くらげになりたい。

くらげのようにふわふわ生きたい日曜プログラマなブログ。趣味の備忘録です。

GoogleのOAuth同意画面の申請をしてみた

開発しているWebサービスGoogle認証で、
機密性の高いスコープを利用したときにOAuth同意画面の審査をお願いした。

その時調べたときの備忘録。色々と大変だった。。

OAuth同意画面の審査について

GmailGoogle Driveなど機密性の高いAPIの権限が必要な場合、
Googleの審査が必要になる

審査がなくても使えるけど、
「このアプリは確認されていません」
という警告が出てしまう。。

警告が出ないようにするために、審査してもらう必要があるけど、
それが結構めんどくさい。。

利用規約やプライバシーポリシーの用意だけでなく、
・スコープの使用方法についての説明や
・使い方を示した動画のYoutubeのURL
も必要。

注意点

色んなサイトみて、審査前にまとめた注意点。

  • 審査申請時に記載する内容について
    • どのスコープをどんな目的で使うのか明確にする
    • 公開していない場合は公開できない理由を説明する
    • 同意画面のアイコンとWebページのファビコンを一致させる
  • Youtube動画について
    • 字幕もサイトも英語表示にする
    • clientIDをわかるように表示する

審査開始すると指摘点をメールで通知され、
修正したら連絡する感じ。

Youtubeの動画を作成するときは、
chrome拡張のGoogle翻訳を使って英語化
Youtubeの機能を使って、字幕を挿入
という感じで画像編集ソフト無しでOK

また、開発中や内部的な利用の場合は、審査で指摘される。
"test"などが書いてある場合は、注意。

審査申請時の実例

審査申請時に記載した内容は以下の感じ。
メールでのやり取りは英語だったけど、ここは日本語のままでOKだった。

スコープの使用方法

スプレッドシートの内容をJSONに変換するサービスを提供しています。
自分のスプレッドシートに対し、Sheets APIでアクセスするために、spreadsheets権限が必要です。

また、Drive APIでスプレッドシートの更新日時を取得するため、drive.metadata.readonlyが必要です。

アプリに関する最終的な情報

サービス自体のログインには、Firebase Authenticationを利用しています。
・ProjectID: ******
・Project No.: ******

現在、このアカウント連携機能は特定のユーザのみに制限しています。
すでにリリースしているサービスしており、ユーザを混乱させないため、
審査完了後に、全体へ公開したいと思っております。

その後のやり取り

1通目: ドメイン確認

審査を申請して、1日くらい立つと、
ドメインの所有権を確認してください。」
という内容が届いた。

自分のドメインは、SearchConsoleに登録して、
Firebase Hositingのドメインは、その旨を説明。

2通目: Google認証のガイドライン

Google認証で連携する際のボタンがガイドラインに沿ってないとの指摘。

ボタンのUIを修正して、変更後のスクショと一緒に、
指摘に対応した旨を説明。

3通目: 承認完了

これでOKが出たようで確認してみると、審査完了になってたヽ(=´▽`=)ノ
4〜6週間位かかるとのことだったので、ドキドキしてたけど、ありがたい(*´ω`*)

メールには毎回、以下のリンクを見てね、と書かれていたので、
こちらも一読しておくとよりよいかもしれない。
FAQ
Google API サービスのユーザーデータに関するポリシー

以上!!

参考にしたサイトさま