今後、APIスコープなどで利用するアプリのデータアクセスの権限付与の仕組みが変更されます。
公式アップデートブログ(2019年2月18日月曜日):[信頼できるアプリが正しく機能するようドメインのホワイトリストに登録する]
https://gsuiteupdates-ja.googleblog.com/2019/02/blog-post_18.html
この変更は、 エンドユーザーが「自分のどのアカウント情報」を各アプリと共有するかについて、より詳細に管理できるようにする為に行われます。
この変更により、事前に信頼できるアプリをホワイトリストに登録しておく必要がある場合が想定されます。今回は、変更前に推奨されている対応方法についてご案内致します。
ーー目次ーーーーー
01)概要
02)対応方法
03)対応方法(手順)
04)対応方法(補足)
05)よくある質問
ーーーーーーーーー
01)概要
この機能が利用可能になる時期はアプリによって異なり、 すぐに対応予定のアプリも一部ありますが、よく使われているアプリの大半は 2019年4月以降の対応となる見込みです。具体的な変更内容として
・従来の様に、1つのダイアログですべての権限を提示するのではなく、アプリケーションが1つずつ要求する各権限を独自のダイアログで表示するように変更されます。
・エンドユーザーが、個別に権限を付与または拒否を選択できる仕様に変更されます。
起こりうる影響として・ダウンロード済アプリケーションのアプリの “認証機能” が正常に動作しない可能性もある。
・承認画面にて、ユーザーが拒否を選択した際にエラーが生じる可能性がある。
変更前の対応方法
G Suite 管理者は、4 月までに信頼できるアプリをホワイトリストに登録する事をGoogleは推奨しています。
02)対応方法
エンドユーザーに対して、使用を許可する[信頼できるアプリ]をホワイトリストに登録します。このホワイトリストは “API スコープ” についてのホワイトリストです。
この設定を行うと、API スコープを管理者が認証しているとみなされ、正常に認証処理が行われると想定されます。
参考ヘルプ記事が以下になります。
接続済みアプリをホワイトリストに登録するの(1)と(2)を参照ください。 https://support.google.com/a/answer/7281227?hl=ja
03)対応方法(手順)
①管理コンソール > セキュリティ > API 権限
②各サービスに対する API のアクセス権を確認します (ここでホワイトリストに登録するかどうかのアプリを精査 します。)
③例えば、 カレンダーの8個のアプリを確認します。
API 権限 > API アクセス のカレンダー 「8個のアプリ」をクリックして表示されるアプリは、ドメイン内でインストール済であるアプリケーションです。
右端の3点マークをクリックすると[信頼する]の選択が表示されます。
[ 信頼する ] をクリックすると、ホワイトリストに登録されます。
登録されたホワイトリスト一覧は、上部にある [ 信頼できる ] タブをクリックすることで、確認できます。
※[信頼]をしていない状態=ホワイトリスト未登録
※[信頼する]の違いははホワイトリストに登録済
信頼できるアプリ一覧にアプリが表示されましたら、アプリのホワイトリスト登録は完了となります。
※管理コンソールの仕様上、上記操作の一括変更は行えません。ひとつひとつ[ 信頼できる ]を選択しホワイトリストに登録する必要があります。APIでも一括変更不可でした。
04)対応方法(補足)
インストールされていないアプリケーションをホワイトリストに追加する場合は、アプリのリストの下部にある [信頼できるアプリ] をクリック > アプリをホワイトリストに登録アイコンをクリックし追加します。
G Suite Marketplace、Android ホワイトリスト、iOS ホワイトリストの設定ページでアプリをホワイトリストに登録してある場合は、
そのアプリは自動的に信頼されます。
ドメイン内のアプリを一括して[信頼する]場合は、
API権限欄の下部に内部アプリの設定があります。[ドメインで所有するアプリを信頼する]のチェックボックスを[オン] にすると、ドメイン内のアプリを一括して[信頼する]事ができます。
05)よくある質問
Q) アプリをホワイトリストに登録しない場合に、具体的にどのような動作になるのでしょうか?A)ホワイトリストに登録をしない場合でも、基本的にはそのままご利用いただけることが想定されます。エンドユーザーには、APIスコープの承認・拒否、両方の選択画面が表示されますが、ホワイトリストに登録していない場合にエラーが生じる可能性があります。
ホワイトリストにご登録いただくことで、当該のアプリケーションは正常に機能するための権限が確実に付与されている状態になります。
Marketplace のアプリの場合には、サードパーティ製のアプリになるため、詳細な動作につきましてはご案内ができかねますが、想定外のアプリケーションエラーなどが発生する可能性がございます。
そのため、仕様変更による、今ご利用いただいているアプリのエラーを防ぐため、念のためホワイトリストにご登録いただくことを推奨いたしております。
Q) 今後Marketplace より購入・ダウンロードする場合は事前にアプリをホワイトリストに登録しておかなければ、エンドユーザーは、アプリをダウンロードできなくなるしょうか?
A)管理コンソール上のユーザーによる Marketplace アプリの “ダウンロードを許可/禁止” するの設定により異なります。「Marketplace アプリのユーザーによるインストールの管理 」内 [ ユーザーが G Suite Marketplace からどのアプリケーションも インストールできないようにする。] 設定にしない限り、ユーザーは自由に Marketplace よるアプリケーションをダウンロードで きます。
[ ユーザーが G Suite Marketplace からホワイトリストに登録されたアプリケーションだけをインストールできるようにする。] に設定をした場合、ホワイトリストに登録済みのアプリケーションのみ、ユーザーはダウンロードが可能です。 Marketplace アプリのユーザーによるインストールの管理 - G Suite 管理者 ヘルプ https://support.google.com/a/answer/6089179?hl=ja
[ ユーザーが G Suite Marketplace からどのアプリケーションもインストールできないようにする。] 設定、にしない限り、管理コンソール > セキュリティ > API 権限 > インストール済み よりアプリケーションを [ 信頼する ] に設定しなくても、エンドユーザーは Marketplace よりアプリケーションをダウンロード可能です。
以上、今回は、[データアクセスの権限の付与の仕組みが変更]される前の対応方法をご紹介致しました。
この機会に、G Suite 管理者はどの様なアプリがドメイン内で使用されているか確認し、今後の運用を考えて信頼できるアプリは ホワイトリストに登録するよう、4月までには準備していきたいですね。