قدّمت Google إعدادات "التحكّم في الوصول إلى التطبيقات" ليتمكّن مشرفو Google Workspace for Education من التحكّم في كيفية وصول التطبيقات التابعة لجهات خارجية إلى بيانات مؤسساتهم على Google عند تسجيل المستخدمين الدخول باستخدام حساباتهم على Google Workspace for Education. على الرغم من عدم وجود أي إجراءات مطلوبة من مطوّري التطبيقات التابعة لجهات خارجية، نذكر أدناه بعض أفضل الممارسات التي رأى مطوّرو التطبيقات الآخرون أنها مفيدة.
استخدام بروتوكول OAuth التدريجي
يمكنك استخدام التفويض الإضافي لطلب مبدئي النطاقات المطلوبة لبدء تشغيل تطبيقك فقط، ثم طلب نطاقات إضافية عند الحاجة إلى أذونات جديدة. يحدد سياق التطبيق بعد ذلك سبب الطلب إلى المستخدم.
عند تسجيل الدخول، يطلب تطبيقك نطاقات أساسية مثل الملف الشخصي لنطاق تسجيل الدخول والنطاقات الأولية الأخرى التي يتطلبها تطبيقك للتشغيل. في وقت لاحق، عندما يريد المستخدم تنفيذ إجراء يتطلب نطاقات إضافية، يطلب تطبيقك هذه النطاقات الإضافية ولا يسمح المستخدم إلا بالنطاقات الجديدة من شاشة الموافقة.
عند إنشاء إضافة Google Classroom، عليك اتّباع إرشادات Google Workspace Marketplace لتقديم قائمة كاملة بنطاقات OAuth التي يتطلبها تطبيقك. يعد ذلك ضروريًا حتى يفهم المشرف النطاقات التي يُطلب من مستخدم النطاق الموافقة عليها.
التأكّد من التحقّق من بروتوكول OAuth لجميع التطبيقات
على جميع التطبيقات التي يمكنها الوصول إلى Google APIs التحقّق من أنّها تمثّل الهوية والهدف بدقة على النحو المحدّد في سياسة بيانات المستخدمين المتعلّقة بخدمات Google API. إذا احتفظت بعدة تطبيقات تستخدم Google APIs، يُرجى التأكّد من أنه تم إثبات ملكية كل تطبيق. يمكن للمشرفين الاطّلاع على جميع معرِّفات عملاء OAuth المرتبطة بعلامتك التجارية التي تم إثبات ملكيتها. لمساعدة المشرفين على تجنُّب ضبط معرّفات غير صحيحة لعميل OAuth، يمكنك استخدام مشاريع Google Cloud منفصلة للاختبار والإنتاج وحذف جميع معرِّفات عملاء OAuth التي لا يتم استخدامها.
إنّ التحقّق من واجهة برمجة التطبيقات OAuth هو عملية تستخدمها Google Cloud Platform لضمان أمان التطبيقات التي تطلب نطاقات حساسة أو محظورة وامتثالها. تساعد عملية التحقّق في حماية مستخدمي Google Cloud وبياناتهم من الوصول غير المصرَّح به.
يجب أن تمتثل التطبيقات التي تطلب نطاقات حساسة أو محظورة لسياسة بيانات مستخدمي خدمات Google API. تتطلب هذه السياسة من التطبيقات حماية بيانات المستخدم وعدم استخدامها إلا للأغراض التي سمح بها المستخدم. قد تحتاج التطبيقات أيضًا إلى الخضوع لتقييم أمان مستقل للتحقق من استيفائها لمتطلبات الأمان في Google Cloud.
لاحظ أن عملية التحقق من واجهة برمجة تطبيقات OAuth قد تستغرق ما يصل إلى عدة أسابيع. بعد التحقق من تطبيقك، يمكنك طلب النطاقات الحساسة أو المحظورة التي تحتاج إليها.
يمكنك الرجوع إلى الأسئلة الشائعة حول إثبات الملكية من خلال واجهة برمجة تطبيقات OAuth لمعرفة مزيد من التفاصيل.
التعامل مع معرِّفات عملاء OAuth متعددة
قد يتضمّن مشروع Google Cloud معرِّفات عملاء OAuth متعددة، ما قد يتطلّب من مشرف النطاق ضبط إعدادات وصولك عدة مرات.
التأكّد من دقة أرقام تعريف عملاء OAuth
يُرجى التواصل مع فريق التطوير لديك للتعرّف على معرّفات عملاء OAuth المستخدَمة للتكامل مع Google OAuth. يمكنك استخدام مشروعين مختلفين في Google Cloud للاختبار والإنتاج لمساعدة المشرفين في التعرّف على معرّفات عميل OAuth التي يجب ضبطها. احذف أي معرّفات عملاء متوقّفة أو قديمة من مشروعات الإنتاج لديك.
تحميل ملف CSV
إذا كنت تمتلك معرِّفات عملاء متعددة، ننصحك بالاستفادة من خيار التحميل المجمَّع بتنسيق CSV لمساعدة المشرفين على ضبط جميع تطبيقاتك بسرعة.
الحقول هي:
| الحقل | مطلوبة | Notes |
|---|---|---|
| اسم التطبيق | لا | أدخِل اسم التطبيق. لا يتم تطبيق التغييرات التي تجريها على اسم التطبيق في ملف CSV في "وحدة تحكّم المشرف". |
| Type | نعم | واحد من تطبيق الويب، Android أو iOS |
| رقم التعريف | نعم | بالنسبة إلى تطبيقات الويب، أدخِل معرِّف عميل OAuth الذي تم إصداره للتطبيق. بالنسبة إلى تطبيقات Android وiOS، أدخِل معرِّف عميل OAuth أو حزمة التطبيق أو معرِّف الحزمة التي يستخدمها التطبيق في Google Play أو Apple App Store. |
| الوحدة التنظيمية | نعم | ليملأها العميل. أدخِل شرطة مائلة للأمام ('/') لتطبيق إعداد الوصول إلى التطبيق على نطاقك بالكامل. لتطبيق إعدادات الوصول على وحدات تنظيمية محددة، أضف صفًا إلى جدول البيانات لكل وحدة تنظيمية، مع تكرار اسم التطبيق ونوعه ورقم تعريفه. (على سبيل المثال، '/org_unit_1/sub_unit_1'). |
| إذن الوصول | نعم | إما موثوق به أو محظور أو محدود. |
أخطاء OAuth
تم عرض رسالتَي خطأ تتضمّنان عناصر تحكّم المشرف الجديدة هذه.
- الخطأ 400: access_not_configuration - يتم استلامه عند رفض اتصال OAuth بسبب عدم ضبط تطبيقك.
- الخطأ 400: admin_policy_enforced - يتم تلقّيها عند رفض اتصال OAuth لأن المشرف حظر تطبيقك.
المستخدمون الذين تم تصنيفهم في فئة عمرية أقل من 18 عامًا
يمكن للمشرفين إدارة أذونات الوصول إلى التطبيقات التابعة لجهات خارجية التي لم يتم ضبطها للمستخدمين الذين يقلّ سنهم عن 18 عامًا. إذا واجه المستخدم الخطأ "تم حظر إمكانية الوصول: يحتاج مشرف المؤسسة إلى مراجعة "[اسم التطبيق]"، عليه طلب الوصول من داخل رسالة الخطأ. يتيح ذلك للمشرف مراجعة التطبيق التابع لجهة خارجية. يستطيع المشرفون تحديد ما إذا كانوا يريدون السماح بتطبيقات الجهات الخارجية أو حظرها.