先日追加しました新しい「スタンダード」プランの機能から、本日はGoogle WorkspaceのSSOでもアカウント追加を承認制にできる設定についてご紹介します。

スタンダードプランでは、Google Workspace OAuth2認証によるシングルサインオンで新たなユーザーがチームに参加する時に、管理者による承認制を選択できます。

管理画面から設定

Google Workspace OAuth2認証によるシングルサインオンを有効にしていると、Google Workspace アカウントを持つ社内のメンバーは誰でもKibelaアカウントを作成してチームに参加可能ですが、「設定」の「シングルサインオン（/team/settings/sso）」の画面から、ドメイン毎に Google Workspaceアカウントを持つユーザーは誰でも参加可能にするか、管理者の承認を必要にするかを設定可能です。

この設定をONにすることで「気付かないうちに当初想定していた利用人数を超えてしまい、予算をオーバーしてしまう」といったような事態を防ぐことができます。

登録申請フロー

管理者の承認を必要にした場合、Google Workspaceアカウントを持つ新しいユーザーがチームにログインしようとした時に、アカウント登録の申請フォームが表示されます。

新しいユーザーが本名と管理者へのメッセージを記入して申請を行うと、そのチームの管理者とオーナーに、メールもしくはKibela内の通知で登録申請が届いたことが通知されます。この通知は、通知設定画面よりユーザー毎にON・OFFの設定が可能です。

登録申請の通知からは、「設定」の「メンバー管理（/team/members）」に移動して、申請内容の確認と、申請の承認もしくは却下を行うことができます。メンバー管理画面から承認待ちの登録申請を確認して、役割と参加グループを確認・変更し、承認もしくは却下を行なってください。登録申請が承認された場合はその旨申請を行なったメンバーにメールで通知されます。却下の場合、通知はありません。