Identity-Aware Proxy(IAP)OAuth Admin API は非推奨になりました。このガイドでは、既存の OAuth クライアントを Google 管理の OAuth クライアントに移行する方法について説明します。IAP OAuth Admin API を使用していない場合、この変更による影響はありません。
プロジェクトで OAuth Admin API を使用しているかどうかを確認するには、OAuth Admin API の使用状況を確認するをご覧ください。 プロジェクトで OAuth Admin API を使用している場合は、このドキュメントの移行 手順に沿って移行する必要があります。または、OAuth Admin API の代替方法を使用することもできます。
変更内容
IAP OAuth Admin API は非推奨になります。これには、OAuth クライアントとブランドの手動管理用の次の API が含まれます。
IAP OAuth Admin API を使用してカスタム OAuth クライアントを作成または管理することはできなくなります。 IAP では、OAuth 2.0 クライアントを手動で管理する代わりに、Google 管理の OAuth クライアントを使用します。これにより、OAuth クライアントの管理が簡素化され、手動によるエラーが減り、デプロイ プロセスが効率化されます。
カスタム ブランディングを引き続き提供するには、カスタム OAuth クースタム OAuth クライアントを構成することをおすすめします。
変わらない点
IAP OAuth Admin API を使用していない場合、この変更による影響はありません。
この非推奨は、Compute Engine API、App Engine API、または Google Cloud コンソールを使用して手動で構成した OAuth クライアントには影響しません。
引き続き、新しい OAuth ブランドとクライアント構成を作成し、 コンソールを使用して Google Cloud 管理できます。既存の OAuth クライアントを移行する必要はありません。IAP OAuth Admin API ではなく、 Google Cloud コンソールを使用して引き続き使用および管理できます。
IAP OAuth Admin API の使用状況を確認する
プロジェクトで IAP OAuth Admin API を使用しているかどうかを確認する手順は次のとおりです。
コンソールで、[IAP API の使用状況]ページに移動します。 Google Cloud
IAP OAuth Admin API の使用状況を確認するプロジェクトを選択します。
[グラフを選択] リストで [API メソッド別のトラフィック量] を選択し、 [OK] をクリックします。
[メソッド] セクションで、接頭辞が
google.cloud.iap.v1.IdentityAwareProxyOAuthServiceのメソッドを探します。これは、プロジェクトが IAP OAuth Admin API を使用していることを示します。
詳細な説明
2025 年 1 月 22 日をもって、IAP OAuth 2.0 クライアントの作成に使用される IAP OAuth 2.0 Admin API は 非推奨になります。IAP では、デフォルトで、または OAuth 2.0 クライアントが明示的に構成されていない場合に、ブラウザ アクセスに Google 管理の OAuth クライアントを使用します。Google 管理の OAuth 2.0 クライアントは、ブラウザを通じて IAP 対応アプリケーションにアクセスするとき、同じ組織内のユーザーへのアクセスを制限します。
Identity-Aware Proxy(IAP)OAuth 2.0 Admin API が非推奨になったため、この API を使用して OAuth クライアントを作成または管理することはできなくなります。この非推奨の前に作成された OAuth クライアントは無効になりません。以前に作成した OAuth クライアントを引き続き使用し、 Google Cloud コンソールを使用してこれらのクライアントを管理できます。
IAP 2.0 Admin API を使用して作成された OAuth クライアントで構成されたアプリケーションは、引き続き動作します。アプリケーションを変更する必要はありません。ただし、自動化スクリプトまたは Infrastructure as Code(IaC)ツールで IAP OAuth 2.0 Admin API を使用して新しいクライアントを構成したり、既存のクライアントのクライアント シークレットを取得したりする場合は、IAP OAuth 2.0 Admin API を使用しないようにスクリプトを更新する必要があります。
既存のユーザー管理クライアントを引き続き使用するか、Google 管理のオプションに切り替えるかは、ブランディングと外部アクセスに関する要件によって異なります。機能の違いの詳細については、Google 管理の OAuth クライアントとカスタム OAuth クライアントの比較表をご覧ください。アプリケーションでブランディングまたは外部アクセスにカスタム クライアント ID が必要な場合は、 Google Cloud コンソールを使用してクライアント ID を作成します。カスタム OAuth クライアントの詳細については、OAuth 構成をカスタマイズして IAP を有効にするをご覧ください。
アプリケーション用に Google 管理の OAuth 2.0 クライアントを構成する方法については、プログラムによるアクセスをご覧ください。
Google 管理の OAuth 2.0 クライアントで満たされない要件がある場合は、 1 つの OAuth クライアントを複数の IAP アプリケーションと共有できます。これにより、新しいアプリケーションごとにクライアントを手動で作成する必要がなくなります。
必要な操作
自動化スクリプトを更新する
Terraform などのツールを使用して IAP の構成を自動化し、IAP OAuth 2.0 Admin API を使用している場合は、事前に作成したクライアントを使用するか、IAP で Google 管理の OAuth クライアントを使用するように自動化スクリプトを更新する必要があります。
Google 管理の OAuth 2.0 クライアントを使用するアプリケーションのプログラムによるアクセスを構成する
IAP で保護されているアプリケーションがすでにあり 、Google 管理の OAuth 2.0 クライアントを使用して移行する場合は 、OAuth 2.0 クライアントを許可リストに登録して、これらのアプリケーションのプログラムによるアクセスを構成できます。
IAP 対応リソースを移行する
リソースを移行して Google 管理の OAuth 2.0 クライアントを使用するには、移行するリソースのタイプ(Compute Engine リソースなど)の手順に沿って操作します。
IAP 対応の App Engine リソースを移行する
このセクションの手順を完了して、IAP が有効で OAuth 2.0 クライアントが構成されている App Engine リソースを移行します。
gcloud
手順に進む前に、gcloud CLI の最新バージョンがあることを確認してください。gcloud CLI のインストール手順については、gcloud CLI のインストールをご覧ください。
Google Cloud CLI を使用して認証します。
gcloud auth login表示された URL をクリックしてログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で引き続き保護するアプリケーションを含むプロジェクトを指定します。
gcloud config set project PROJECT_ID次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
gcloud app describe --format="value(iap.oauth2ClientId)"プログラムによるアクセスを許可する場合は、前のコマンドのクライアント ID を保存します。
プログラムによるアクセスのために OAuth 2.0 クライアントを許可リストに登録するには、IAP 設定 API で読み取り、更新、書き込みのオペレーションを行います。
gcloud iap settings get --resource-type=app-engine --project=$PROJECT > settings.yamlsettings.yamlファイルを更新し、次の例に示すように、以前に取得した OAuth 2.0 クライアント ID をprogrammaticClientsに追加します。accessSettings: oauthSettings: programmaticClients: - CLIENT_IDApp Engine アプリケーションに新しい設定を適用します。
gcloud iap settings set settings.yaml --resource-type=app-engine --project=PROJECT_IDアプリを移行するには、次のコマンドを実行します。
gcloud iap web enable --resource-type=app-engine
API
次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?fields=iap"次のコマンドを実行して、既存の IAP 設定を
settings.jsonファイルに取得します。curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/appengine-PROJECT_ID:iapSettings" > settings.jsonsettings.jsonファイルを更新して、以前に保存した CLIENT_ID をプログラムによるクライアントとして追加します。{ "accessSettings": { "oauthSettings": { "programmaticClients": [ "CLIENT_ID" ] }, }, }次のコマンドを実行して、IAP 設定を更新します。
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/appengine-PROJECT_ID:iapSettings"次のコマンドを実行して、
settings.jsonファイルを準備します。cat << EOF > settings.json { "iap": { "enabled":true } } EOF次のコマンドを実行して、アプリを移行します。
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
IAP 対応の Compute Engine リソースを移行する
このセクションの手順を完了して、IAP が有効で OAuth 2.0 クライアントが構成されている Compute Engine リソースを移行します。
gcloud
手順に進む前に、gcloud CLI の最新バージョンがあることを確認してください。gcloud CLI のインストール手順については、gcloud CLI のインストールをご覧ください。
Google Cloud CLI を使用して認証します。
gcloud auth login表示された URL をクリックしてログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で引き続き保護するアプリケーションを含むプロジェクトを指定します。
gcloud config set project PROJECT_ID次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --global \ --format="value(iap.oauth2ClientId)"リージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME \ --format="value(iap.oauth2ClientId)"プログラムによるアクセスを許可する場合は、前のコマンドのクライアント ID を保存します。
OAuth 2.0 クライアントにプログラムによるアクセスを許可するには、IAP 設定 API で読み取り、更新、書き込みのオペレーションを行います。
グローバル スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME > settings.yamlリージョン スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAME > settings.yamlsettings.yamlファイルを更新し、次の例に示すように、以前に取得した OAuth 2.0 クライアント ID をprogrammaticClientsに追加します。accessSettings: oauthSettings: programmaticClients: - CLIENT_IDCompute Engine アプリケーションに新しい設定を適用します。
グローバル スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME
リージョン スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAME
アプリケーションを移行するには、グローバル スコープまたはリージョン スコープのコマンドを実行します。
グローバル スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "リージョン スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。コマンドを実行したら、出力で OAuth クライアント ID フィールドが空になっていることを確認します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --globalリージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME
API
次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
次のコマンドを実行して、既存の IAP 設定を
settings.jsonファイルに取得します。グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
settings.jsonファイルを更新して、以前に保存した CLIENT_ID をプログラムによるクライアントとして追加します。{ "accessSettings": { "oauthSettings": { "programmaticClients": [ "CLIENT_ID" ] }, }, }次のコマンドを実行して、IAP 設定を更新します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings"
次のコマンドを実行して、
settings.jsonファイルを準備します。cat << EOF > settings.json { "iap": { "enabled":true, "oauth2ClientId": " ", "oauth2ClientSecret": " " } } EOF次のコマンドを実行して、IAP リソースを移行します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"
OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。コマンドを実行したら、出力で OAuth クライアント ID フィールドが空になっていることを確認します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"
Terraform
既存の IAP 対応リソースを移行して Google 管理の OAuth クライアントを使用する場合は、oauth2_client_id フィールドと oauth2_client_secret フィールドを明示的に設定解除する必要があります。次の例に示すように、値を単一の空白文字に更新してフィールドの設定を解除します。
resource "google_compute_backend_service" "default" {
name = "tf-test-backend-service-external"
protocol = "HTTP"
load_balancing_scheme = "EXTERNAL"
iap {
oauth2_client_id = " "
oauth2_client_secret = " "
}
}
oauth2_client_id フィールドと oauth2_client_secret フィールドは省略可能です。新しい IAP
対応リソースを使用している場合は、無視してかまいません。
Terraform を Google Cloudで使用する方法の詳細については、 Terraform のドキュメントをご覧ください。
IAP 対応の Cloud Run リソースを移行する
このセクションの手順を完了して、IAP が有効で OAuth 2.0 クライアントが構成されている Cloud Run リソースを移行します。
gcloud
手順に進む前に、gcloud CLI の最新バージョンがあることを確認してください。gcloud CLI のインストール手順については、gcloud CLI のインストールをご覧ください。
認証するには、Google Cloud CLI を使用して次のコマンドを実行します。
gcloud auth login表示された URL をクリックしてログインします。
ログインしたら、表示される確認コードをコピーしてコマンドラインに貼り付けます。
次のコマンドを実行して、IAP で引き続き保護するアプリケーションを含むプロジェクトを指定します。
gcloud config set project PROJECT_ID次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --global \ --format="value(iap.oauth2ClientId)"リージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME \ --format="value(iap.oauth2ClientId)"プログラムによるアクセスを許可する場合は、前のコマンドのクライアント ID を保存します。
プログラムによるアクセスのために OAuth 2.0 クライアントを許可リストに登録するには、IAP 設定 API で読み取り、更新、書き込みのオペレーションを行います。
グローバル スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME > settings.yamlリージョン スコープ
gcloud iap settings get \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAME > settings.yamlsettings.yamlファイルを更新し、例に示すように、以前に取得した OAuth 2.0 クライアント ID をprogrammaticClientsに追加します。accessSettings: oauthSettings: programmaticClients: - CLIENT_IDCompute Engine アプリケーションに新しい設定を適用します。
グローバル スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAMEリージョン スコープ
gcloud iap settings set settings.yaml \ --resource-type=compute \ --project=PROJECT_ID \ --service=BACKEND_SERVICE_NAME \ --region=REGION_NAMEリソースを移行するには、グローバル スコープまたはリージョン スコープのコマンドを実行します。
グローバル スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "リージョン スコープ
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。コマンドを実行したら、出力で OAuth クライアント ID フィールドが空になっていることを確認します。
グローバル スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --globalリージョン スコープ
gcloud compute backend-services describe BACKEND_SERVICE_NAME \ --region REGION_NAME
API
次のコマンドを実行して、構成済みの OAuth 2.0 クライアント ID を取得します。
グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"
次のコマンドを実行して、既存の IAP 設定を
settings.jsonファイルに取得します。グローバル スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
リージョン スコープ
curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json
settings.jsonファイルを更新して、以前に保存した CLIENT_ID をプログラムによるクライアントとして追加します。{ "accessSettings": { "oauthSettings": { "programmaticClients": [ "CLIENT_ID" ] }, }, }次のコマンドを実行して、IAP 設定を更新します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "@settings.json" \ "https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings"
次のコマンドを実行して、
settings.jsonファイルを準備します。cat << EOF > settings.json { "iap": { "enabled":true, "oauth2ClientId": " ", "oauth2ClientSecret": " " } } EOF次のコマンドを実行して、リソースを移行します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"
OAuth クライアント ID が設定されていないことを確認するには、次のグローバル スコープまたはリージョン スコープのコマンドを実行します。 コマンドを実行したら、出力で OAuth クライアント ID フィールドが空になっていることを確認します。
グローバル スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"
リージョン スコープ
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"
IAP 対応の Google Kubernetes Engine リソースを移行する
次の IAP ブロックを BackendConfig カスタム リソース定義(CRD)に追加します。これにより、Google 管理の OAuth 2.0 クライアントで IAP が有効になります。
apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
name: config-default
namespace: my-namespace
spec:
iap:
enabled: true
サービス アカウント JWT を使用して IAP に対する認証を行う
サービス アカウント JWT を使用すると、非推奨の OAuth Admin API を使用せずに IAP に対する認証を行うことができます。
OAuth クライアント シークレットを取得する
コンソールでカスタム OAuth クライアントを作成すると、クライアント シークレットはそのときにのみ表示されます。 Google Cloud このシークレットは安全に保管する必要があります。OAuth クライアント シークレットを安全に保存するには、Secret Manager を使用することをおすすめします。
Secret Manager を使用して OAuth クライアント シークレットを保存する場合は、 シークレット バージョンにアクセスする でクライアント シークレットを取得する方法をご確認ください。
IAP OAuth Admin API を使用しているかどうかを確認する
プロジェクトで IAP OAuth Admin API を使用しているかどうかを確認するには、OAuth Admin API の使用状況を確認するをご覧ください。
OAuth Admin API の代替方法
OAuth API を使用せずに OAuth クライアント認証情報を取得する必要がある場合は、次の方法を使用できます。
Secret Manager: Secret Manager を使用してシークレットを保存して取得できます。Terraform で Secret Manager を使用する方法については、 google_secret_manager_secret をご覧ください。
サービス アカウント JWT: 認証にサービス アカウントの JSON Web Token(JWT)を使用します。サービス アカウント JWT を使用すると、OAuth クライアントを使用する必要はありません。