Verifica del brand

Tutte le app che accedono alle API di Google devono verificare di rappresentare con precisione la propria identità e il proprio intento, come specificato nelle Norme relative ai dati utente dei servizi API di Google. Per proteggere te e gli utenti condivisi di Google e della tua app, la tua schermata per il consenso e la tua applicazione potrebbero dover essere verificate da Google.

La tua app richiede la verifica se soddisfa tutti i seguenti criteri:

  • Nella console API di Google, la configurazione dell'app è impostata su un tipo di utente esterno e uno stato di pubblicazione pubblicato. Ciò significa che la tua app è in produzione ed è disponibile per qualsiasi utente con un Account Google.
  • Vuoi che la tua app visualizzi un logo o un nome visualizzato nella schermata per il consenso OAuth.

Se verifichi le informazioni sul brand della tua app, puoi aumentare la probabilità che un utente riconosca il tuo brand e decida di concedere l'accesso alla tua app. Le informazioni sul brand verificate possono anche ridurre le revoche in un secondo momento, quando un utente o un amministratore di Google Workspace esamina le app e i servizi di terze parti con accesso all'account. La procedura di verifica automatica del brand richiede in genere alcuni minuti dopo aver fatto clic sul Verifica il branding pulsante. In alcuni casi, in cui non è possibile determinare automaticamente un risultato, la tua app potrebbe essere sottoposta a una procedura di revisione manuale che in genere richiede 2-3 giorni lavorativi.

Se le informazioni sul branding della tua app rimangono non verificate, la fiducia degli utenti nella tua richiesta dei loro dati potrebbe diminuire, il che può comportare un minor numero di autorizzazioni utente e un maggior numero di revoche in un secondo momento.

La schermata per il consenso indica agli utenti chi sta richiedendo l'accesso ai loro dati e il tipo di dati a cui la tua app deve accedere per loro conto, come evidenziato nella casella 2 della figura 1.

Quando la tua app supera la procedura di verifica del brand e riceve l'approvazione, è più probabile che le norme relative all'identità dell'applicazione e ai dati utente vengano comprese chiaramente dall' account che concede l'autorizzazione. Questa chiara comprensione può aumentare la probabilità che un titolare dell'account autorizzi le tue richieste e mantenga l'accesso quando esamina le possibili revoche nella pagina del suo Account Google. I contenuti che configuri nella pagina Branding OAuth di Cloud Console vengono inseriti nei seguenti componenti:

  1. Il nome e il logo dell'app (come mostrato nella casella 1 della figura 1)
  2. L'indirizzo email di assistenza utenti, che viene visualizzato dopo aver selezionato il nome dell'app (casella 2 della figura 1)
  3. I link alle norme sulla privacy e ai Termini di servizio (casella 3 della figura 1)
Le etichette numerate illustrano le diverse funzionalità di una schermata per il consenso OAuth di un progetto
            con informazioni sul brand approvate.
Figura 1. Modello della schermata per il consenso OAuth.

Domini autorizzati

Nell'ambito della procedura di verifica del brand, Google richiede la verifica di tutti i domini che sono associati alla schermata per il consenso OAuth e alle credenziali di un'applicazione. Ti chiediamo di verificare il componente del dominio disponibile per la registrazione su un suffisso pubblico: il "dominio privato di primo livello." Ad esempio, una schermata per il consenso OAuth configurata con una home page dell'applicazione di https://sub.example.com/product chiede al titolare dell'account di verificare la proprietà del dominio example.com.

La sezione Domini autorizzati dell'editor della schermata per il consenso OAuth deve contenere i domini privati di primo livello utilizzati negli URI della sezione Dominio dell'app. Questi domini includono la home page dell'app, le norme sulla privacy e i Termini di servizio. La sezione Domini autorizzati deve includere anche gli URI di reindirizzamento e/o le origini JavaScript autorizzate nei tipi di client OAuth "Applicazione web".

Verifica la proprietà dei domini autorizzati utilizzando Google Search Console. Un Account Google con autorizzazioni di proprietario per un dominio deve essere associato al progetto della console API che utilizza il dominio autorizzato. Per ulteriori informazioni sulle verifiche dei domini in Google Search Console, consulta Verificare la proprietà del sito.

Passaggi per prepararsi alla verifica

Tutte le app che utilizzano le API di Google per richiedere l'accesso ai dati devono eseguire i seguenti passaggi per completare la verifica del brand:

  1. Verifica che la tua app non rientri in nessuno dei casi d'uso descritti nella sezione Eccezioni ai requisiti di verifica.
  2. Assicurati che la tua app sia conforme ai requisiti di branding delle API o del prodotto associati. Ad esempio, consulta le linee guida per il branding per gli ambiti di Accedi con Google.
  3. Verifica la proprietà dei dominiautorizzati del tuo progetto inGoogle Search Console. Utilizza un Account Google associato al tuo progetto della console API come proprietario o editor.
  4. Assicurati che tutte le informazioni sul branding nella schermata per il consenso OAuth, come il nome dell'app, l'indirizzo email di assistenza , l'URI della home page, l'URI delle norme sulla privacy e così via, rappresentino con precisione l'identità dell'app.

Requisiti della home page dell'applicazione

Assicurati che la tua home page soddisfi i seguenti requisiti:

  • La home page deve essere accessibile pubblicamente e non solo agli utenti che hanno eseguito l'accesso al tuo sito.
  • La pertinenza della home page rispetto all'app in corso di revisione deve essere chiara.
  • I link alla scheda dell'app sul Google Play Store o alla sua pagina Facebook non sono considerati valide home page dell'applicazione.

Requisiti del link alle norme sulla privacy dell'applicazione

Assicurati che le norme sulla privacy della tua app soddisfino i seguenti requisiti:

  • Le norme sulla privacy devono essere visibili agli utenti, ospitate nello stesso dominio della home page dell'applicazione e collegate alla schermata per il consenso OAuth della console API di Google. Tieni presente che la home page deve includere una descrizione delle funzionalità dell'app, nonché link alle norme sulla privacy e ai Termini di servizio facoltativi.
  • Le norme sulla privacy devono indicare la modalità di accesso, utilizzo, archiviazione o condivisione dei dati utente di Google da parte dell'applicazione. Devi limitare l'utilizzo dei dati utente di Google alle prassi indicate nelle norme sulla privacy pubblicate.

Come inviare la tua app per la verifica del brand

Un progetto della console Google Cloud organizza tutte le risorse della console Cloud. Un progetto è composto da un insieme di Account Google associati che hanno l'autorizzazione a eseguire operazioni sul progetto, un insieme di API abilitate e impostazioni di fatturazione, autenticazione e monitoraggio per queste API. Ad esempio, un progetto può contenere uno o più client OAuth, configurare le API per l'utilizzo da parte di questi client e configurare una schermata per il consenso OAuth visualizzata dagli utenti prima che autorizzino l'accesso alla tua app.

Se uno dei tuoi client OAuth non è pronto per la produzione, ti consigliamo di eliminarlo da il progetto che richiede la verifica. Puoi farlo nella pagina Client.

Per inviare la richiesta di verifica:

  1. Assicurati che la tua app sia conforme ai Termini di servizio delle API di Google e alle Norme relative ai dati utente dei servizi API di Google.
  2. Mantieni aggiornati i ruoli di proprietario ed editor degli account associati al tuo progetto, nonché il l'indirizzo email di assistenza utenti e i dati di contatto dello sviluppatore della schermata per il consenso OAuth nella console Cloud. In questo modo, i membri del team corretti vengono informati di eventuali nuovi requisiti.
  3. Vai alla pagina Branding OAuth della console Cloud.
  4. Fai clic sul pulsante Selettore progetto.
  5. Nella finestra di dialogo Seleziona da visualizzata, seleziona il tuo progetto. Se non riesci a trovare il tuo progetto, ma conosci l'ID progetto, puoi creare un URL nel browser nel seguente formato:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Sostituisci [PROJECT_ID] con l'ID progetto che vuoi utilizzare.

  6. Nella pagina Branding , fornisci le informazioni sul branding dell'app, inclusi il nome dell'app, il logo, i dati di contatto dello sviluppatore e i link pertinenti. Le modifiche apportate vengono salvate come Branding in bozza.
  7. Fai clic sul pulsante Verifica il branding per avviare la procedura di valutazione process. La revisione automatizzata in genere viene completata in pochi minuti.
  8. Al termine della valutazione, esamina lo stato. Se la procedura va a buon fine, lo stato diventa Pronto per la pubblicazione. Se la verifica automatica non va a buon fine, puoi visualizzare i problemi rilevati e risolverli o richiedere una revisione manuale.
  9. Fai clic sul pulsante Pubblica il branding per rendere effettivo il nuovo branding live.
  10. Se la tua app richiede anche la verifica per gli ambiti sensibili o con restrizioni vai al Centro di verifica OAuth per monitorare lo Stato di accesso ai dati e fornire eventuali informazioni aggiuntive richieste, ad esempio un video dimostrativo. Tieni presente che devi avere uno stato di branding pubblicato prima di poter richiedere la verifica per l'accesso ai dati.

  11. Utilizza il pulsante Aggiungi o rimuovi ambiti per dichiarare tutti gli ambiti richiesti dalla tua app. Nella sezione Ambiti non sensibili è precompilato un insieme iniziale di ambiti necessari per Accedi con Google. Gli ambiti aggiunti vengono classificati come non sensibili, sensitive, or restricted.
  12. Fornisci fino a tre link a tutta la documentazione pertinente per le funzionalità correlate della tua app.
  13. Fornisci eventuali informazioni aggiuntive richieste sulla tua app nei passaggi successivi.

Dopo aver pubblicato il branding o inviato una richiesta di accesso ai dati, il team Trust & Safety di Google potrebbe contattarti via email per richiedere ulteriori informazioni o indicarti i passaggi da completare. Controlla gli indirizzi email nella sezione Dati di contatto dello sviluppatore e l'indirizzo email di assistenza della schermata per il consenso OAuth per verificare se sono state richieste informazioni aggiuntive. Puoi anche visualizzare le pagine Branding o Centro di verifica del tuo progetto per confermare lo stato attuale della revisione del progetto, incluso se la procedura di revisione è in pausa in attesa di una tua risposta.

Eccezioni ai requisiti di verifica

Se la tua app verrà utilizzata in uno degli scenari descritti nelle sezioni seguenti, non devi inviarla per la revisione.

Utilizzo personale

Un caso d'uso è se sei l'unico utente della tua app o se la tua app viene utilizzata solo da pochi utenti, che conosci personalmente. Tu e il numero limitato di utenti potreste sentirvi a vostro agio nell'avanzare nella schermata dell'app non verificata e nel concedere ai vostri account personali l'accesso alla tua app.

Progetti utilizzati nei livelli di sviluppo, test o gestione temporanea

Per rispettare le norme relative a Google OAuth 2.0, ti consigliamo di avere progetti diversi per gli ambienti di test e di produzione. Ti consigliamo di inviare la tua app per la verifica solo se vuoi renderla disponibile a qualsiasi utente con un Account Google. Pertanto, se la tua app è in fase di sviluppo, test o gestione temporanea, la verifica non è obbligatoria.

Se la tua app è in fase di sviluppo o test, puoi lasciare lo stato di pubblicazione nell'impostazione predefinita Test in corso. Questa impostazione indica che la tua app è ancora in fase di sviluppo ed è solo disponibile per gli utenti che aggiungi all'elenco di utenti di test. Devi gestire l'elenco degli Account Google coinvolti nello sviluppo o nel test della tua app.

Messaggio di avviso che indica che Google non ha verificato un'app in fase di test.
Figura 2. Schermata di avviso per i tester

Solo dati di proprietà del servizio

Se la tua app utilizza un service account per accedere solo ai propri dati e non accede a nessun dato utente (collegato a un Account Google), non devi inviarla per la verifica.

Per capire cosa sono i service accounts, consulta Service accounts nella documentazione di Google Cloud. Per istruzioni su come utilizzare un service account, consulta Utilizzo di OAuth 2.0 per applicazioni da server a server.

Solo per uso interno

Ciò significa che l'app viene utilizzata solo dalle persone della tua organizzazione Google Workspace o Cloud Identity organizzazione. Il progetto deve essere di proprietà dell'organizzazione e la relativa schermata per il consenso OAuth deve essere configurata per un tipo di utenteinterno. In questo caso, la tua app potrebbe richiedere l'approvazione di un amministratore dell'organizzazione. Per ulteriori informazioni, consulta Considerazioni aggiuntive per Google Workspace.

Installazione a livello di dominio

Se prevedi che la tua app sia destinata solo agli utenti di un'organizzazione Google Workspace o Cloud Identity e utilizzi sempre l'installazione a livello di dominio, la tua app non richiederà la verifica del brand. Tuttavia, se la tua app utilizza ambiti sensibili o con restrizioni, è necessaria la verifica dell'app. Questo perché un'installazione a livello di dominio consente a un amministratore di dominio di concedere alle applicazioni interne e di terze parti l'accesso ai dati dei tuoi utenti. Solo gli account degli amministratori dell'organizzazione possono aggiungere l'app a una lista consentita per l'utilizzo all'interno dei loro domini.

Scopri come rendere la tua app un'installazione a livello di dominio nella domanda frequente La mia applicazione ha utenti con account aziendali di un altro dominio Google Workspace.