Workforce Identity 連携を使用して Apigee にアクセスする

Apigee Edge のドキュメントを表示する。

このページでは、サードパーティの ID プロバイダを使用して Workforce Identity 連携で Apigee にアクセスする方法について説明します。Workforce Identity 連携では、外部 ID プロバイダ（IdP）を使用して、Identity and Access Management（IAM）によりワークフォース（従業員、パートナー、請負業者などのユーザー グループ）の認証と認可を行い、Apigee サービスにアクセスできます。

Workforce Identity 連携は、OpenID Connect（OIDC）や SAML 2.0 をサポートする任意の IdP（Azure Active Directory（Azure AD）、Active Directory Federation Services（AD FS）、Okta など）で使用できます。

Workforce Identity 連携を使用するメリット

Apigee の多くのお客様は、すでになんらかのシングル サインオン（SSO）を使用していて、従業員が既存の企業認証情報を使用してログインできるようにしています。また、多くのお客様は ID 管理システムも利用しています。既存の IdP から Google Cloud ID にユーザー ID を同期するのは、困難で時間のかかる作業になる可能性があります。

Workforce Identity 連携を使用すると、既存の IdP から Google Cloud ID にユーザー ID を同期する必要がなくなるため、Apigee のオンボーディング時間を短縮し、ID 管理とセキュリティを効率化できます。Workforce Identity 連携は Google Cloud 全体で使用でき、Apigee へのアクセスを管理するための単一の制御ポイントを提供します。

サポートされている Apigee 組織のタイプ

Workforce Identity 連携を使用すると、Apigee ハイブリッド対応の組織を含む、任意の Apigee サブスクリプションまたは従量課金制組織のリソースへのアクセスと管理が可能になります。Workforce Identity 連携のユーザーは、Apigee の評価組織を作成して管理することもできます。

制限事項と考慮事項

Apigee で Workforce Identity 連携を使用する前に、以下の制限事項を確認してください。Workforce Identity 連携に対する Apigee のサポートについては、Identity 連携: プロダクトと制限事項のドキュメントもご覧ください。

Apigee UI へのアクセス

Workforce Identity 連携を使用すると、Apigee UI または Apigee API を使用して Apigee サービスにアクセスできます。

Apigee API を介してのみ使用可能な機能にアクセスする

一部の Apigee 機能は、Apigee API を介してのみ使用できます。対象となる機能は次のとおりです。

• デベロッパー エンゲージメント
• [エンドユーザー分析] > [デバイス]
• [エンドユーザー分析] > [Geomap]

プレビュー機能

プレビュー版の Apigee の一部の機能は、Workforce Identity 連携のユーザーが使用できない場合があります。Apigee UI でアクセスできる一般提供（GA）の機能はすべて、Workforce Identity 連携ユーザーが利用できます。

対応していない機能

Workforce Identity 連携ユーザーは、次の Apigee 機能を使用できません。

• Workforce Identity 連携ユーザーは、Cloud Code と Visual Studio Code（VS Code）IDE を使用して Apigee API と API プロキシのローカル開発を行うことはできません。
• Apigee Connect API（apigeeconnect.googleapis.com）は、Apigee ハイブリッド組織の Workforce Identity 連携ユーザーではサポートされていません。

Workforce Identity 連携ユーザーとして Apigee UI を使用する

Workforce Identity 連携ユーザーは、次のいずれかの方法で Apigee にログインできます。

• SSO リンクを使用する
• コンソール（連携）の使用
• IdP を起点とするログインの使用

どの方法を使用するかは Apigee 管理者に確認してください。

それぞれのログイン方法の詳細については、コンソール（連携）へのユーザー アクセスを設定するのドキュメントをご覧ください。

Workforce Identity 連携ユーザーとして Apigee API を使用する

Workforce Identity 連携ユーザーとして Apigee API にアクセスするには、Security Token Service（STS）から有効期間の短いトークンを取得する必要があります。トークンを取得したら、追加の手順なしで Apigee API にアクセスできます。

詳細については、Workforce Identity 連携の有効期間が短いトークンを取得するをご覧ください。

Workforce Identity 連携ユーザーとして Google Cloud CLI を使用する

Workforce Identity 連携ユーザーとして Google Cloud CLI（gcloud CLI）を使用するには、Security Token Service（STS）から有効期間の短いトークンを取得する必要があります。トークンを取得したら、追加の手順なしで gcloud CLI ライブラリを使用できます。

詳細については、Workforce Identity 連携の有効期間が短いトークンを取得するをご覧ください。