特定の機密性の高い OAuth スコープをリクエストする Google OAuth クライアントは、Google による審査の対象となります。
スクリプト プロジェクトの OAuth クライアントを検証しないと、ドメイン外のユーザーがスクリプトを承認しようとしたときに、未確認アプリの画面が表示されます。未確認の承認フローを使用すると、これらのユーザーは未確認のアプリを承認して使用できますが、リスクを理解していることを確認した後でのみ使用できます。未確認アプリのユーザー数の合計にも上限があります。
詳しくは以下の記事をご覧ください。
![[未確認のアプリ] 画面](https://developers.google.com/static/apps-script/images/unverified2.png?hl=ja)
この変更は、すべての Apps Script プロジェクトで使用されるものを含む、Google OAuth ウェブ クライアントに適用されます。Google でアプリを検証すると、承認フローから未確認アプリの画面を削除し、アプリが有害でないことをユーザーに保証できます。
未確認のアプリ
アドオン、ウェブアプリ、その他のデプロイ(Apps Script API を使用するアプリなど)は、確認が必要になる場合があります。
適用性
アプリが機密性の高い OAuth スコープを使用している場合、認証フローの一部として未確認のアプリの画面が表示されることがあります。この存在(および結果として生じる未確認アプリの承認フロー)は、アプリの公開元アカウントと、アプリを使用しようとしているアカウントによって異なります。たとえば、特定の Google Workspace 組織内で内部的に公開されたアプリは、アプリが確認されていない場合でも、そのドメインのアカウントに対して未確認アプリの承認フローを発生させません。
次の表は、未確認アプリの承認フローが発生する状況を示しています。
| クライアントの身元確認は完了しています | パブリッシャーは顧客 A の Google Workspace アカウントです | スクリプトは顧客 A の共有ドライブにあります | パブリッシャーが Gmail アカウントである | |
|---|---|---|---|---|
| ユーザーは顧客 A の Google Workspace アカウントである | 通常の認証フロー | 通常の認証フロー | 通常の認証フロー | 未確認の認証フロー |
| ユーザーは顧客 A の Google Workspace アカウントではない | 通常の認証フロー | 未確認の認証フロー | 未確認の認証フロー | 未確認の認証フロー |
| ユーザーが Gmail アカウントである1 | 通常の認証フロー | 未確認の認証フロー | 未確認の認証フロー | 未確認の認証フロー |
1アプリの公開に使用したアカウントを含む、すべての Gmail アカウント。
ユーザー数の上限
未確認のアプリフローでアプリを承認できるユーザーの数は、不正使用の可能性を制限するために上限が設定されています。詳細については、OAuth アプリケーションのユーザー上限をご覧ください。
確認をリクエストする
アプリで使用されている OAuth クライアントと、関連付けられている Cloud Platform(GCP)プロジェクトの確認をリクエストできます。アプリが検証されると、ユーザーに未確認のアプリの画面が表示されなくなります。また、アプリはユーザー上限の対象外になります。
要件
OAuth クライアントを確認のために送信するには、次の要件を満たす必要があります。
ドメインでウェブサイトを所有している必要があります。サイトには、アプリとそのプライバシー ポリシーについて説明する一般公開のページをホストする必要があります。また、Google でサイトの所有権を確認する必要があります。
スクリプト プロジェクトで使用する Google Cloud プロジェクトは、編集アクセス権を持つ標準の Google Cloud プロジェクトである必要があります。スクリプトでデフォルトの Google Cloud プロジェクトを使用している場合は、標準の Google Cloud プロジェクトに切り替える必要があります。
また、次の必須アセットが必要です。
- アプリケーション名。アプリの名前。同意画面に表示されます。公開アプリの Google Workspace Marketplace のリスティングなど、他の場所でアプリに使用されている名前と一致している必要があります。
- アプリのロゴ。同意画面で使用するアプリのロゴの JPEG、PNG、BMP 画像。ファイルサイズは 1 MB 以下である必要があります。
- サポートのメールアドレス。これは、アプリのサポートが必要な場合にユーザーが連絡を取るためのメールアドレスで、同意画面に表示されます。自分のメールアドレス、または自分が所有または管理する Google グループを指定できます。
- スコープ。アプリが使用するすべてのスコープのリスト。Apps Script エディタでスコープを表示できます。
- 承認済みドメイン。これは、アプリに関する情報を含むドメインのリストです。アプリのすべてのリンク(必須のプライバシー ポリシーのページなど)は、承認済みのドメインでホストする必要があります。
- アプリケーションのホームページの URL。アプリを説明するホームページの場所。この場所は、承認済みドメインでホストされている必要があります。
- アプリケーションのプライバシー ポリシーの URL。アプリのプライバシー ポリシーを説明するページの場所。この場所は、承認済みのドメインでホストされている必要があります。
上記の必須アセットに加えて、アプリの利用規約を説明するページを指すアプリの利用規約の URL を任意で指定できます。指定する場合、このビジネス拠点は承認済みドメインに存在する必要があります。
手順
- まだ行っていない場合は、スクリプト プロジェクトのプライバシー ポリシーやその他の情報のホストに使用するすべての承認済みドメインの所有権を証明します。ドメインの確認済みのオーナーは、スクリプト プロジェクトの編集者またはオーナーである必要があります。
- Apps Script プロジェクトで、[概要] をクリックします。[プロジェクトの OAuth スコープ] で、スクリプト プロジェクトで使用するスコープをコピーします。
収集したテキスト アセットと URL アセットを使用して、アプリケーションの Google Cloud プロジェクトの OAuth 同意画面を完成させます。
- アプリの情報(プライバシー ポリシーなど)がホストされている承認済みドメインを一覧表示します。
アプリケーション スコープを追加するには、[スコープを追加または削除] をクリックします。表示されたダイアログで、Google Cloud コンソールで有効にした API(高度なサービスなど)のスコープが自動検出されます。このリストからスコープを選択するには、対応するチェックボックスをオンにします。
この自動検出されたリストには、Apps Script の組み込みサービスで使用されるスコープが常に含まれるとは限りません。これらのスコープは、[Manually add scopes] に入力する必要があります。
完了したら、[更新] をクリックします。
必要な情報をすべて入力したら、[保存] をクリックします。
[確認のために送信] をクリックして、確認リクエストを開始します。
ほとんどの確認リクエストには 24 ~ 72 時間以内に返信があります。OAuth 同意画面フォームの上部で [Verification status](検証ステータス)を確認できます。OAuth クライアントの確認が完了すると、アプリが確認されます。