⚙️

Google Auto Provisioning Service がドメイン全体の委任の API クライアントとして追加された理由

2025/03/22に公開

Google

 背景Google 管理コンソールを眺めていたところ、「ドメイン全体の委任の管理」のページに、追加した覚えのない API クライアント「Google Auto Provisioning Service」が表示されていました。
スコープを確認したところ、組織のユーザーやグループのメンバーに関する情報を取得できるものであったため、不正な API クライアントである可能性も含めて調査することとしました。

 結論「SAML アプリの自動ユーザー プロビジョニング」を設定すると、自動で Google Auto Provisioning Service に対するドメイン全体の委任の設定も行われるようです。

 ドメイン全体の委任とはドメイン全体の委任（domain-wide delegation）は、サービスアカウントが Google Workspace のユーザーに代わって組織のデータにアクセスできるようにしたり、同意画面を表示することなくユーザーが OAuth クライアントアプリを使用できるようにしたりするための機能[1]です。
https://support.google.com/a/answer/162106?hl=ja
万が一不正な API クライアントに対してドメイン全体の委任を設定すると、設定したスコープに応じた様々な組織のデータの漏えいや、アカウントの不正利用が生じるおそれがあるため、「ドメイン全体の委任のベスト プラクティス」に沿った運用が推奨されています。
https://support.google.com/a/answer/14437356?hl=ja

 Google Auto Provisioning Service の概要クライアント ID とスコープは「ドメイン全体の委任の管理」のページに表示されていたものです。その他の情報は、「アプリのアクセス制御」のページの「新しいアプリを設定」において検索の上確認したものです。
なお、「新しいアプリを設定」において検索の上確認した限りにおいては、Google が提供する OAuth アプリである旨の表示や、「確認済みのサードパーティ製アプリ[2]」である旨の表示はありませんでした。

 クライアント ID910835873219-es01p47a1ks618hgp59q26cnc6sv33r3.apps.googleusercontent.com

 スコープhttps://www.googleapis.com/auth/admin.directory.userschema.readonly
https://www.googleapis.com/auth/admin.directory.user.readonly
https://www.googleapis.com/auth/admin.directory.group.member.readonly

 アプリの種類ウェブアプリ

 アプリを使用している組織の数利用できません

 ウェブサイトhttps://admin.google.com/

 Google Auto Provisioning Service が追加された理由Google 検索を利用して Google Auto Provisioning Service のクライアント ID「910835873219-es01p47a1ks618hgp59q26cnc6sv33r3.apps.googleusercontent.com」を検索したところ、次のヘルプページがヒットしました。
https://support.google.com/a/answer/6294829?hl=ja
この記事によれば、Google Auto Provisioning Service は Google が提供する OAuth アプリであり、「SAML アプリの自動ユーザー プロビジョニング」のために利用されているとのことです。
確かに組織では、いくつかの SAML アプリに対してユーザーを自動でプロビジョニングするよう設定しており、当該設定により Google Auto Provisioning Service が「ドメイン全体の委任の管理」のページに追加されたようです。

脚注
API アクセスをドメイン全体の委任で制御する - Google Workspace 管理者 ヘルプ ↩︎
確認済みのサードパーティ製アプリとは - Google Workspace 管理者 ヘルプ ↩︎

Discussion

ログインするとコメントできます