【無償】Google Cloud Identity Freeの環境を作ってみる
Geminiの急激な進歩で、Google Workspaceを使ってみるというユーザーや、自社の生成AI部分だけはGoogle Cloudへといったケースが増えてるようで。しかし、いきなり契約して使うであったり、導入して負荷が急上昇というのも考えものです。
そこで、本番でいきなり導入するのではなく、Google Cloud Identity Freeだけのテナントを構築してみて、完全無償の環境として検証をしてみるというのがオススメです。今回は完全無償で構築する手順をまとめてみました。
今回利用する素材
過去のエントリーで、Cloud Identity Free(以下、CIP)の限界点の調査や、有償版のCloud Identity Premiumについて以下にまとめています。また類似のものとして、Microsoft AzureのEntra ID試用環境の構築も参考になるでしょう。使い所などの実用面での不明点も合わせてご覧いただければと思います。
今回は完全にCloud Identity Free環境構築のみに絞ってのエントリにーになります。
事前準備
注意点
いきなり注意点ですが、前回のGoogle Cloud Identity環境の検証のエントリーと違い、今回は完全にCloud Identity Freeオンリー環境となるため、仕様が異なる点があります。以下の注意点を把握した上で作業を開始しましょう。
- CIPのみ環境の場合、Google Driveは使えますが容量ゼロですのでマイドライブ等利用出来ません(但し、Cloud Identity Premiumは15GB/1ユーザのスペースがついてきます)
- また、ドライブの内容については監査ログの対象外となります。
- デフォルトで使えるアカウント数は上限50個までです(無償です)
- テナントを用意してから72時間はYoutubeへのログインは出来ません。
- GASでMailAppを使ってメール送信は出来ません
- またGmailが存在しないのでメールのルーティングも使えません。メール受信はレンタルサーバ側のMXレコードで振り向けた先になります。
この辺りが、Google Workspace環境下でのCIPとの挙動の違いになります。いきなり本番環境として構築せずに、利用するドメインについても捨て用のサブドメインを用意して、本番は本番で別に環境を構築することをオススメします。
準備しておくもの
Cloud Identity Freeとはいえ、Google Workspace同様にきちんとした管理コンソールが用意されます。また、利用するには以下の数点が必要になるので、開始前に整えておきましょう。
- 企業でアクティブになってるドメイン(可能であればサブドメインを作っておくこと)
- また、今回の構築でDNSへ登録作業があるので、DNS編集権限を持っている必要があります。
- 担当者のメールアドレスおよび電話番号が必要です
- Google Cloud側も作成するということであれば、登録用のクレジットカードおよび拠点の所在地住所が必要です。
構築手順
申し込み作業
それでは早速、申込みページから入って、環境の申請を行いましょう。手順は多いですがそこまで迷わず構築そのものは短時間で出来ると思います。申込みのトップページはこちらからになります。Cloud Identity Premiumの試用申込のページと間違えないようにししましょう。
-
Cloud Identity Free の申し込みURLを開く
-
会社名、従業員数を入れて次へをクリック
-
担当者の氏名、連絡先用のメールアドレスを入力して次へをクリック
-
利用しているドメインを入力する(例:hogehoge.officeforest.org)
-
「このドメインを使ってアカウントを設定しますか?」という確認が出るので、次へをクリック
- 場合によってはここに「予備のメールアドレス登録」の欄が出てきます。
-
管理者アカウント作成画面になります。管理者のアカウント名とパスワードをここで登録し、同意して続行をクリック
-
Googleアカウントのログイン画面が出てくるので、作成した管理者アカウントアカウントでログインする
-
本人確認が出てくるので、日本を選び、電話番号を入力して実行します(但し複数環境で同一電話番号を使ってると、ここで弾かれる可能性があります)
-
SMSでスマホにGから始まる6桁の番号が送信されるので、入力して次へをクリック
-
新しいアカウントへようこそという画面が出てくるので、理解しましたをクリック
-
こちらのリンクをクリックして、管理コンソールにログインします
申し込みそのものは結構簡素で、迷う場面は殆どありません。この時点で既に環境自体は用意済みですが、まだ使える状態にはなっていません。
図:ドメイン指定の画面
図:管理者アカウントの作成画面
ドメイン所有権の確認
前述の管理コンソール画面の右上に赤いボタンで「Verify」というボタンが表示されてるので、ここからドメインの所有権証明作業を開始します。この手順では自身のドメインをホストしてるDNSサーバーでの作業もあります。
今回は自身のレンタルサーバであるさくらインターネットを基準に話を進めます。登録するドメインはdemo.officeforest.orgという前提になっています。
-
ドメイン所有権証明のURLに移動します
- 始めるをクリックします
-
「ドメインで別のホストを使用している」にチェックを入れて、続行をクリック
- 変な日本語ですが、確認レコードの追加という画面になり、名前と価値という値が表示されるので、この2つをコピーしておく。
- ▼ここからはホストしてるDNSサーバーでの作業
- さくらの管理画面において、契約中のドメイン一覧からDNSゾーン編集画面を開く
- ゾーン編集ボタンをクリックしたら、エントリー名は今回はサブドメインの頭部分の「demo」を入れます(サブドメインじゃない場合は@を入れる)
- タイプはテキスト(TXT)を選択する
- データには価値として取得した値を入れる(google-site-verification=みたいな文字列で、さくらの場合ダブルコーテーションで括って入れてあげる)
- TTLの指定は「する」にチェックを入れて、3600を指定する
- 保存をクリックする
- ▲ここまでがホストしてるDNSサーバーでの作業
- 5分程度待つ
- Google側画面に戻って、「このページに戻って確認してください」のチェックを入れて、確認ボタンをクリック
-
「ドメイン所有権の確認が完了しました」のメッセージが出たら成功。これで完了です。管理コンソールの警告が消えます。
Google Workspaceと同じ管理コンソール画面ですので、二段階認証やユーザーの追加などが出来ます。初期段階でサブスクリプションページにて、50アカウント分のライセンス枠が用意されています。
図:DNSサーバへ登録作業
図:ドメイン証明が完了した
Google Cloud環境
Google Cloud Identitiy Freeのみの環境ではありますが、既にこの時点でGoogle Cloud側も使えるようになってはいます。無償の90日間だけですが$300分のトライアル枠が用意されていますが、別途手続きをしないと使えません。ここで、クレジットカードの登録や住所登録が必要となっています。
- 右上の無料で利用開始をクリックする
- 同意して続行をクリックする
- 利用規約のチェックボックスにチェックを入れて、同意して続行をクリックする
- 連絡先情報にて住所を登録し、お支払い方法を追加をクリックしてクレジットカードを登録する
- 無料で利用開始をクリックすると課金アカウントが用意されて、この時点から使えます。
最初の$300分はクレジットから払い出されますが、使い切ってもプロジェクト課金の有効化を実行しなければいきなりクレジットカードから課金開始にはなりません。この課金アカウントは1つのドメインで複数用意は出来ますが、可能な限り全プロジェクトは1つの課金アカウントにまとめるほうが良いです。
また、リセラー契約割引や会社のクレジットカードが無い場合の月額請求書払いなどはパートナー経由で行うことになるので、ここで冒頭で述べた「サブドメインにしておいたほうがいい」という話が出てきます。本番環境はパートナー会社側で用意してもらったほうが望ましいです。
CIP側で用意したユーザー等をIAMで登録してロール割り当てて、API有効化してなどはGoogle Cloud Consoleで行う作業となるので以下の別エントリーを参考にしてみてください。
図:クレジットカードが必要です。
