Google Workspace によるSSOが有効な時に、アカウント追加を承認制にできるようにしました

Google Workspace OAuth2認証によるシングルサインオンで新たなユーザーがチームに参加する時に、管理者による承認制を選択できるようにしました。

これまではGoogle Workspace OAuth2認証によるシングルサインオンを有効にしていると、Google Workspace アカウントを持つ社内のメンバーは誰でもKibelaアカウントを作成してチームに参加可能でした。

今回の変更で、「設定」の「シングルサインオン（/team/settings/sso）」の画面から、ドメイン毎に Google Workspaceアカウントを持つユーザーは誰でも参加可能にするか、管理者の承認を必要にするかを設定できるようになりました。

この設定をONにすることで「気付かないうちに当初想定していた利用人数を超えてしまい、予算をオーバーしてしまう」といったような事態を防ぐことができます。

登録申請フロー

管理者の承認を必要にした場合、Google Workspaceアカウントを持つ新しいユーザーがチームにログインしようとした時に、アカウント登録の申請フォームが表示されます。

新しいユーザーが本名と管理者へのメッセージを記入して申請を行うと、そのチームの管理者とオーナーに、メールもしくはKibela内の通知で登録申請が届いたことが通知されます。この通知は、通知設定画面よりユーザー毎にON・OFFの設定が可能です。

登録申請の通知からは、「設定」の「メンバー管理（/team/members）」に移動して、申請内容の確認と、申請の承認もしくは却下を行うことができます。メンバー管理画面から承認待ちの登録申請を確認して、役割と参加グループを確認・変更し、承認もしくは却下を行なってください。登録申請が承認された場合はその旨申請を行なったメンバーにメールで通知されます。却下の場合、通知はありません。

また、この承認制への設定変更や、参加の申請・承認・却下の処理を行なった場合はそれぞれ監査ログに記録されます。

現在、この機能はエンタープライズプランのユーザー限定で先行提供しています。 またこの機能は、Google Workspace によるSSOをご利用のチームでも管理者が承認したアカウントのみ追加できるようにしたいというご要望を元に開発しました。他に管理系の機能に関するご意見やご要望がございましたら、自チームのKibela 画面右下の「サポート」ボタンよりお気軽にお寄せください。