開発しているWebサービスでGoogle認証で、
機密性の高いスコープを利用したときにOAuth同意画面の審査をお願いした。

＼🚀アップデート🚀／
✅アカウント連携で共有設定が不要に🎉

追加権限の連携で、共有なしでも使えるように😊

Google Workspaceで共有が制限されていても、
調整や依頼なしで、#SSSAPI を利用できます🙌

ぜひぜひ、ご活用ください🥳https://t.co/znp6CJGZEs
— 【公式】SSSAPI / Google スプレッドシートのAPI化サービス (@sssapi_app) April 28, 2022

その時調べたときの備忘録。色々と大変だった。。

OAuth同意画面の審査について

GmailやGoogle Driveなど機密性の高いAPIの権限が必要な場合、
Googleの審査が必要になる

審査がなくても使えるけど、
「このアプリは確認されていません」
という警告が出てしまう。。

警告が出ないようにするために、審査してもらう必要があるけど、
それが結構めんどくさい。。

利用規約やプライバシーポリシーの用意だけでなく、
・スコープの使用方法についての説明や
・使い方を示した動画のYoutubeのURL
も必要。

注意点

色んなサイトみて、審査前にまとめた注意点。

審査申請時に記載する内容について
- どのスコープをどんな目的で使うのか明確にする
- 公開していない場合は公開できない理由を説明する
- 同意画面のアイコンとWebページのファビコンを一致させる
Youtube動画について
- 字幕もサイトも英語表示にする
- clientIDをわかるように表示する

審査開始すると指摘点をメールで通知され、
修正したら連絡する感じ。

Youtubeの動画を作成するときは、
・ chrome拡張のGoogle翻訳を使って英語化
・ Youtubeの機能を使って、字幕を挿入
という感じで画像編集ソフト無しでOK

また、開発中や内部的な利用の場合は、審査で指摘される。
"test"などが書いてある場合は、注意。

審査申請時の実例

審査申請時に記載した内容は以下の感じ。
メールでのやり取りは英語だったけど、ここは日本語のままでOKだった。

スコープの使用方法

スプレッドシートの内容をJSONに変換するサービスを提供しています。
自分のスプレッドシートに対し、Sheets APIでアクセスするために、spreadsheets権限が必要です。

また、Drive APIでスプレッドシートの更新日時を取得するため、drive.metadata.readonlyが必要です。

アプリに関する最終的な情報

サービス自体のログインには、Firebase Authenticationを利用しています。
・ProjectID: ******
・Project No.: ******

現在、このアカウント連携機能は特定のユーザのみに制限しています。
すでにリリースしているサービスしており、ユーザを混乱させないため、
審査完了後に、全体へ公開したいと思っております。

その後のやり取り

1通目: ドメイン確認

審査を申請して、1日くらい立つと、
「ドメインの所有権を確認してください。」
という内容が届いた。

自分のドメインは、SearchConsoleに登録して、
Firebase Hositingのドメインは、その旨を説明。

2通目: Google認証のガイドライン

Google認証で連携する際のボタンがガイドラインに沿ってないとの指摘。

ボタンのUIを修正して、変更後のスクショと一緒に、
指摘に対応した旨を説明。

3通目: 承認完了

これでOKが出たようで確認してみると、審査完了になってたヽ(=´▽`=)ﾉ
4〜6週間位かかるとのことだったので、ドキドキしてたけど、ありがたい(*´ω｀*)

メールには毎回、以下のリンクを見てね、と書かれていたので、
こちらも一読しておくとよりよいかもしれない。
・FAQ
・Google API サービスのユーザーデータに関するポリシー

以上!!

くらげになりたい。

くらげのようにふわふわ生きたい日曜プログラマなブログ。趣味の備忘録です。

GoogleのOAuth同意画面の申請をしてみた