🔑

Gather.townのスペースアクセス設定について調べた

2022/02/20に公開

職場でGather.townを利用するにあたり、スペースアクセス設定について調べました。
公式ヘルプを読めば設定方法について詳細に書かれているのですが、ユースケース別の設定案や細かい挙動について確認したことを書き残しておきます。

また「スペースのメンバー」や「招待リンク」についても、どうやら入室制限とは無関係そうなことがわかったので補足として末尾に書いてあります。


免責

セキュリティに関わることなので念のため書いておきますが、この記事に書かれている内容に起因して生じる結果に対して一切の責任を負いません。この記事に書いてある内容は、あくまで執筆時点(2020/2/20)で筆者が試してみたことの記録です。


背景

Gatherで作成したスペースは推測が難しいURLになっていますが、URLさえ知っていれば誰でもアクセスすることができますデフォルトでは匿名ユーザーでも入室可能な設定のため、目的に応じたスペースアクセス設定を行う必要があります。

公式情報

基本的にはこれを読めばOK。
ユーザーにどんな画面が表示されるのかを含めて、しっかりとドキュメントが書かれています。
https://support.gather.town/help/restrict-access


ユースケース別の運用案

従業員のみが入室できるようにしたい

無料プランの場合: ゲストリストで厳密に入室管理。
有料プランの場合: メールアドレスのドメイン制限で管理。

一時的に社外ゲストを入室させたい

無料プランの場合: 一時的にゲストリストに追加。
有料プランの場合: メールアドレスのドメイン制限 + 一時的にゲストリストに追加。

社外ゲストの場合、ゲストリストの名前(name)と所属(affiliation)を固定にして、必ず社外ゲストであることがわかるようにする。
これを設定しないと、ゲスト自身が名前を変更したときに従業員かどうかの区別をつけられなくなってしまう。

申込者と従業員のみが参加できるイベントを開催したい

別のスペースを作成する。(職務スペースとは分けたほうがいい)

無料プランの場合: 申込者+従業員のゲストリストを作成。
有料プランの場合: メールアドレスのドメイン制限 + 申込者をゲストリストに追加。

申込者の場合、ゲストリストの名前(name)と所属(affiliation)を固定にする。
これを設定しないと、ゲスト自身が名前を変更できるので、参加者管理やトラブル時の対応が難しくなってしまう。


調べたことのメモ

ゲストリスト

  • 入室時にログイン必須になる。
  • ゲストリストにメールアドレスがあれば入室可能。
  • スペースのメンバーや管理者であっても、ゲストリストにメールアドレスがない場合は入室できない。
  • スペースのパスワードは無効になる。(ゲストリストに存在すれば無条件入室)

ゲストリストのオプション

  • ゲストリストを登録時に、名前(name)と所属(affiliation)を入力することができる。
  • ゲストリストに登録されている名前はユーザー自身でカスタマイズできないので、なりすましを防ぐために利用することができる。
  • 所属には「社外ゲスト」のようにわかりやすいラベル付をすることが可能

API

メールアドレスドメイン制限

  • 有料プランのみ。
  • 組織のメールアドレスなら入室OKを簡単に実現できる。
  • 公式ヘルプを読むと、ゲストリストとの併用も可能。(試してはいない)

ログイン必須(RequireLogin)

  • 入室時にGatherにログイン(Googleアカウントまたはメールアドレス認証)を求める。
  • この設定のみだと、Gatherにログインすれば誰でもスペースにアクセス可能。
  • 入室したユーザーのメールアドレスを参照できないので、その人が正規のゲストかどうかを入室後に見極めることができない。
  • Gatherにログインしたユーザー同士で友達申請をしたり、迷惑ユーザーをBANしたりすることには利用できるが、入室を制限することには利用できない。

スペースの入室パスワード

  • パスワードを知っている人に入室を制限できる。
  • スペースのURLとパスワードをしていれば入室できるので、退職者や社外からのゲストなどを考えると仕組みとして脆弱すぎるのでおすすめしない。

--

補足

スペースメンバーについて(あまり自信はない)

  • スペースへの入室制限とは関係なさそう。
  • スペースのメンバーであっても、ゲストリストに登録がなければ入室できないし、設定があれば毎回パスワードを求められる。
  • メンバーは入室後の権限管理の概念だと思っておこう。

招待リンクについて(あまり自信はない)

  • https://app.gather.town/invite?token=xxxxxxxxxxxxxxxxxxx みたいなURLが発行されるが、あくまでスペースURLを隠すためだけの転送機能のようだ。
  • 招待リンク経由でなくてもスペースのURLがわかれば誰でもアクセス可能なので注意。
  • よくある招待リンク(招待リンク経由でないと入室できない)と同じ感覚で利用すると事故ります。

まだサービス開始から日が浅く、こういった実際の運用に基づく情報が少ない印象です。
情報交換したい方おられましたらお気軽にtwitterでDMいただければと思います。

以上です。

LAPRAS Inc.

Discussion