Aby monitorować i ograniczać dostęp do danych, który użytkownicy przyznają Apps Script, musisz mieć konto Google Workspace w wersji Enterprise, Education Standard lub Education Plus.
Użytkownicy Google Workspace przyznają dostęp do poziomów danych, zwanych zakresami, gdy uruchamiają skrypty lub korzystają z aplikacji takich jak dodatki czy aplikacje internetowe. Na tej stronie opisujemy, jak monitorować lub cofać zakresy, do których użytkownicy przyznają dostęp na swoim koncie Google Workspace.
Monitorowanie zdarzeń związanych z uprawnieniami do korzystania z uwierzytelniania przez OAuth według zakresu
Aby wyświetlić zdarzenia, w których użytkownicy przyznają dostęp do określonego zakresu lub zakresów, wykonaj te czynności:
W konsoli administracyjnej Google otwórz Menu > Bezpieczeństwo > Centrum bezpieczeństwa > Narzędzie do analizy zagrożeń.
Kliknij Źródło danych i wybierz Zdarzenia z dziennika OAuth.
Kliknij Dodaj warunek > Atrybut i wybierz Zdarzenie.
Kliknij Zdarzenie i wybierz Przyznanie.
Kliknij Dodaj warunek > Atrybut i wybierz Zakres.
W polu Zakres wpisz zakres, który chcesz monitorować. Listę zakresów znajdziesz w sekcji Zakresy OAuth 2.0 dla interfejsów API Google.
Kliknij Szukaj. Wyświetli się lista zdarzeń przyznania dostępu w przypadku określonych przez Ciebie zakresów.
Cofanie przyznania OAuth
Ważne: po cofnięciu dostępu do zakresu użytkownicy mogą ponownie przyznać dostęp. Skonfiguruj alerty dotyczące zakresów, do których nie chcesz przyznawać użytkownikom dostępu, aby w razie potrzeby móc cofnąć dostęp. Zapoznaj się z artykułem Tworzenie alertu dotyczącego przyznanych uprawnień OAuth.
Aby cofnąć dostęp do zakresu, wykonaj czynności opisane w sekcji Monitorowanie zdarzeń uwierzytelniania przez OAuth według zakresu, a następnie wybierz zdarzenia, które chcesz cofnąć, i kliknij Cofnij tokeny dostępu użytkowników.
Tworzenie alertu dotyczącego przyznawania uprawnień OAuth
Aby otrzymywać alerty, gdy ktoś przyzna dostęp do określonego zakresu, wykonaj czynności opisane w sekcji Monitorowanie zdarzeń uwierzytelniania przez OAuth według zakresu, a następnie wykonaj te czynności:
- U góry wyników wyszukiwania kliknij Utwórz regułę związaną z aktywnością.
- W polu Nazwa reguły wpisz nazwę alertu.
- Kliknij Dalej – wyświetl warunki. Warunki są wypełniane automatycznie na podstawie parametrów wyszukiwania. W razie potrzeby je zmień, a następnie kliknij Dalej: dodaj czynności.
- W sekcji Próg 1 wybierz przedział czasu i próg reguły, a następnie zaznacz pole Wyślij do Centrum alertów.
- Kliknij Dodaj odbiorców e-maila i wpisz adresy e-mail, na które mają być wysyłane alerty. Kliknij Gotowe.
- Kliknij Dalej – sprawdź.
- Sprawdź szczegóły i kliknij Utwórz regułę.
Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.
Ograniczanie dostępu do zakresów OAuth wysokiego ryzyka
Możesz ograniczyć dostęp do większości usług Google Workspace. W przypadku Gmaila i Dysku Google ogranicz dostęp do zakresów OAuth wysokiego ryzyka, ale zezwól użytkownikom na przyznawanie dostępu do zakresów OAuth, które nie są sklasyfikowane jako zakresy o wysokim ryzyku. Jeśli aplikacja prosi o dostęp do zakresu OAuth o wysokim ryzyku, do którego dostęp został ograniczony, a nie została określona przez Ciebie jako zaufana, użytkownicy nie mogą jej autoryzować.
Aby ograniczyć dostęp do zakresów OAuth wysokiego ryzyka, zapoznaj się z artykułem Ograniczanie lub usuwanie ograniczeń dostępu do usług Google.