プライベートな OAuth スコープをリクエストする Apps Script プロジェクト。
特定のプライベートな OAuth スコープをリクエストする Google OAuth クライアントは、Google による検証の対象となります。 認可プロセスの概要については、 Google サービスの 認可をご覧ください。
オーナーとユーザーが同じ Google Workspace ドメインまたはお客様に属している Google Apps Script プロジェクトの場合、検証は必要ありません。
スクリプト プロジェクトの OAuth クライアントを検証しない場合、ドメイン外のユーザーがスクリプトを認可しようとすると、未確認のアプリの画面が表示されます。未確認の認可フローでは、これらのユーザーは未確認のアプリを認可して使用できますが、リスクを理解していることを確認した後に限ります。未確認アプリのユーザー数の合計にも上限があります。
詳しくは以下の記事をご覧ください。
この変更は、すべての Apps Script プロジェクトで使用されるものを含め、Google OAuth ウェブ クライアントに適用されます。Google でアプリを 検証することで、認可フローから未確認のアプリの画面を削除し、 アプリが不正でないことをユーザーに確信させることができます。
未確認のアプリ
Google Workspace アドオン、ウェブアプリ、その他のデプロイ(Apps Script API を使用するアプリなど)の検証が必要になる場合があります。
アドオンは Google Workspace アドオンの審査プロセスの一環として検証されなくなり、 アドオンを公開する前に検証する必要があります。
適用性
アプリが機密性の高い OAuth スコープを使用している場合、認可フローの一部として未確認のアプリの画面が表示されることがあります。この画面が表示されるかどうか(および未確認のアプリの認可フローが発生するかどうか)は、アプリの公開元アカウントと、アプリを使用しようとしているアカウントによって異なります。たとえば、特定の Google Workspace 組織内で内部的に公開されたアプリの場合、アプリが検証されていない場合でも、そのドメインのアカウントに対して未確認のアプリの認可フローは発生しません。
次の表に、未確認のアプリの認可フローが発生する状況を示します。
| クライアントが検証済み | パブリッシャーがお客様 A の Google Workspace アカウント | スクリプトがお客様 A の共有ドライブにある | パブリッシャーが Gmail アカウント | |
|---|---|---|---|---|
| ユーザーがお客様 A の Google Workspace アカウント | 通常の認可フロー | 通常の認可フロー | 通常の認可フロー | 未確認の認可フロー |
| ユーザーがお客様 A 以外 の Google Workspace アカウント | 通常の認可フロー | 未確認の認可フロー | 未確認の認可フロー | 未確認の認可フロー |
| ユーザーが Gmail アカウント1 | 通常の認可フロー | 未確認の認可フロー | 未確認の認可フロー | 未確認の認可フロー |
1 アプリの 公開に使用したアカウントを含む、任意の Gmail アカウント。
ユーザー数の上限
未確認のアプリのフローを使用してアプリを認可できるユーザーの数は、不正使用の可能性を制限するために上限が設定されています。詳しくは、 OAuth アプリケーションのユーザー数の上限 をご覧ください。
確認をリクエスト
アプリで使用されている OAuth クライアントと、関連付けられている Google Cloud プロジェクトの検証をリクエストできます。アプリが検証されると、ユーザーに未確認のアプリの画面が表示されなくなります。また、アプリは ユーザー数の上限の対象外となります。
要件
OAuth クライアントを検証のために送信するには、次の要件を満たす必要があります。
ドメインにウェブサイトを所有している必要があります。サイトには、アプリとそのプライバシー ポリシーについて説明する一般公開のページをホストする必要があります。また、Google でサイトの所有権を確認する必要があります 。
このドメインのアカウントからアプリを公開する必要はありませんが、ドメイン所有者はスクリプト プロジェクトの編集者またはオーナーである必要があります。
スクリプト プロジェクトで使用するGoogle Cloud プロジェクトは、編集アクセス権を持つ標準の Google Cloud プロジェクトである必要があります。スクリプトがデフォルトの Google Cloud プロジェクトを使用している場合は、 標準の Google Cloud プロジェクトに切り替える必要があります。
また、次の必須 アセットが必要です。
- アプリケーション名 。アプリの名前。同意画面に表示されます。公開されたアプリの Google Workspace Marketplace の掲載情報など、他の場所でアプリに使用されている名前と一致している必要があります。
- アプリケーション ロゴ 。同意画面で使用するアプリのロゴの JPEG、PNG、BMP 画像。ファイルサイズは 1 MB 以下にする必要があります。
- サポートメール 。アプリのサポートが必要な場合にユーザーが連絡するためのメールアドレス。同意画面に表示されます。自分のメールアドレス、または自分が所有または管理している Google グループを指定できます。
- スコープ 。アプリが使用するすべてのスコープ のリスト。スコープは Apps Script エディタ で確認できます。
- 承認済みドメイン 。アプリに関する情報を含むドメインのリスト。必要なプライバシー ポリシー ページなど、アプリのすべてのリンクは承認済みドメインでホストする必要があります。
- アプリケーションのホームページの URL 。アプリについて説明するホームページの場所。この場所は承認済みドメインでホストする必要があります。
- アプリケーションのプライバシー ポリシーの URL 。アプリのプライバシー ポリシーについて説明するページの場所。この場所は承認済みドメインでホストする必要があります。
上記の必須アセットに加えて、アプリの利用規約について説明するページを指すアプリケーションの利用規約の URL を指定することもできます。指定する場合、この場所は承認済みドメイン内にある必要があります。
手順
- まだ行っていない場合は、 スクリプト プロジェクトのプライバシー ポリシーやその他の情報をホストするために使用するすべての承認済みドメインの所有権 を確認します。 ドメインの検証済みオーナーは、スクリプト プロジェクトの編集者またはオーナーである必要があります。
- Apps Script プロジェクトで、[概要] をクリックします。[プロジェクトの OAuth スコープ] で、スクリプト プロジェクトが使用するスコープをコピーします。
収集したテキストと URL アセットを使用して、アプリケーションの Google Cloud プロジェクト の OAuth 同意画面を完成させます。
- アプリの情報(プライバシー ポリシーなど)がホストされている承認済みドメイン を一覧表示します。
アプリケーション スコープを追加するには、[スコープを追加または削除] をクリックします。表示されるダイアログで、Google Cloud コンソールで有効にした API(高度なサービスなど)のスコープが自動検出されます。対応するチェックボックスをオンにすると、このリストからスコープを 選択できます。
この自動検出されたリストには、 Apps Script 組み込みサービスで使用されるスコープが常に含まれているとは限りません。 これらのスコープは、[スコープの手動追加] に入力する必要があります。
完了したら、[更新] をクリックします。
必要な情報をすべて入力したら、[保存] をクリックします。
[検証のために送信] をクリックして、検証リクエストを開始します。
ほとんどの検証リクエストは 24 ~ 72 時間以内に回答が届きます。 [検証ステータス] は、OAuth 同意画面フォームの上部で確認できます。OAuth クライアントの検証が確認されると、アプリが検証されます。
アプリが検証された後で 別の Google Cloud プロジェクトに切り替える場合は、 アプリの検証を維持するために、上記の手順を繰り返す必要があります。