tl;dr GCP の Project を G Suite ドメインと結びついた Organization に migrate しましょう
Admin SDK 系 (admin.directory.user.readonly とか) の scope を Google との OAuth で要求すると "Your app isn't verified" なり invalid_scope なりと怒られます。
調べてみると Publicly available applications with access to certain user data must pass review とは書かれていて、いやそれは分かるんだけどこれは内部アプリだしプライバシーポリシーとかないし…。 "Your app isn't verified" の画面は最近リリースされたばかり っぽいし、日本語ロケールだと invalid_scope になるし… 先週調べてた時は全然分からず、G Suite Admin 上は "Trust domain owned apps" になってるしなあ…等と思い頭を抱えていた。
今日ドキュメントを読み返して改めて OAuth App Verification フォームを読んでいたら "Who is this app for?" という質問項目があり、 "Users in my business who have G Suite accounts. " を選んだら 回答へのリンク が無事登場しました。ページ内検索でひっかからないの許さん。
これに関連した機能を作っている間に Google の仕様が変わってログインできなくなるわドキュメントは更新されてないわで大変だったけど、解決できてよかった (この数日でドキュメントが更新されたのか見つけられてなかったのかは分からん…。)