Column

コラム

  • Google Cloud と外部IDプロバイダーの連携:Cl...

Google Cloud と外部IDプロバイダーの連携:Cloud Identity と Workforce Identity の比較

はじめに

こんにちは、DataCurrent の笹沼です。

最近、外部IDで Google Cloud のサービスを利用したいという要望をよく聞きます。

企業ではユーザー管理や多数の外部サービスとの連携においてID管理が不可欠です。

Google はID管理ソリューションを提供しています。このコラムでは、外部IDプロバイダーと Google Cloud を連携するサービスを紹介します。内容は Cloud Identity と Workforce Identity の比較です。

Google Workspace もありますが、Cloud Identity とアカウント管理機能は同じため、本コラムでは同じサービスとして扱います。

目次

はじめに
目次
全体像
事前知識
 Google アカウント
 Google Cloud 組織リソース
 組織ドメインについて
ID Provider(IdP)
Cloud Identity とは?
 エディション
 Google Workspace とは?
Workforce Identity 連携とは?
 Workload Identity 連携との違い
外部ID連携
 Cloud Identity を利用する場合
 Workforce Identity 連携を利用する場合
外部ID連携の比較
主なユースケース
まとめ

全体像

先に全体像の説明をします。この部分を理解されている方は途中の説明を飛ばしていただいても問題ありません。

以下は全体像を表した図です。
Cloud Identity を利用した Google Cloud との外部ID連携は Google アカウントに ID を同期します。
Workforce Identity 連携を利用した Google Cloud との外部ID連携は外部IDで Google Cloud IAM へIDを連携します。

全体像

2つの違いを理解するために、Google サービスについて必要な知識を解説していきます。

事前知識

Google Cloud のログインに必要な用語を解説します。

Google アカウント

Google Cloud を利用するためには Google アカウントが必要です。Google Cloud には、Google アカウントでログインします。以下の3種類の Google アカウントが存在します。

  • @gmail.comドメイン
    • 個人用 Google アカウント
  • 組織ドメイン
    • Google Workspace アカウント
    • Cloud Identity アカウント

詳細はこちらをご確認ください。

※ Google アカウントは他の IdP で言うユーザーIDです。

Google Cloud 組織リソース

Google Cloud ではリソース管理の単位が複数あります。組織リソースは、Google Cloud 内のプロジェクト、フォルダ、リソースを一元管理できます。

組織リソースは、Google Cloudリソース階層のルートノードであり、フォルダとプロジェクトリソースの祖先になります。組織リソースに適用されるIAMアクセス制御ポリシーは、組織の全リソースに適用されます。
https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy?hl=ja#organizations

Google Cloud は「組織なし」でも利用可能ですが、組織リソース機能を有効化していないと利用できないサービスが多くあります。特にプロジェクト管理やセキュリティ面を考慮すると、組織機能を利用した Google Cloud の管理をお勧めします。

本コラムでは組織リソースを利用します。ID管理が対象のため、個人用 Google アカウントについては取り扱いません。

組織ドメインについて

Google Cloud で組織を有効にするためには、Google Workspace か Cloud Identity の利用が必要です。

組織リソースは、Google WorkspaceとCloud Identityのユーザーが使用できます。
https://cloud.google.com/resource-manager/docs/creating-managing-organization?hl=ja

後述する Workforce Identity 連携も組織リソースで利用するサービスです。

Google Cloud で外部ID連携するためには組織リソースが必要です。

ID Provider(IdP)

ユーザーIDを保存および検証するサービスです。代表的なものには、Active Directory や Microsoft Entra ID(旧Azure AD)などがあります。Google アカウントも Google が IdP として提供するユーザーIDです。

本コラムでは扱いませんが、オンプレミスでユーザー管理をしている場合、Google Cloud Directory Sync(GCDS)を使用して、既存の LDAP ディレクトリ内のユーザーデータと Google アカウントを同期する方法があります。

Google Cloud Directory Sync (GCDS)を使用すると、GoogleアカウントのデータをMicrosoft Active DirectoryまたはLDAPサーバーと同期できます。
https://support.google.com/a/answer/106368?hl=ja

Cloud Identity とは?

Google アカウントを管理する IDaaS です。

Cloud Identityは、ユーザーとグループを一元管理するIDaaS(Identity as a Service)ソリューションです。Cloud Identityを構成すると、Googleと他のIDプロバイダ(Active Directory、Microsoft Entra IDなど)の間でIDを連携させることができます。
https://cloud.google.com/identity/docs/overview?hl=ja

エディション

2種類のエディションがあります。

  • Cloud Identity Free Edition
  • Cloud Identity Premium Edition

当然ですが有償版であるPremium Editionの方がサポートが充実しています。大きな違いは高度なエンドポイント管理とセキュリティとデータ保護にあると思います。

Cloud Identity Premium – Free Edition のすべての機能に加え、企業向けセキュリティ、アプリケーション管理、デバイス管理サービスを利用可能。
https://support.google.com/cloudidentity/answer/7431902?sjid=3479696866470098716-AP

管理するユーザーが50人を超える場合やデバイス管理を利用したい場合は、Premium Edition でないと利用できません。

Google Workspace とは?

Cloud Identity に Gmail やカレンダーなどのグループウェア機能を追加したサービスです。

Google Workspaceは、チームが必要とするビジネスソリューションを一か所にまとめ、スムーズに統合しています。
https://workspace.google.com/intl/ja/business/

Cloud Identity は、Google Workspace の IDサービス部分を独立させたものです。

Cloud IdentityはIDaaS(Identity as a Service)ソリューションであり、企業向けモバイル管理(EMM)サービスです。Google Workspaceで利用できるIDサービスとエンドポイント管理をスタンドアロン型のサービスとして提供します
https://support.google.com/cloudidentity/answer/7319251?hl=ja

Workforce Identity 連携とは?

外部IDとGoogle Cloud IAM の連携をするサービスです。

Workforce Identity連携では、外部IDプロバイダ(IdP)を使用して、IAMを用いて従業員(従業員、パートナー、請負業者などのユーザーグループ)を認証および認可し、Google Cloudサービスにアクセスできるようにします。
https://cloud.google.com/iam/docs/workforce-identity-federation?hl=ja

前述したGoogleアカウントなしでGoogle Cloudにログインできます。

注意点として、Workforce Identity 連携には組織リソース機能を利用します。そのため、Google Workspace か Cloud Identity で組織ドメインの作成が必要です。Google アカウントなしで Google Cloud にログインできる機能ですが、Workforce Identity 連携の構築には Google アカウントを使用します。

Workload Identity 連携との違い

Workforce Identity 連携と似た名前のサービスに Workload Identity 連携があります。こちらはサービスアカウントキーの代わりに利用し、ワークロードを集約します。Workforce Identity 連携はユーザー(人間)、Workload Identity 連携はシステム(作業)で利用する外部ID連携です。

Workload Identity連携を使用すると、サービスアカウントキーの代わりにフェデレーションIDを使用して、オンプレミスまたはマルチクラウドのワークロードにGoogle Cloudリソースへのアクセス権を付与できます。
https://cloud.google.com/iam/docs/workload-identity-federation?hl=ja

Workforce Identity連携は人間のユーザーを集約し、Workload Identity連携はマシンワークロードを集約します。
https://cloud.google.com/docs/authentication/identity-products?hl=ja#wfif

外部ID連携

Cloud Identity を利用する場合

Google Workspace と Cloud Identity は外部IDを Google アカウントに同期し、Google Cloud にログインします。

  1. 外部IDを発行
  2. Cloud Identity を利用して1.のIDを Google アカウントと同期
  3. 同期した Google アカウントで Google Cloud にログイン
外部ID連携(Cloud Identity を利用する場合)

Workforce Identity 連携を利用する場合

Workforce Identity 連携は外部IDで Google アカウントを利用せずに Google Cloud にログインします。

  1. 外部IDを発行
  2. Workforce Identity 連携を利用して ID を連携
  3. 1.の ID で Google Cloud にログイン
外部ID連携(Workforce Identity 連携を利用する場合)

外部ID連携の比較

ここでは、Cloud Identity の有償版と無償版、Workforce Identity 連携の比較をしています。

項目Cloud Identity PremiumCloud Identity FreeWorkforce Identity Federation
特徴高度なセキュリティと管理機能基本的なID管理機能外部IDプロバイダとの連携に特化
ユーザー管理Google Admin Consoleでユーザーとグループを管理同左CLI(gcloud)
認証MFA,条件付きアクセスMFA外部IDプロバイダに依存
コストユーザー数に応じた月額課金無料(50人まで)無料
連携ディレクトリ同期同左属性マッピング
デバイス管理Google エンドポイント管理なしなし

※認証方式はどれも OIDC、 SAML に対応しています。
※ Google Workspace の場合は、Cloud Identity Premium と機能は同じですが料金形態が異なります。

主なユースケース

どちらも既存の IdP を利用して Google Cloud リソースへアクセスできます。

Cloud Identity は、組織内のユーザーとデバイスの一元管理、Google Workspace および Google Cloud リソースへの統合されたアクセス管理を重視する場合にお勧めです。

Workforce Identity 連携は、Google アカウントへのユーザー同期が不要で、他の組織の従業員や外部パートナーなどの一時的なプロジェクトメンバーの管理に柔軟に対応する場合にお勧めです。

Cloud Identity では、ユーザー数が50人を超えると有料プランになるため、ID管理に追加費用をかけたくない場合、無料で利用できる Workforce Identity 連携の選択肢もあります。
しかし、Workforce Identity 連携は認証方法が IdP に依存することやCLIを使ったユーザー管理、Google Cloud のコンソールに一部制限があるため、その部分が許容できることが条件となります。

まとめ

Google Cloud のID管理ソリューション「Cloud Identity」と「Workforce Identity」を比較しました。

Google アカウントやID連携の方法を簡単にまとめると以下になります。

  • Google アカウントは3種類
    • 個人用アカウント
    • Google Workspace
    • Cloud Identity
  • Google アカウント管理は2種類
    • Google Workspace
    • Cloud Identity
  • 外部ID連携は2種類
    • Cloud Identity を用いたID同期
    • Workforce Identity を用いたID連携

ここまで理解したところで、次回は Microsoft Entra ID(旧称Azure Active Directory)を使い、Cloud Identity と Workforce Identity 連携の2つで Google Cloud へ実際にログインしてみたいと思います。

自社に専門人材がいない、リソースが足りない等の課題をお持ちの方に、エンジニア領域の支援サービス(Data Engineer Hub)をご提供しています。
お困りごとございましたら是非お気軽にご相談ください。

【本件に関するお問い合わせ先】
DataCurrent 広報
E-mail:info@datacurrent.co.jp

人気のコラムランキング

PICK UP

企業のDX推進におけるダッシュボード内製化について

DXmarketingPICK UP コラムダッシュボード内製化

企業のDX推進に向けた人材教育支援について

GA4marketingPICK UP コラム内製化

【データプライバシーコラム】電気通信事業法改正の解説(2022年7月時点)

CMPPICK UP コラムデータプライバシーデータプライバシーコラム個人情報保護

CMP導入時の注意点

CMPPICK UP コラムデータプライバシーデータプライバシーコラム個人情報保護

TOPへ
戻る