אימות לקוח OAuth

לקוחות OAuth של Google שמבקשים היקפי OAuth רגישים מסוימים כפופים לאימות של Google.

אם לא מאמתים את לקוח ה-OAuth של פרויקט הסקריפט, משתמשים מחוץ לדומיין רואים מסך אפליקציה לא מאומתת כשהם ינסו לאשר את הסקריפט. תהליך הרשאה לא מאומת מאפשר למשתמשים האלה לאשר אפליקציות לא מאומתות ולהשתמש בהן, אבל רק אחרי שהם מאשרים שהם מבינים את הסיכונים. קיימת מכסה גם למספר הכולל של משתמשי אפליקציה לא מאומתים.

למידע נוסף, ראה הסעיפים הבאים:

 

מסך אפליקציה לא מאומתת
איור 1: מסך אפליקציה לא מאומתת
תהליך ההרשאה של אפליקציות לא מאומתות
איור 2: תהליך הרשאה לא מאומת לאפליקציות

 

השינוי חל על לקוחות אינטרנט של Google OAuth, כולל אלה שבהם משתמשים כל הפרויקטים של Apps Script. על ידי אימות האפליקציה באמצעות Google, תוכלו להסיר את מסך האפליקציה הלא מאומתת מתהליך ההרשאה ולתת למשתמשים תחושת ביטחון שהאפליקציה לא זדונית.

אפליקציות לא מאומתות

יכול להיות שיהיה צורך לאמת תוספים, אפליקציות אינטרנט ופריסות אחרות (כמו אפליקציות שמשתמשות ב-Apps Script API).

המוצרים שעליהם חל המבצע

אם האפליקציה משתמשת בהיקפי OAuth רגישים, יכול להיות שמסך האפליקציה הלא מאומתת יופיע כחלק מתהליך ההרשאה. הנוכחות שלה (ותהליך ההרשאה הלא מאומת לאפליקציה שמתקבל) תלוי בחשבון שממנו האפליקציה פורסמה ובאיזה חשבון מנסה להשתמש בה. לדוגמה, אפליקציות שמתפרסמות בארגון מסוים ב-Google Workspace לא מובילות לתהליך האימות של האפליקציה עבור החשבונות בדומיין הזה, גם אם האפליקציה לא אומתה.

הטבלה הבאה ממחישה אילו מצבים מובילים לתהליך ההרשאה של אפליקציה לא מאומתת:

הלקוח מאומת בעל האפליקציה הוא חשבון Google Workspace של לקוח א' הסקריפט נמצא באחסון שיתופי של לקוח א' בעל האפליקציה הוא חשבון Gmail
המשתמש הוא חשבון Google Workspace של לקוח א' תהליך אימות רגיל תהליך אימות רגיל תהליך אימות רגיל תהליך האימות לא מאומת
המשתמש הוא חשבון Google Workspace לא של לקוח א' תהליך אימות רגיל תהליך האימות לא מאומת תהליך האימות לא מאומת תהליך האימות לא מאומת
המשתמש הוא חשבון Gmail 1 תהליך אימות רגיל תהליך האימות לא מאומת תהליך האימות לא מאומת תהליך האימות לא מאומת

1כל חשבון Gmail, כולל החשבון ששימש לפרסום האפליקציה.

מכסת משתמשים

מספר המשתמשים שיכולים לתת הרשאה לאפליקציה באמצעות תהליך האימות של האפליקציה מוגבל כדי להגביל את האפשרות לניצול לרעה. לפרטים נוספים, אפשר לעיין במאמר מגבלות למשתמשים באפליקציות OAuth.

נשלחה בקשת אימות

אתם יכולים לבקש אימות של לקוח OAuth שהאפליקציה משתמשת בו ואת הפרויקט ב-Cloud Platform (GCP) שמשויך אליו. לאחר אימות האפליקציה, המשתמשים לא יוכלו לראות יותר את מסך האפליקציה לא מאומתת. בנוסף, האפליקציה כבר לא תהיה כפופה למכסת המשתמשים.

דרישות

כדי לשלוח את לקוח OAuth לאימות, צריך לעמוד בדרישות הבאות:

  1. עליכם להיות הבעלים של אתר אינטרנט בדומיין. האתר חייב לארח דפים נגישים לציבור שמתארים את האפליקציה ואת מדיניות הפרטיות שלה. תצטרכו גם לאמת את הבעלות על האתר באמצעות Google.

  2. הפרויקט ב-Google Cloud שבו אתם משתמשים בפרויקט הסקריפט חייב להיות פרויקט רגיל ב-Google Cloud שיש לכם גישת עריכה אליו. אם הסקריפט משתמש בפרויקט ברירת המחדל שלו ב-Google Cloud, עליכם לעבור לפרויקט רגיל ב-Google Cloud.

בנוסף, צריכים להיות לכם הנכסים הנדרשים הבאים:

  • שם האפליקציה. שם האפליקציה. מוצג במסך ההסכמה. הוא צריך להיות זהה לשם האפליקציה במיקומים אחרים, כמו למשל דף האפליקציה ב-Google Workspace Marketplace של אפליקציות שפורסמו.
  • הלוגו של האפליקציה. תמונת לוגו של אפליקציה בפורמט JPEG, PNG או BMP, להצגה במסך ההסכמה. גודל הקובץ צריך להיות 1MB לכל היותר.
  • כתובת אימייל לתמיכה. זוהי הודעת אימייל שמוצגת במסך ההסכמה כדי שהמשתמשים יוכלו ליצור קשר אם הם זקוקים לתמיכה באפליקציה. אפשר להשתמש בכתובת האימייל שלכם, או בקבוצת Google שאתם הבעלים או מנהלים.
  • היקפים. רשימה של כל ההיקפים שהאפליקציה משתמשת בהם. ניתן להציג את ההיקפים בעורך Apps Script.
  • דומיינים מורשים. זוהי רשימת דומיינים שמכילים מידע על האפליקציה. כל הקישורים לאפליקציה (כמו הדף הנדרש של מדיניות הפרטיות) חייבים להתארח בדומיינים מורשים.
  • כתובת ה-URL של דף הבית של האפליקציה. המיקום של דף בית שמתאר את האפליקציה. המיקום הזה חייב להתארח בדומיין מורשה.
  • כתובת ה-URL של מדיניות הפרטיות של האפליקציה. המיקום של דף שמתאר את מדיניות הפרטיות של האפליקציה. המיקום הזה חייב להתארח בדומיין מורשה.

בנוסף לנכסים הנדרשים שלמעלה, אפשר לספק כתובת URL של התנאים וההגבלות של האפליקציה שמפנה לדף שבו מתוארים התנאים וההגבלות של האפליקציה. אם צוין אחרת, המיקום הזה חייב להיות בדומיין מורשה.

שלבים

  1. אם עדיין לא עשית זאת, עליך לאמת את הבעלות על כל הדומיינים המורשים שמשמשים לאירוח מדיניות הפרטיות של פרויקט הסקריפט ומידע נוסף. הבעלים המאומתים של הדומיינים צריכים להיות עורכים או הבעלים של פרויקט הסקריפט.
  2. בפרויקט Apps Script, לוחצים על Overview . בקטע היקפי OAuth של פרויקט, מעתיקים את ההיקפים שבהם משתמש פרויקט הסקריפט.

  3. השלימו את מסך ההסכמה של OAuth בפרויקט של האפליקציה שלכם ב-Google Cloud באמצעות נכסי הטקסט וכתובות ה-URL שאספתם.

    1. עליכם לרשום את הדומיינים המורשים שבהם מתארח פרטי האפליקציה (למשל, מדיניות הפרטיות שלה).

    2. כדי להוסיף היקפים לאפליקציה, לוחצים על הוספה או הסרה של היקפי הרשאות. תיבת הדו-שיח שמתקבלת מנסה לזהות באופן אוטומטי היקפים של ממשקי API שהפעלתם במסוף Google Cloud (כמו שירותים מתקדמים). כדי לבחור היקפים מהרשימה הזו, מסמנים את התיבות המתאימות.

      הרשימה שזוהתה באופן אוטומטי לא תמיד כוללת היקפי הרשאות שמשמשים שירותים מובנים של Apps Script. צריך להזין את ההיקפים האלה בקטע הוספה ידנית של היקפי הרשאות.

      בסיום, לוחצים על Update.

  4. אחרי שמזינים את כל הפרטים הנדרשים, לוחצים על שמירה.

  5. כדי להתחיל בקשת אימות, לוחצים על שליחה לאימות.

רוב בקשות האימות מגיבות תוך 24 עד 72 שעות. אפשר לבדוק את סטטוס האימות בחלק העליון של טופס מסך ההסכמה לשימוש ב-OAuth. כשאושר האימות של לקוח ה-OAuth, האפליקציה שלכם מאומתת.