はじめに
この記事は、以下の続きの記事です。
Google APIの制限付きスコープのGoogle審査 体験談 ~ブランド検証+機密&制限スコープ検証編~ その1
前回は審査の準備についてご紹介しました。 今回は、実際に検証を進める手順についてご紹介いたします。
<注意>
本記事の情報は2024年9月の申請時点の情報です。
レギュレーションは都度見直しされている可能性がありますので、実際に対応する際は最新の情報をご確認ください。
OAuth 検証開始
必要なアイテムが揃ったので申請します。
プロジェクトを作成している画面で、公開ステータスの[アプリを公開]ボタンを押下すると以下のメッセージが表示されるので、内容を確認して[確認]を押下します。
すると[確認が必要]ステータスに変わるので、[確認を準備する]を押下します。
検証の準備画面に切り替わるので、内容を一つひとつ確認して、画面を進めていきます。 機密性の高いスコープや制限付きのスコープを使用している場合は、その理由が求められます。
スコープを利用する理由をしっかり記載する必要があります。記載した理由からスコープを利用する必要性が判断できなければ、Googleから指摘が入ります。
また、このときに準備したYouTube動画のURLリンクも記入します。
そして最終レビュー画面で「確認のため送信」を押下します。
しばらくすると、Googleから自動送信メールで「本当に検証が必要ですか?」といった内容のメールが届くので、そちらに「はい、検証を開始してください」と英語で返信しました。
Googleからの指摘
申請から数日後に返信がありました。指摘ありでした。
メールはすべて英語で、指摘内容と対応方法について丁寧に説明がありました。すべての指摘に対応する必要はありませんでした。理由等を改めて説明することで対応なしとすることも可能でした。
今回、教員用アプリと学習者用アプリを申請したので、それぞれの指摘をご紹介します。
教員用アプリ
指摘:「あなたのアプリは最低限のスコープを使用していません。」
Google Driveの「すべてのファイルの参照・作成・編集・削除」権限のスコープを使用して申請しましたが、「選択したファイルの参照・作成・編集・削除」権限で十分なのでは?と指摘を受けました。
メールには2つの選択肢がありました。1つは別の推奨されるスコープへ変更するもので、もう1つは申請したスコープが必要な理由を説明するものでした。
学習者アプリでも同じスコープを申請しましたが、そちらには同様の指摘はなかったので、条件が違うか説明が足りなかったのではと推察しています。
対応
申請したスコープが必要な理由を詳細に説明しました。
結果
申請が通り、次のフェーズのCASAセキュリティ検証を受けるようにという指示を受けました。 セキュリティ検証はTier3をリクエストされました。 こちらはまた別の記事でご紹介します。
学習者用アプリ
指摘:「OAuth同意画面に記載されているアプリケーション名が、ホームページのアプリケーション名と一致しません。」
OAuth同意画面に表示するアプリケーション名とホームページのアプリケーション名が一致しないため指摘を受けました。アプリケーションとブランドのアイデンティティに一貫性があるかを審査されているようです。
メールにはOAuth同意画面のアプリケーション名を正確なものに更新するように指示がありました。
対応
アプリケーション名の修正を求められましたが、怪しいアプリケーションではないことを証明するためにアプリケーションとホームページの関連性が分かるようにホームページに追記しました。 そして、メールで「関連性を示すようにホームページを修正しました」と連絡しました。
結果
申請が通り、次のフェーズのCASAセキュリティ検証を受けるように、という指示を受けました。 教員用アプリとは異なり、CASA Tier2セキュリティ検証を受けるように指示がありました。
まとめ
結果的には、それぞれ1回の指摘でほぼ1~2週間でクリアできましたが、もし準備なしに検証に対応していたら、さらに数か月かかっていた可能性がありました。
「OAuth検証の実施」編は以上となります。
次回は、制限付きスコープを使用する場合に必要なCASAセキュリティ検証についてご紹介します。 次回の記事もぜひご覧ください。
