新しいGCP組織をCloud Identityで作ってみた！

GCPの組織にプロジェクトを所属させ共有VPCを使うべく、Cloud Identityに新しいGCP組織を作ってみた。GCP組織は企業におけるGCP認証基盤であり、GCPプロジェクトに対するアクセス制御において重要な役割をもつ。

試したこと

• Cloud IdentityにGCPの組織を作る
• 組織なしプロジェクトをCloud Identityに紐づける

ポイント

• 他のCloud Identityにセカンダリドメインとしてドメインを登録されている場合は先に解除が必要。

必要なもの

• ドメイン
  作成の途中でTXTレコードによる所有権の確認が入る。これは他のクラウドでもよくある流れ。
• Cloud Identity Free版
  フリー版から始められるのでPremiumじゃなくてダイジョブ。
• 組織に紐づかないプロジェクト
  No organization(組織なし)のプロジェクト。
  テストなら新しいプロジェクトを用意してもヨシ。
  

作成の流れ

Cloud Identity管理者アカウントの作成

1. Cloud Identity のお申し込みに記載のあるリンクで次へボタンを押す。
   
   全体の流れはこっちのリンクを参考に。
   Cloud Identity に申し込む - Cloud Identity ヘルプ

2. 組織名となる文字列と組織の規模を選択。
   ここは会社名でもドメイン名でもなんでもよい。(ドメイン名はあとで入力)
   

3. 組織のある国を指定。
   

4. 連絡を受け取るためのメールアドレスを入力。
   このメールアドレスはあとから設定するCloud Identity管理者IDに紐づくメールアドレスとなるようだ。
   

5. ドメイン名を入力。
   

エラーではまる

6. 次に進めずエラーになった。
   別の組織のセカンダリドメインとしてこのドメインを登録してたことを思い出す。
   

7. その別組織のCloud Identity管理コンソールはこんな感じ。
   
   既存組織からcloudnized.comのユーザーとデバイス全部削除し、セカンダリドメインからcloudnized.comを削除。
   

8. リトライするもエラーに。

   このドメイン名は別の Google サービスで使用されています。お客様がこのドメインのオーナーで、Cloud Identity での利用をご希望の場合は、こちらの手順を行ってください

9. 別のヘルプでは既存組織からセカンダリドメインを削除後、新しい組織として利用できるようになるまで最大で48時間かかりそうな雰囲気。マジか。。。
   Google Workspace アカウントからドメインを削除する - Cloud Identity ヘルプ

   ドメインの再利用
   通常、ドメイン名は削除後 30 分以内に既存の Google Workspace アカウントで再利用できるようになります。ただし、ユーザーが多数登録されているドメインの場合は、最大で 24 時間ほどかか ることがあります。
   注: ドメインを新しい Google Workspace アカウントで使用できるようになるまでには、最大で 48 時間ほどかかることがあります。詳細

10. 30分ほど放置後もエラーは改善せず、よくよく見ていたら[ドメイン] - [ドメインの管理] のセカンダリドメインのところにcloudnized.comが隠れていやがりました。
    
    迷うことなく削除。
    

エラー解消

11. 削除したらエラーが解消した。次へをクリックする。
    

12. 管理者の名前を入力する。
    

13. Cloud Identityの管理者アカウントとパスワードを決める。
    

14. 予備のメールアドレスを指定。
    

15. お知らせの受信はお好みで。
    
    

16. 人間であることを証明してアカウントを作成する。
    

17. アカウントの作成が完了。
    このあとドメインの所有権を確認する手続きをする。
    

Cloud Identityドメイン所有権の証明

作成したCloud Identityのアカウントでログインしてドメインが自分のものであることをCloud Identityに証明する。

ドメイン所有権の確認

18. 所有権を証明をクリック。
    
    この際、レコード追加の一般的な手順が提示される。
    

19. 必要なTXTレコードをドメインに追加する。
    

20. TXTレコードを登録できない場合はCNAMEレコードでも所有権を証明できる。
    

21. ドメインホストにTXTレコードを追加する
    onamae.comの場合はこうなる。
    

22. 反映されるまで少し待つ。TXTレコードはnslookupなどから確認できる。

    >nslookup
    既定のサーバー:  UnKnown
    Address:  *.*.*.*
    > set type=txt
    > cloudnized.com
    サーバー:  UnKnown
    Address:  *.*.*.*
    権限のない回答:
    cloudnized.com    text =
        "google-site-verification=wlAr-O4eZXmzMZLgxEJ1s1xBkxNIg4IItDz6elw-ESk"

23. ドメインの所有権を証明ボタンを押す。
    

新GCP組織作成完了！

24. これで新しいGCPの組織の準備ができた。
    新しいユーザーの作成をクリックするとCloud Identityの管理コンソールに飛ぶので新しい管理者アカウントを作成するのもよし。
    

25. Cloud IdentityのアカウントでGCP Consoleにログインすると新しい組織が表示される。
    

新しい組織にGCPプロジェクトを移行

26. 組織なしのGCPプロジェクトを新しいプロジェクトに移行するには元のアカウントから新しいCloud IdentityのアカウントにIAMのオーナーロールをつけておく。
    

27. 新しいアカウントのメールアドレスに送られてくる招待リンクをクリックし、新しい組織アカウントでプロジェクトへの招待を受け入れる。
    

28. Cloud Identityアカウントのリソースの管理に既存プロジェクトが組織なしとして現れた。
    

29. 右のメニューから移行をクリックして新しい組織にプロジェクトを移行する。
    
    

30. 既存プロジェクトが作成したCloud Identity組織に移行された。
    

あとがき

GCPの組織(Cloud Identity)はAdmin Consoleという専用の管理画面で管理することになる。ユーザー・グループ管理のほかに、他の認証プロバイダとのSSO連携やオンプレミスADとの同期設定も可能だ。なお、APIを通じたアプリケーションからのユーザ・グループ管理もできるのでそのうち別の記事で紹介する。