Google Workspace に関するその他の考慮事項

アプリが 外部ユーザー タイプを対象としている場合は、Google Workspace 組織によって管理される Google アカウントを含む、可能な限り幅広い Google アカウントのユーザーを対象にすることをおすすめします。

Google Workspace 管理者は、API アクセス制御を使用して、お客様が所有するアプリケーション、 サードパーティ製アプリケーション、サービス アカウントに対して、Google Workspace API へのアクセスを有効化または制限できます。この機能を使用すると、Google Workspace 管理者は 組織が信頼する OAuth クライアント ID のみにアクセスを制限できるため、サードパーティ製アプリケーションから Google サービスへのアクセスに伴う リスクを軽減できます。

可能な限り幅広い Google アカウントのユーザーにリーチし、信頼を築くために、次のことをおすすめします:

Google Workspace 管理者による制御がトークンの有効性に与える影響

Google Workspace 管理者は、OAuth トークンの 有効性と有効期間に間接的に影響するいくつかの制御を実装できます。

  • Google Cloud セッションの管理: Google Workspace 管理者は、Google Cloud サービス(Google Cloud コンソール、gcloud CLI など)のセッション 継続時間を設定できます。この設定 は、Google Cloud のスコープに関するユーザーの認可が必要なアプリケーション(サードパーティ製アプリを含む)に適用されます。このセッション継続時間を超えると、これらの Google Cloud スコープに関連付けられた更新トークンが無効になる可能性があります。 詳細については、 Google Cloud サービスのセッション継続時間を設定するをご覧ください。
  • 一般的な Google サービスのセッション管理: 管理者は、ウェブ版 Gmail などのサービスのウェブ セッション継続時間を管理することもできます。これにより、セッションが期限切れになった後に Google ウェブ インターフェースに再度ログインする必要があります。ただし、スコープが Google Cloud 関連でない限り、この制御によって、API データ(Gmail、ドライブ、カレンダー API など)にアクセスするためにサードパーティ製アプリケーションに付与された OAuth 更新トークンが無効になることは通常 ありません 。詳細については、 Google サービスのセッション継続時間を設定する をご覧ください
  • アプリのアクセス制御: 管理者は、アプリをブロックしたり、特定のサービスへのアクセスを制限したり、アクセス権を完全に取り消したりできます。これにより、関連付けられた更新トークンが無効になります。
  • ドメイン全体での委任(DWD): DWD はトークンの有効期間を変更しませんが、 管理者はアプリを事前承認して、ユーザーの同意をバイパスし、 組織データへのアプリのアクセスを直接管理できます。

プロジェクトを組織に関連付ける

Google Workspace ユーザーの場合は、Google Workspace アカウントまたは Cloud Identity アカウント内の組織リソース内にデベロッパー プロジェクトを作成することを強くおすすめします。これにより、個々のデベロッパーアカウントに関連付けることなく、重要な通知、アクセス制御、プロジェクトのライフサイクル管理などのエンタープライズ管理機能を使用できます。そうしないと、将来的に新しい所有者に譲渡することが困難になる可能性があります 。

デベロッパー プロジェクトを設定するときは、 組織内に作成するか既存のプロジェクトを組織に移行します