Verifikasi merek

Semua aplikasi yang mengakses Google API harus memverifikasi bahwa aplikasi tersebut secara akurat menampilkan identitas dan tujuannya seperti yang ditentukan oleh Kebijakan Data Pengguna Layanan API Google. Untuk melindungi Anda dan pengguna bersama Google dan aplikasi Anda, layar izin dan aplikasi Anda mungkin memerlukan verifikasi dari Google.

Aplikasi Anda memerlukan verifikasi jika memenuhi semua kriteria berikut:

  • Di Konsol API Google, konfigurasi aplikasi Anda ditetapkan untuk jenis pengguna Eksternal dan status publikasi Dipublikasikan. Artinya, aplikasi Anda dalam tahap produksi dan tersedia untuk semua pengguna yang memiliki Akun Google.
  • Anda ingin aplikasi Anda menampilkan logo atau nama tampilan di layar izin OAuth.

Jika Anda memverifikasi informasi merek aplikasi Anda, Anda dapat meningkatkan kemungkinan pengguna mengenali merek Anda dan memutuskan untuk memberikan akses ke aplikasi Anda. Informasi merek yang diverifikasi juga dapat menyebabkan lebih sedikit pencabutan izin nantinya saat pengguna atau administrator Google Workspace meninjau aplikasi dan layanan pihak ketiga yang memiliki akses ke akun. Proses verifikasi merek otomatis biasanya memerlukan waktu beberapa menit setelah Anda mengklik tombol Verifikasi Branding. Dalam beberapa kasus, jika hasil tidak dapat ditentukan secara otomatis, aplikasi Anda mungkin menjalani proses peninjauan manual yang biasanya memerlukan waktu 2-3 hari kerja.

Jika informasi branding aplikasi Anda tetap belum diverifikasi, hal ini dapat mengakibatkan penurunan kepercayaan pengguna terhadap permintaan data mereka, yang dapat menyebabkan lebih sedikit otorisasi pengguna dan lebih banyak pencabutan izin nantinya.

Layar izin memberi tahu pengguna siapa yang meminta akses ke data mereka dan jenis data apa yang perlu diakses aplikasi Anda atas nama mereka, seperti yang ditandai dalam Kotak 2 gambar 1.

Saat aplikasi Anda menjalani proses verifikasi merek dan menerima persetujuan, kebijakan identitas dan data pengguna aplikasi Anda kemungkinan besar akan dipahami dengan jelas oleh akun yang memberikan izin. Pemahaman yang jelas ini dapat meningkatkan kemungkinan pemegang akun mengotorisasi permintaan Anda dan mempertahankan akses saat mereka meninjau kemungkinan pencabutan izin di halaman Akun Google mereka. Konten yang Anda konfigurasi di halaman Branding OAuth di Konsol Cloud akan mengisi komponen berikut:

  1. Nama dan logo aplikasi Anda (seperti yang ditunjukkan di Kotak 1 gambar 1)
  2. Email dukungan pengguna Anda, yang muncul setelah nama aplikasi Anda dipilih (Kotak 2 gambar 1)
  3. Link ke kebijakan privasi dan persyaratan layanan Anda (Kotak 3 gambar 1)
Label bernomor mengilustrasikan berbagai fitur layar izin OAuth dari project
            dengan informasi merek yang disetujui.
Gambar 1. Mock-up layar izin OAuth.

Domain yang diotorisasi

Sebagai bagian dari proses verifikasi merek, Google mewajibkan verifikasi semua domain yang terkait dengan layar izin dan kredensial OAuth aplikasi. Kami meminta Anda untuk memverifikasi komponen domain yang tersedia untuk pendaftaran di suffix publik: "domain pribadi teratas". Misalnya, layar izin OAuth yang dikonfigurasi dengan halaman beranda aplikasi https://sub.example.com/product meminta pemegang akun untuk memverifikasi kepemilikan domain example.com.

Bagian Domain yang diotorisasi dari editor layar izin OAuth harus berisi domain pribadi teratas yang digunakan dalam URI bagian Domain aplikasi. Domain ini mencakup halaman beranda aplikasi, kebijakan privasi, dan persyaratan layanan. Bagian Domain yang diotorisasi juga harus menyertakan URI pengalihan dan/atau asal JavaScript yang diotorisasi dalam jenis klien OAuth "Aplikasi web" Anda.

Verifikasi kepemilikan domain yang diotorisasi menggunakan Google Search Console. Akun Google dengan izin pemilik untuk domain harus dikaitkan dengan project Konsol API yang menggunakan domain yang diotorisasi tersebut. Untuk mengetahui informasi selengkapnya tentang verifikasi domain di Google Search Console, lihat Memverifikasi kepemilikan situs Anda.

Langkah-langkah untuk bersiap melakukan verifikasi

Semua aplikasi yang menggunakan Google API untuk meminta akses ke data harus melakukan langkah-langkah berikut untuk menyelesaikan verifikasi merek:

  1. Pastikan aplikasi Anda tidak termasuk dalam salah satu kasus penggunaan di bagian Pengecualian terhadap persyaratan verifikasi.
  2. Pastikan aplikasi Anda mematuhi persyaratan branding API atau produk terkait. Misalnya, lihat pedoman branding untuk cakupan Login dengan Google.
  3. Verifikasi kepemilikan domain yang diotorisasi project Anda dalam Google Search Console. Gunakan Akun Google yang terkait dengan project Konsol API Anda sebagai Pemilik atau Editor.
  4. Pastikan semua informasi branding di layar izin OAuth, seperti nama aplikasi, email dukungan, URI halaman beranda, URI kebijakan privasi, dll., secara akurat menampilkan identitas aplikasi.

Persyaratan halaman beranda aplikasi

Pastikan halaman beranda Anda memenuhi persyaratan berikut:

  • Halaman beranda Anda harus dapat diakses secara publik, dan tidak hanya dapat diakses oleh pengguna yang login ke situs Anda.
  • Relevansi halaman beranda Anda dengan aplikasi yang sedang dalam peninjauan harus jelas.
  • Link ke listingan aplikasi Anda di Google Play Store atau halaman Facebook-nya tidak dianggap sebagai halaman beranda aplikasi yang valid.

Persyaratan link kebijakan privasi aplikasi

Pastikan kebijakan privasi aplikasi Anda memenuhi persyaratan berikut:

  • Kebijakan privasi harus terlihat oleh pengguna, dihosting dalam domain yang sama dengan halaman beranda aplikasi Anda, dan ditautkan di layar izin OAuth Konsol API Google. Perhatikan bahwa halaman beranda harus menyertakan a deskripsi fungsi aplikasi, serta link ke kebijakan privasi dan persyaratan layanan opsional.
  • Kebijakan privasi harus mengungkapkan cara aplikasi Anda mengakses, menggunakan, menyimpan, atau membagikan data pengguna Google. Anda harus membatasi penggunaan data pengguna Google ke praktik yang diungkapkan oleh kebijakan privasi yang dipublikasikan.

Cara mengirimkan aplikasi Anda untuk verifikasi merek

Project Konsol Google Cloud mengatur semua resource Konsol Cloud Anda. Project terdiri dari sekumpulan Akun Google terkait yang memiliki izin untuk melakukan operasi project, sekumpulan API yang diaktifkan, serta setelan penagihan, autentikasi, dan pemantauan untuk API tersebut. Misalnya, project dapat berisi satu atau beberapa klien OAuth, mengonfigurasi API untuk digunakan oleh klien tersebut, dan mengonfigurasi layar izin OAuth yang ditampilkan kepada pengguna sebelum mereka mengotorisasi akses ke aplikasi Anda.

Jika salah satu klien OAuth Anda belum siap untuk produksi, sebaiknya hapus klien tersebut dari project yang meminta verifikasi. Anda dapat melakukannya di halaman Klien.

Untuk mengirimkan aplikasi untuk verifikasi, ikuti langkah-langkah berikut:

  1. Pastikan aplikasi Anda mematuhi Persyaratan Layanan Google API, dan Kebijakan Data Pengguna Layanan API Google.
  2. Pastikan peran pemilik dan editor akun terkait project Anda selalu diperbarui, serta email dukungan pengguna dan informasi kontak developer layar izin OAuth Anda, di Konsol Cloud Anda. Hal ini memastikan anggota tim Anda yang tepat akan diberi tahu tentang persyaratan baru apa pun.
  3. Buka halaman Branding OAuth Konsol Cloud.
  4. Klik tombol Pemilih project.
  5. Di dialog Pilih dari yang muncul, pilih project Anda. Jika Anda tidak dapat menemukan project Anda, tetapi Anda mengetahui project ID Anda, Anda dapat membuat URL di browser Anda dalam format berikut:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Ganti [PROJECT_ID] dengan project ID yang ingin Anda gunakan.

  6. Di halaman Branding, berikan informasi branding aplikasi Anda, termasuk nama aplikasi, logo, informasi kontak developer, dan link yang relevan. Setiap perubahan yang Anda buat akan disimpan sebagai Branding Draf.
  7. Klik tombol Verifikasi Branding untuk memulai proses evaluasi proses. Peninjauan otomatis biasanya selesai dalam beberapa menit.
  8. Setelah evaluasi selesai, tinjau statusnya. Jika berhasil, status akan berubah menjadi Siap dipublikasikan. Jika verifikasi otomatis gagal, Anda dapat melihat masalah yang terdeteksi dan memperbaikinya atau meminta peninjauan manual.
  9. Klik tombol Publikasikan branding untuk mengaktifkan branding baru live.
  10. Jika aplikasi Anda juga memerlukan verifikasi untuk cakupan sensitif atau yang dibatasi, buka Pusat Verifikasi OAuth Verification Center untuk melacak Status akses data Anda dan memberikan informasi tambahan yang diminta, seperti video demonstrasi. Perhatikan bahwa Anda harus memiliki status branding yang dipublikasikan sebelum dapat meminta verifikasi untuk akses data.

  11. Gunakan tombol Tambahkan atau hapus cakupan untuk mendeklarasikan semua cakupan yang diminta oleh aplikasi Anda. Kumpulan cakupan awal yang diperlukan untuk Login dengan Google telah diisi otomatis di bagian Cakupan non-sensitif. Cakupan yang ditambahkan diklasifikasikan sebagai non-sensitif, sensitive, or restricted.
  12. Berikan hingga tiga link ke dokumentasi yang relevan untuk fitur terkait di aplikasi Anda.
  13. Berikan informasi tambahan yang diminta tentang aplikasi Anda pada langkah-langkah berikutnya.

Setelah Anda memublikasikan branding atau mengirimkan permintaan akses data, tim Kepercayaan & Keamanan Google dapat menghubungi Anda melalui email untuk meminta informasi tambahan yang mereka perlukan atau langkah-langkah yang harus Anda selesaikan. Periksa alamat email Anda di bagian Informasi kontak developer dan email dukungan layar izin OAuth Anda untuk mengetahui permintaan informasi tambahan. Anda juga dapat melihat halaman Branding atau Pusat Verifikasi project Anda untuk mengonfirmasi status peninjauan project Anda saat ini, termasuk apakah proses peninjauan dijeda saat kami menunggu respons Anda.

Pengecualian terhadap persyaratan verifikasi

Jika aplikasi Anda akan digunakan dalam salah satu skenario yang dijelaskan di bagian berikut, Anda tidak perlu mengirimkannya untuk ditinjau.

Penggunaan pribadi

Salah satu kasus penggunaan adalah jika Anda adalah satu-satunya pengguna aplikasi Anda atau jika aplikasi Anda hanya digunakan oleh beberapa pengguna, yang semuanya Anda kenal secara pribadi. Anda dan pengguna Anda yang terbatas mungkin merasa nyaman untuk melanjutkan ke aplikasi yang belum diverifikasi layar dan memberikan akses akun pribadi Anda ke aplikasi Anda.

Project yang digunakan di Tingkat Pengembangan, Pengujian, atau Staging tiers

Untuk mematuhi Kebijakan Google OAuth 2.0, sebaiknya Anda memiliki project yang berbeda untuk lingkungan pengujian dan produksi. Sebaiknya kirimkan aplikasi Anda untuk verifikasi hanya jika Anda ingin menyediakan aplikasi Anda untuk semua pengguna yang memiliki Akun Google. Oleh karena itu, jika aplikasi Anda berada dalam fase pengembangan, pengujian, atau staging, verifikasi tidak diperlukan.

Jika aplikasi Anda berada dalam fase pengembangan atau pengujian, Anda dapat membiarkan Status Publikasi dalam setelan default Pengujian. Setelan ini berarti aplikasi Anda masih dalam tahap pengembangan dan hanya tersedia untuk pengguna yang Anda tambahkan ke daftar pengguna pengujian. Anda harus mengelola daftar Akun Google yang terlibat dalam pengembangan atau pengujian aplikasi Anda.

Pesan peringatan bahwa Google belum memverifikasi aplikasi yang sedang diuji.
Gambar 2. Layar peringatan penguji

Hanya data milik layanan

Jika aplikasi Anda menggunakan akun layanan untuk mengakses datanya sendiri saja, dan tidak mengakses data pengguna (yang ditautkan ke Akun Google), Anda tidak perlu mengirimkannya untuk verifikasi.

Untuk memahami apa yang dimaksud dengan akun layanan, lihat Akun layanan dalam dokumentasi Google Cloud. Untuk mengetahui petunjuk tentang cara menggunakan akun layanan, lihat Menggunakan OAuth 2.0 untuk aplikasi server ke server.

Khusus penggunaan internal

Artinya, aplikasi hanya digunakan oleh orang-orang di organisasi Google Workspace atau Cloud Identity Anda. Project harus dimiliki oleh organisasi, dan layar izin OAuth-nya harus dikonfigurasi untuk jenis pengguna Internal. Dalam hal ini, aplikasi Anda mungkin memerlukan persetujuan dari administrator organisasi. Untuk mengetahui informasi selengkapnya, lihat Pertimbangan tambahan untuk Google Workspace.

Penginstalan tingkat domain

Jika Anda berencana agar aplikasi Anda hanya menargetkan pengguna organisasi Google Workspace atau Cloud Identity dan selalu menggunakan penginstalan tingkat domain, aplikasi Anda tidak akan memerlukan verifikasi merek. Namun, jika aplikasi Anda menggunakan cakupan yang dibatasi atau sensitif, verifikasi aplikasi diperlukan. Hal ini karena penginstalan tingkat domain memungkinkan administrator domain memberikan akses ke data pengguna Anda kepada aplikasi internal dan pihak ketiga. Administrator organisasi adalah satu-satunya akun yang dapat menambahkan aplikasi ke daftar yang diizinkan untuk digunakan dalam domain mereka.

Pelajari cara menjadikan aplikasi Anda sebagai Penginstalan Tingkat Domain di FAQ Aplikasi saya memiliki pengguna dengan akun perusahaan dari Domain Google Workspace lain.