こんにちは。Tedです。
今回はGmail API(Google OAuth)の承認を得るにあたって行ったこと・起こったことについて書きたいと思います。
前回の記事はこちら
前回はGoogleへの申請までを書きました。今回は申請でどのようなことを行ったのか、Googleからはどのような指摘があったのかを詳しく書きたいと思います。
Googleに申請
申請の依頼自体は簡単です。 Google Developer ConsoleにてOAuth同意画面から依頼を行います。
このように認証を依頼するための申し込み画面は日本語で表示されていましたが、私たちが入力する文章はすべて英文で行いました。確認するのはGoogle本社(米国)であり、スムーズに審査を進めてもらうには英語で書くのがよいと思ったからです。(後述の通りこの予想は正解でした)
最初の一週間でやったこと
申請してその翌日からGoogleとのやりとりがはじまりました。流れとしては確認に際してGoogleから質問や依頼があり、それを元に私たちが回答・対応していくという流れです。Googleからの回答は素早く、こらちからのメール送信後1日から2日くらいで返信が届きます。
最初の一週間でのGoogleからの依頼とその対応は下記のようなものでした。
Googleサービス内のユーザデータの何を使うのか、そのためにGoogle APIの何を使うのか、なぜ使うのか、何に使うのかを文書にて回答。
アプリケーションが Google APIをどこで使っているかについて、デモ動画を作成。
Googleの審査員がアクセスできるRe:lationテスト環境の提供。
外部サーバにはGoogleユーザデータは送信していない旨の説明。
デモ動画内のメッセージはすべて英語である必要があるとのことで、すべての日本語部分を英語に変更。*1 (当初説明テロップは英語にしていたが、Re:lation画面は日本語のままで収録していた)
デモ動画にてブラウザのURLバーは消さない。特にプロジェクト番号が表示されるOAuthサインインページが見えるように動画を再作成。
Google Cloud Console内のOAuth同意画面にて、不要なクライアントIDを削除。(開発の際に利用した不要なクライアントIDが入っていた)
デモ動画にて、申請している利用APIが使われるアクションが何なのかを明確にするため再収録。
申請時同様、すべてのやりとりは英語で行います。メールでのやりとりだけでなく、提供する文書もすべて英文で提出しました。
対応はなかなか終わらない
Googleによる審査は「案外しっかり見ている」と感じられるものでした。 最初の一週間以降もGoogleから下記のように指摘や質問があり、都度それらへの対応を進めました。
デモ画面でのアクション・説明の追加と再提出。(合計3回ほど)
Google OAuthにて利用するデータを明記する。
Googleサインインブランディングに沿った表記とする。(これは推奨であり、規定の通りとするとRe:lation内の他の設定と比較してデザインが破綻すると考えたので「やらない」と回答)
Re:lationにて使用するドメインはインゲージが所有していることをWebサイトにて明示する。(これはサービスサイトからログインできるページにて明示)
回答しても回答しても、Googleからは新たな指摘や質問が続きました。なかなか先が見えない中で私たちも大変でしたが、Googleも同様だったのではないかと思います。Googleからの返信の中には、すでにこちらから連絡済みのことを重複して聞いてくることも何度かあったくらいです。
Googleでの確認は終了。そして次は
上記の対応でおよそ1ヶ月が過ぎました。
Googleでの確認は一通り終わり、次のステップである第三者機関によるセキュリティ評価診断を受けるフェーズとなりました。
ここでもいくつかポイントがありました。 それについては次回に書きたいと思います。
*1:翻訳はGoogle翻訳によるウェブサイト翻訳を利用しました。