アプリのユーザー全員が特定の企業ドメインに属している場合、ドメイン セキュリティ グループを使用して、AppSheet アプリへのアクセスを制御できます。
この手法の利点として、アクセス制御の判断を各アプリではなく全体的に行えることが挙げられます。たとえば、Admins というドメイン セキュリティ グループがある場合、アプリのアクセスをこのグループのメンバーにのみ許可できます。特定の従業員がグループに追加されたり、グループから削除されたりすると、アプリへのアクセス権も動的に変更されます。
認証ドメインのオーナーには、ドメインからグループのリストを読み取り、個々のグループのメンバー構成を読み取るための権限が必要です。
AppSheet アカウントの認証ドメインを確認する
AppSheet アカウントの認証ドメインを確認するには以下の操作を実行します。
- AppSheet にログインします。
- アカウント プロファイルのプルダウンからお使いのアカウントを選択して、[My account] ページに移動します。
- [Integrations] > [Auth Domains] に進みます。
![[My account] ページにアクセスする](http://lh3.googleusercontent.com/TGIeV65pTuq3ElHiLLcL8vnnj2TESQpjoGDWKp4kgOnUi7cqUKzQlPK8mOR57ILRCu62=w192)
Auth Domains ページに、個人の認証ドメインとチームの認証ドメインが表示されます。統合をチームと共有するもご覧ください。
![アカウントの個人承認ドメインとチーム承認ドメインが表示されている [Auth Domains] ペイン](http://lh3.googleusercontent.com/kopTz7qtapD_ggoKcrXcfsMGawSmukRWOKBvdGHOqeD-C62ecuwDBNxulDfZYCg0ye4=w500)
AppSheet アカウントに認証ドメインを追加する
認証ソースを追加すると、グループのリストおよび自身のアカウントがアクセス可能なドメインのグループ メンバーシップを読み取るための権限を AppSheet に付与することになります。
AppSheet アカウントに認証ドメインを追加するには:
- AppSheet にログインします。
- アカウント プロファイルのプルダウンからお使いのアカウントを選択して、[My account] ページに移動します。
- [Integrations] > [Auth Domains] に進みます。
- [+ New Auth Domain] をクリックします。
[Add a new authentication domain] ダイアログが表示されます。 - 認証ソースの名前を入力します。
- リストから、以下の認証ソースのうち 1 つを選択します。
- アクセスを認証する要求に応答します。
アプリに認証ドメインを設定する
アプリ所有者でなければ、アプリのドメイン認証を設定できません。
アプリに認証ドメインを設定するには以下の操作を実行します。
- アプリエディタでアプリを開きます。
- [Security] > [Domain Authentication] に移動します。
- [Require domain authentication?] を有効にします。
- [Authentication domain source] で、前のステップで追加したアカウントの名前を選択します。
- [Restrict by Domain] フィールドにドメイン名を入力して、ドメインごとにアクセスを制限します。
このフィールドは省略可能です。設定すると、ドメインがこのフィールドと一致するグループのメンバーのみが、指定のロールでアプリにアクセスできるようになります。空白のまま残すと、ドメインに関係なく、グループの全メンバーが指定のロールでアプリにアクセスできるようになります。 - このアプリでユーザー認証を管理するために使用される認証グループを追加して、以下のタスクのうち 1 つ以上を実行します。
- [App role] を [User] または [Admin] に変更します。アプリでのユーザーロールの利用について詳しくは、
USERROLE()をご覧ください。デフォルトのロールは [User] です。 - ユーザーが利用できるアプリのバージョンを [Default]、[Latest]、または [Stable] に変更します。アプリのバージョンについて詳しくは、アプリの安定バージョンを維持するをご覧ください。
- [App role] を [User] または [Admin] に変更します。アプリでのユーザーロールの利用について詳しくは、
-
変更を保存します。
![[Security] > [Domain Authentication] タブでアプリのドメイン認証を設定する](http://lh3.googleusercontent.com/1yKABBJqdRUbxkEQOrklmHEShm8IBlX0cV0YqsyCNdsjnc6LxXj_MZEwoAZQ4HK27l5h=w491)
アプリ作成者が外部の認証ドメインを使用することを禁止する
以下で説明するように、「外部データソースと認証ドメインの制限」ポリシーを使用して、アプリ作成者が外部認証ドメインを使用できないようにします。詳しくは、ガバナンス ポリシーを定義するをご覧ください。
アプリ作成者が外部の認証ドメインを使用することを禁止するには:
- [My account] > [Policies] を選択します。
- [+ Account Policy] または [+ Team Policy] をクリックして、アカウントまたはチームのポリシーを追加します。
- [Policy Template] プルダウンから、[Restrict external data sources and auth domains] を選択します。
- [Next] をクリックします。
- このポリシーは事前構成されています。任意のフィールド値を変更できます。各フィールドの説明については、事前定義ポリシーを追加するをご覧ください。
重要: [Condition] フィールドを変更する場合は、次に示す機能を保持していることを確認してください。
NOT([HasExternalAuth]) - [Save] をクリックします。