アカウントを同期する方法があります。
Google Cloud Directory Sync (GCDS)を使用すると、GoogleアカウントのデータをMicrosoft Active DirectoryまたはLDAPサーバーと同期できます。
https://support.google.com/a/answer/106368?hl=ja
Cloud Identity とは?
Google アカウントを管理する IDaaS です。
Cloud Identityは、ユーザーとグループを一元管理するIDaaS(Identity as a Service)ソリューションです。Cloud Identityを構成すると、Googleと他のIDプロバイダ(Active Directory、Microsoft Entra IDなど)の間でIDを連携させることができます。
https://cloud.google.com/identity/docs/overview?hl=ja
エディション
2種類のエディションがあります。
- Cloud Identity Free Edition
- Cloud Identity Premium Edition
当然ですが有償版であるPremium Editionの方がサポートが充実しています。大きな違いは高度なエンドポイント管理とセキュリティとデータ保護にあると思います。
Cloud Identity Premium – Free Edition のすべての機能に加え、企業向けセキュリティ、アプリケーション管理、デバイス管理サービスを利用可能。
https://support.google.com/cloudidentity/answer/7431902?sjid=3479696866470098716-AP
管理するユーザーが50人を超える場合やデバイス管理を利用したい場合は、Premium Edition でないと利用できません。
Google Workspace とは?
Cloud Identity に Gmail やカレンダーなどのグループウェア機能を追加したサービスです。
Google Workspaceは、チームが必要とするビジネスソリューションを一か所にまとめ、スムーズに統合しています。
https://workspace.google.com/intl/ja/business/
Cloud Identity は、Google Workspace の IDサービス部分を独立させたものです。
Cloud IdentityはIDaaS(Identity as a Service)ソリューションであり、企業向けモバイル管理(EMM)サービスです。Google Workspaceで利用できるIDサービスとエンドポイント管理をスタンドアロン型のサービスとして提供します。
https://support.google.com/cloudidentity/answer/7319251?hl=ja
Workforce Identity 連携とは?
外部IDとGoogle Cloud IAM の連携をするサービスです。
Workforce Identity連携では、外部IDプロバイダ(IdP)を使用して、IAMを用いて従業員(従業員、パートナー、請負業者などのユーザーグループ)を認証および認可し、Google Cloudサービスにアクセスできるようにします。
https://cloud.google.com/iam/docs/workforce-identity-federation?hl=ja
前述したGoogleアカウントなしでGoogle Cloudにログインできます。
注意点として、Workforce Identity 連携には組織リソース機能を利用します。そのため、Google Workspace か Cloud Identity で組織ドメインの作成が必要です。Google アカウントなしで Google Cloud にログインできる機能ですが、Workforce Identity 連携の構築には Google アカウントを使用します。
Workload Identity 連携との違い
Workforce Identity 連携と似た名前のサービスに Workload Identity 連携があります。こちらはサービスアカウントキーの代わりに利用し、ワークロードを集約します。Workforce Identity 連携はユーザー(人間)、Workload Identity 連携はシステム(作業)で利用する外部ID連携です。
Workload Identity連携を使用すると、サービスアカウントキーの代わりにフェデレーションIDを使用して、オンプレミスまたはマルチクラウドのワークロードにGoogle Cloudリソースへのアクセス権を付与できます。
https://cloud.google.com/iam/docs/workload-identity-federation?hl=ja
Workforce Identity連携は人間のユーザーを集約し、Workload Identity連携はマシンワークロードを集約します。
https://cloud.google.com/docs/authentication/identity-products?hl=ja#wfif
外部ID連携
Cloud Identity を利用する場合
Google Workspace と Cloud Identity は外部IDを Google アカウントに同期し、Google Cloud にログインします。
- 外部IDを発行
- Cloud Identity を利用して1.のIDを Google アカウントと同期
- 同期した Google アカウントで Google Cloud にログイン
Workforce Identity 連携を利用する場合
Workforce Identity 連携は外部IDで Google アカウントを利用せずに Google Cloud にログインします。
- 外部IDを発行
- Workforce Identity 連携を利用して ID を連携
- 1.の ID で Google Cloud にログイン
外部ID連携の比較
ここでは、Cloud Identity の有償版と無償版、Workforce Identity 連携の比較をしています。
項目 | Cloud Identity Premium | Cloud Identity Free | Workforce Identity Federation |
---|---|---|---|
特徴 | 高度なセキュリティと管理機能 | 基本的なID管理機能 | 外部IDプロバイダとの連携に特化 |
ユーザー管理 | Google Admin Consoleでユーザーとグループを管理 | 同左 | CLI(gcloud) |
認証 | MFA,条件付きアクセス | MFA | 外部IDプロバイダに依存 |
コスト | ユーザー数に応じた月額課金 | 無料(50人まで) | 無料 |
連携 | ディレクトリ同期 | 同左 | 属性マッピング |
デバイス管理 | Google エンドポイント管理 | なし | なし |
※認証方式はどれも OIDC、 SAML に対応しています。
※ Google Workspace の場合は、Cloud Identity Premium と機能は同じですが料金形態が異なります。
主なユースケース
どちらも既存の IdP を利用して Google Cloud リソースへアクセスできます。
Cloud Identity は、組織内のユーザーとデバイスの一元管理、Google Workspace および Google Cloud リソースへの統合されたアクセス管理を重視する場合にお勧めです。
Workforce Identity 連携は、Google アカウントへのユーザー同期が不要で、他の組織の従業員や外部パートナーなどの一時的なプロジェクトメンバーの管理に柔軟に対応する場合にお勧めです。
Cloud Identity では、ユーザー数が50人を超えると有料プランになるため、ID管理に追加費用をかけたくない場合、無料で利用できる Workforce Identity 連携の選択肢もあります。
しかし、Workforce Identity 連携は認証方法が IdP に依存することやCLIを使ったユーザー管理、Google Cloud のコンソールに一部制限があるため、その部分が許容できることが条件となります。
まとめ
Google Cloud のID管理ソリューション「Cloud Identity」と「Workforce Identity」を比較しました。
Google アカウントやID連携の方法を簡単にまとめると以下になります。
- Google アカウントは3種類
- 個人用アカウント
- Google Workspace
- Cloud Identity
- Google アカウント管理は2種類
- Google Workspace
- Cloud Identity
- 外部ID連携は2種類
- Cloud Identity を用いたID同期
- Workforce Identity を用いたID連携
ここまで理解したところで、次回は Microsoft Entra ID(旧称Azure Active Directory)を使い、Cloud Identity と Workforce Identity 連携の2つで Google Cloud へ実際にログインしてみたいと思います。
自社に専門人材がいない、リソースが足りない等の課題をお持ちの方に、エンジニア領域の支援サービス(Data Engineer Hub)をご提供しています。
お困りごとございましたら是非お気軽にご相談ください。
【本件に関するお問い合わせ先】
DataCurrent 広報
E-mail:info@datacurrent.co.jp