Google Workspaceの管理コンソールでAPIスコープを個別に制限機能
2024年8月5日、Google Workspaceの管理コンソールにて、アプリのアクセス制御に関する機能として、「サードパーティ製アプリのアクセス管理」という重要な機能が装備されました。このサードパーティには自分の組織の人が作ったGASのアプリについても含まれます。
現時点ではAppSheetなどでGoogleスプレッドシートにアクセスしてもサードパーティとして記録されます。
公式ドキュメントについてはこちらに掲載されています。
リンク
機能の概要
この機能は、Googleアカウントを利用して、サードパーティ製アプリを使う場合に、その際に要求されるAPIスコープを制限して、Googleのデータにアクセスできる範囲をコントロールするというもの。よく他のWebサービスでログインすると自身のGoogleドキュメントにアクセスできたりすることがありますが、ああいったOAuth認証でアクセス許可を「管理者が許可するかどうか?」を既定できるようになったわけです。
以下はドメイン外のユーザが作成したGASアプリの場合の制御方法です(きちんとGASプロジェクトに名前付けないと、全部無題のプロジェクトになってしまうのでわからなくなります)
- 管理コンソールを開く
- 左サイドバーからセキュリティ⇒アクセスとデータ管理⇒APIの制御を開く
- アプリのアクセス制御内にある「サードパーティ製のアプリの制御」をクリックする
- xxx個のアクセス済みアプリの下のリストを表示を開く
- 対象のアプリのレコードにカーソルを移動すると、右端に出てくる「アクセス権限を制御」をクリックする
- 規制する組織部門を選択して次へをクリック
- Googleデータへのアクセスについて、「特定のGoogleデータ」にチェックを入れる
- Googleのサービスまたスコープを更新をクリック
- 右サイドバーが開かれるので、新しくスコープを追加したり、承認済みスコープを外す
- 保存をクリックする
- 次へをクリックする
- アクセス権限を変更をクリックする
これで、個別アプリについてのスコープを制限することができます。アプリIDと呼ばれるOAuthで認証した際や事前に用意したクライアントIDなどを基準に制御ができるようです。
※ただ、GASを作成して実行し、OAuth認証を実行しても、すぐには管理コンソールの一覧にはでてこないみたい(6月に作ったAIに問い合わせプロジェクトについてはリストにきちんとあった)。
図:機能の管理画面
図:スコープ管理変更中
