Google Workspaceを利用していると、「自社のドメインのGoogleアカウントを持っている ≒ 自社の社員」とみなすことが出来ます。これを利用し、ステージング環境へのアクセスを自社内に制限したいときに、ALBでGoogleアカウント認証するといった手段が取れます。
※クラスメソッドさんのAmazon CognitoユーザープールLambdaトリガーでALB認証のメールアドレスを制限する の記事が大変有用です。
しかし、運用しているとそのうちに、臨時メンバーなどで「ステージング環境へのアクセス権は付与したいが、Gmail等の機能は不要で、Google Workspaceの月額費用を払うのももったいない」というケースも出てくるでしょう。そんなときに、Cloud Identity Freeを使うと、Google Workspaceライセンス無しで「自社ドメインのGoogleアカウント」を作成できることを知りました。
Google公式サイトでも紹介されています。
Google Workspace ライセンスが必要なのは、Gmail など一部の Google Workspace サービスを利用するユーザーのみです。Google Workspace サービスを一切必要としないユーザーを管理するには、そのようなユーザー向けに無料の Cloud Identity アカウントを作成してください。
Cloud Identity とは - Cloud Identity ヘルプより
試しに作ってみたので、手順を記録しておきます。
作成の手順
無料のユーザを作ろうにも、ユーザを追加するボタンを押した時点で「ライセンスがありません、買ってください」と言われて止まってしまうのでどうするのだろう、と悩んでいました。最初にCloud Identity Freeの無料ライセンスを購入するという手順が必要です。
Cloud Identity Freeの有効化
ググってよくヒットするのは https://workspace.google.com/gcpidentity/signup?sku=identitybasic#0 から登録するというものなのですが、これはGoogle Workspaceを使っていないドメインで新規に使い始める場合のフォームです。Google Workspace利用中の場合は手順が異なります。
まずGoogle Workspace管理コンソールのメニューで「お支払い」をクリックします。
「サブスクリプション」から「Cloud Identity Free」を確認します。購入前のスクリーンショットを撮り損ねたのでここでは有効化済になっていますが、初期状態では未購入になっています。「購入」の手続きを進めましょう(0円です)。
購入すると、Cloud Identity Freeのライセンスが利用可能になります。
無料ユーザの作成
普通にユーザを作ると、購入済みのGoogle Workspaceライセンスが自動で割り当てられてしまいます(余りが無ければ割り当てられません)。事故を防ぐため、自動割り当てしない組織部門を作ることが推奨されています。
組織部門にライセンスの自動割り当てを設定する を見て設定しましょう。事前に組織部門を作ったうえで、「お支払い」→「ライセンスの設定」で、「自動ライセンス」を「オフ」にします。ここでは「Google Workspaceライセンス無し」という名前の組織部門を作ってみました。
あとは、通常通りユーザを作成すれば良いのですが、組織部門を選択するのを忘れずに。
作成後、念の為にGoogle Workspaceライセンスが未割り当てのことを確認しておきます。
ちなみにライセンスありのユーザではこうなります。
無料ユーザでできること
元々の目的である組織のドメインでGoogle OIDCする他に、何ができるのでしょうか?
あまり良く理解していないのですが、Googleドキュメントは使えるようです。容量は共有されないようで、上限は15GBになっていました。ファイル共有に便利そうな気がします。
| 無料ユーザ | 一般ユーザ |
|---|---|
 |
 |
また、共有のダイアログで候補にユーザが出てくるので、ユーザ一覧のアクセス権に近い権限はありそうです。組織の中のユーザ、ではありますね。
しかし、GmailやGoogleカレンダーはサービスになく、直接アクセスしてもエラーになりました。
うまく使えば運用の幅が広がりそうです。