Invia per la verifica del brand

Tutte le app che accedono alle API di Google devono verificare che rappresentino in modo accurato la propria identità e le proprie intenzioni, come specificato dalle Norme sui dati utente dei servizi API di Google. Per proteggere te e gli utenti condivisi di Google e della tua app, la schermata di consenso e l'applicazione potrebbero richiedere la verifica di Google.

La tua app deve essere verificata se soddisfa tutti i seguenti criteri:

  • In Google API Console, la configurazione dell'app è impostata per un tipo di utente Esterno. Ciò significa che la tua app è disponibile per qualsiasi utente con un Account Google.
  • Vuoi che la tua applicazione mostri un logo o un nome visualizzato nella schermata di consenso OAuth.

Se includi informazioni verificate sul brand, puoi aumentare le probabilità che un utente riconosca il tuo brand e decida di concedere l'accesso alla tua app. Le informazioni verificate sul brand possono anche comportare meno revoche in un secondo momento, quando un utente o un amministratore di Google Workspace esamina app e servizi di terze parti con accesso all'account. In genere, la procedura di verifica del brand della schermata per il consenso OAuth richiede 2-3 giorni lavorativi dall'invio per la verifica.

Se non invii la tua richiesta di verifica del brand, la tua richiesta di dati relativi ai dati potrebbe essere diminuita da parte degli utenti, il che potrebbe comportare un numero inferiore di autorizzazioni degli utenti e un numero maggiore di revoche in un secondo momento.

La schermata per il consenso indica agli utenti chi sta richiedendo l'accesso ai loro dati e a quale tipo di dati deve accedere la tua app, come evidenziato nel riquadro 2 nella figura 1.

Quando la tua app passa attraverso la procedura di verifica del brand e riceve l'approvazione, è più probabile che i criteri relativi all'identità dell'applicazione e ai dati utente siano compresi chiaramente dall'account che concede l'autorizzazione. Questa chiara comprensione può aumentare le probabilità che il proprietario di un account autorizzi le tue richieste e mantenga l'accesso quando esamina le possibili revoche nella pagina del suo Account Google. Il contenuto che configuri su OAuth Consent Screen page nel API Console compila i seguenti componenti:

  1. Nome e logo dell'app (come mostrato nel riquadro 1 della figura 1)
  2. L'email dell'assistenza utenti, che viene visualizzata dopo la selezione del nome dell'app (riquadro 2 nella figura 1)
  3. Link all'informativa sulla privacy e ai termini di servizio (riquadro 3 di figura 1)
Le etichette numerate illustrano diverse funzionalità di una schermata per il consenso OAuth di un progetto
            con informazioni sul brand approvate.
Figura 1. Esempio della schermata per il consenso OAuth.

Domini autorizzati

Nell'ambito della procedura di verifica del brand, Google richiede la verifica di tutti i domini associati alla schermata di consenso OAuth di un'applicazione e alle credenziali. Ti chiediamo di verificare il componente di dominio disponibile per la registrazione con un suffisso pubblico: il "dominio privato di primo livello". Ad esempio, una schermata per il consenso OAuth configurata con la home page dell'applicazione di https://sub.example.com/product chiede al proprietario dell'account di verificare la proprietà del dominio example.com.

La sezione Domini autorizzati dell'editor della schermata per il consenso OAuth deve contenere i principali domini privati utilizzati negli URI della sezione Dominio app. Questi domini includono la home page dell'app, le norme sulla privacy e i Termini di servizio. La sezione Domini autorizzati deve includere anche gli URI di reindirizzamento e/o le origini JavaScript autorizzate nei tipi di client OAuth "Applicazione web".

Verifica la proprietà dei tuoi domini autorizzati utilizzando Google Search Console. Un Account Google con autorizzazioni di proprietario per un dominio deve essere associato al API Console progetto che utilizza il dominio autorizzato. Per ulteriori informazioni sulle verifiche dei domini in Google Search Console, consulta l'articolo Verificare la proprietà del sito.

Passaggi per prepararsi alla verifica

Tutte le app che utilizzano le API di Google per richiedere l'accesso ai dati devono eseguire i seguenti passaggi per completare la verifica del brand:

  1. Verifica che la tua app non rientri in nessuno dei casi d'uso nella sezione Eccezioni ai requisiti di verifica.
  2. Assicurati che la tua app rispetti i requisiti di branding delle API o dei prodotti associati. Ad esempio, consulta le linee guida per il branding per gli ambiti Accedi con Google.
  3. Verifica la proprietà dei domini autorizzati del tuo progetto in Google Search Console. Utilizza un Account Google associato al tuo API Console progetto come proprietario o editor.
  4. Assicurati che tutte le informazioni di branding nella schermata per il consenso OAuth, ad esempio nome dell'app, email di assistenza, URI della home page, URI delle norme sulla privacy e così via, rispecchino accuratamente l'identità dell'app.

Requisiti della home page dell'applicazione

Assicurati che la tua home page soddisfi i seguenti requisiti:

  • La tua home page deve essere pubblicamente accessibile e non solo accessibile agli utenti che hanno eseguito l'accesso al tuo sito.
  • La pertinenza della tua home page rispetto all'app in corso di revisione deve essere chiara.
  • I link alla scheda dell'app sul Google Play Store o sulla relativa pagina Facebook non sono considerati pagine home dell'app valide.

Requisiti per i link alle norme sulla privacy dell'applicazione

Assicurati che le norme sulla privacy della tua app soddisfino i seguenti requisiti:

  • Le norme sulla privacy devono essere visibili agli utenti, ospitate nello stesso dominio della home page dell'applicazione e accessibili tramite link nella schermata per il consenso OAuth di Google API Console. Tieni presente che la home page deve includere una descrizione della funzionalità dell'app, nonché link alle norme sulla privacy e ai termini di servizio facoltativi.
  • Le norme sulla privacy devono indicare il modo in cui l'applicazione accede, utilizza, archivia o condivide i dati utente di Google. Devi limitare l'utilizzo dei dati utente di Google alle prassi indicate nelle norme sulla privacy pubblicate.

Come inviare la tua app per la verifica

Un Google API Console progetto organizza tutte le API Console risorse. Un progetto è costituito da un insieme di Account Google associati con l'autorizzazione per eseguire le operazioni del progetto, un insieme di API abilitate e le impostazioni di fatturazione, autenticazione e monitoraggio per queste API. Ad esempio, un progetto può contenere uno o più client OAuth, configurare le API per l'utilizzo da parte di questi client e configurare una schermata di consenso OAuth da mostrare agli utenti prima che autorizzino l'accesso alla tua app.

Se alcuni dei tuoi client OAuth non sono pronti per la produzione, ti suggeriamo di eliminarli dal progetto che richiede la verifica. Puoi farlo nell' Google API Console.

Per richiedere la verifica, segui questi passaggi:

  1. Assicurati che la tua app sia conforme ai Termini di servizio delle API di Google e alle Norme relative ai dati utente dei servizi API di Google.
  2. Mantieni aggiornati i ruoli di proprietario ed editor degli account associati al progetto, nonché l'email dell'assistenza utenti e le informazioni di contatto dello sviluppatore nella schermata per il consenso OAuth in API Console. Ciò garantisce che i membri corretti del tuo team vengano informati di eventuali nuovi requisiti.
  3. Vai a API Console OAuth Consent Screen page.
  4. Fai clic sul pulsante Selettore progetti.
  5. Nella finestra di dialogo Seleziona da visualizzata, seleziona il tuo progetto. Se non riesci a trovare il progetto ma conosci l'ID progetto, puoi creare un URL nel browser nel seguente formato:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Sostituisci [PROJECT_ID] con l'ID progetto che vuoi utilizzare.

  6. Seleziona il pulsante Modifica app.
  7. Inserisci le informazioni necessarie nella pagina della schermata per il consenso OAuth, quindi seleziona il pulsante Salva e continua.
  8. Utilizza il pulsante Aggiungi o rimuovi ambiti per dichiarare tutti gli ambiti richiesti dalla tua app. Un set iniziale di ambiti necessari per Accedi con Google è precompilato nella sezione Ambiti non sensibili. Gli ambiti aggiunti sono classificati come non sensibili ( sensitive, or restricted).
  9. Fornisci fino a tre link a qualsiasi documentazione pertinente per le funzionalità correlate nella tua app.
  10. Fornisci eventuali informazioni aggiuntive richieste relative alla tua app nei passaggi successivi.

  11. Se la configurazione dell'app fornita richiede la verifica, hai la possibilità di inviare l'app per la verifica. Compila i campi obbligatori, quindi fai clic su Invia per avviare la procedura di verifica.

Dopo aver inviato l'app, il team Trust & Safety di Google ti contatterà via email per fornire eventuali informazioni aggiuntive di cui necessita o i passaggi da completare. Controlla gli indirizzi email nella sezione Dati di contatto dello sviluppatore e l'email di assistenza della schermata per il consenso OAuth per verificare se sono presenti richieste di informazioni aggiuntive. Puoi anche visualizzare la pagina della schermata per il consenso OAuth del tuo progetto per confermare lo stato di revisione attuale del progetto, ad esempio se il processo di revisione è in pausa mentre attendiamo la tua risposta.

Eccezioni ai requisiti di verifica

Se la tua app verrà utilizzata in uno degli scenari descritti nelle sezioni seguenti, non è necessario inviarla per la revisione.

Utilizzo personale

Un caso d'uso è se sei l'unico utente della tua app o se l'app viene utilizzata solo da pochi utenti, tutti noti personalmente. Tu e il tuo numero limitato di utenti potreste voler andare avanti nella schermata dell'app non verificata e concedere ai tuoi account personali l'accesso alla tua app.

Progetti utilizzati nei livelli di sviluppo, test o gestione temporanea

Per garantire la conformità ai criteri Google OAuth 2.0, ti consigliamo di creare progetti diversi per gli ambienti di test e di produzione. Ti consigliamo di inviare la tua app per la verifica solo se vuoi renderla disponibile a qualsiasi utente con un Account Google. Pertanto, se l'app è in fase di sviluppo, test o gestione temporanea, la verifica non è obbligatoria.

Se la tua app è in fase di sviluppo o test, puoi lasciare lo Stato di pubblicazione sull'impostazione predefinita di Test. Questa impostazione indica che l'app è ancora in fase di sviluppo ed è disponibile solo per gli utenti che aggiungi all'elenco di utenti di test. Devi gestire l'elenco di Account Google coinvolti nello sviluppo o nel test della tua app.

Messaggio di avviso che indica che Google non ha verificato un'app in fase di test.
Figura 2. Schermata di avviso del tester

Solo dati di proprietà del servizio

Se la tua app utilizza un account di servizio per accedere solo ai suoi dati e non accede a nessun dato utente (collegato a un Account Google), non è necessario inviare la richiesta per la verifica.

Per capire cosa sono gli account di servizio, consulta Account di servizio nella documentazione di Google Cloud. Per istruzioni su come utilizzare un account di servizio, consulta l'articolo sull'utilizzo di OAuth 2.0 per applicazioni server-server.

Solo per uso interno

Ciò significa che l'app è utilizzata solo dagli utenti della tua organizzazione Google Workspace o Cloud Identity. Il progetto deve essere di proprietà dell'organizzazione e la relativa schermata per il consenso OAuth deve essere configurata per un tipo di utente interno. In questo caso, l'app potrebbe richiedere l'approvazione di un amministratore dell'organizzazione. Per maggiori informazioni, consulta Considerazioni aggiuntive per Google Workspace.

Installazione a livello di dominio

Se prevedi che la tua app abbia come target solo gli utenti di un'organizzazione Google Workspace o Cloud Identity e utilizzi sempre l'installazione a livello di dominio, la tua app non richiederà la verifica dell'app. Questo perché un'installazione a livello di dominio consente a un amministratore di dominio di concedere alle applicazioni interne e di terze parti l'accesso ai dati degli utenti. Gli amministratori dell'organizzazione sono gli unici account che possono aggiungere l'app a una lista consentita per utilizzarla all'interno dei propri domini.

Scopri come rendere la tua app un'installazione a livello di dominio nella domanda frequente La mia applicazione ha utenti con account aziendali di un altro dominio Google Workspace.