Enviar para verificação de marca

Todos os apps que acessam APIs do Google precisam verificar se representam com precisão a identidade e a intenção deles, conforme especificado pela Política de dados do usuário dos serviços de API do Google. Para proteger você e os usuários compartilhados do Google e do seu app, a tela de consentimento e o aplicativo precisam ser verificados pelo Google.

Seu app precisa de verificação se atender a todos os critérios a seguir:

  • No Google API Console, a configuração do app está definida para um tipo de usuário External. Isso significa que o app está disponível para qualquer usuário que tenha uma Conta do Google.
  • Você quer que seu aplicativo mostre um logotipo ou nome de exibição na tela de permissão OAuth.

Se você incluir informações da marca verificadas, poderá aumentar a probabilidade de um usuário reconhecer sua marca e decidir conceder acesso ao app. As informações de marca verificadas também podem resultar em menos revogações, quando um usuário ou administrador do Google Workspace analisar apps e serviços de terceiros com acesso à conta. O processo de verificação da marca da tela de consentimento do OAuth geralmente leva de dois a três dias úteis após o envio para verificação.

Se você não enviar seu aplicativo para verificação de marca, isso pode reduzir a confiança do usuário na sua solicitação quanto aos dados, o que pode levar a menos autorizações de usuário e mais revogações posteriormente.

A tela de consentimento informa aos usuários quem está solicitando acesso aos próprios dados e que tipo de dados seu app precisa acessar em nome deles, conforme destacado na caixa 2 da figura 1.

Quando o app passa pelo processo de verificação de marca e recebe aprovação, as políticas de identidade e dados do usuário do aplicativo têm mais chances de serem claramente entendidas pela conta que está concedendo a permissão. Esse entendimento claro pode aumentar a probabilidade de um proprietário da conta autorizar suas solicitações e manter o acesso quando analisar possíveis revogações na própria página da Conta do Google. O conteúdo que você configura no OAuth Consent Screen page no API Console preenche os seguintes componentes:

  1. O nome e o logotipo do seu app (como mostrado na caixa 1 da figura 1)
  2. Seu e-mail de suporte ao usuário, que aparece depois que o nome do app é selecionado (caixa 2 da figura 1)
  3. Links para sua Política de Privacidade e seus Termos de Serviço (Caixa 3 da figura 1)
Rótulos numerados ilustram diferentes recursos de uma tela de permissão OAuth de um projeto com informações de marca aprovadas.
Figura 1. Simulação da tela de permissão OAuth.

Domínios autorizados

Como parte do processo de verificação da marca, o Google exige a verificação de todos os domínios associados à tela de permissão e às credenciais OAuth de um aplicativo. Solicitamos que você verifique o componente de domínio disponível para registro em um sufixo público: o "domínio particular principal". Por exemplo, uma tela de permissão OAuth configurada com uma página inicial de aplicativo de https://sub.example.com/product solicita que o proprietário da conta confirme a propriedade do domínio example.com.

A seção Domínios autorizados do editor de tela de permissão OAuth precisa conter os principais domínios particulares usados nos URIs da seção Domínio do aplicativo. Esses domínios incluem a página inicial do app, a Política de Privacidade e os Termos de Serviço. A seção Domínios autorizados também precisa incluir os URIs de redirecionamento e/ou origens do JavaScript autorizadas nos tipos de cliente OAuth do "aplicativo da Web".

Verifique a propriedade dos seus domínios autorizados usando o Google Search Console. Uma Conta do Google com permissões para um domínio de proprietário precisa estar associada ao projeto API Console que usa esse domínio autorizado. Para mais informações sobre as verificações de domínio no Google Search Console, consulte Verificar a propriedade do site.

Como se preparar para a verificação

Todos os apps que usam APIs do Google para solicitar acesso aos dados precisam seguir estas etapas para concluir a verificação de marca:

  1. Confirme se o app não se enquadra em nenhum dos casos de uso da seção Exceções aos requisitos de verificação.
  2. Verifique se o app obedece aos requisitos de marca das APIs ou dos produtos associados. Por exemplo, consulte as diretrizes da promoção de marca para os escopos do Login do Google.
  3. Verifique a propriedade dos domínios autorizados do seu projeto no Google Search Console. Use uma Conta do Google associada ao seu API Console projeto como Proprietário ou Editor.
  4. Verifique se todas as informações de marca na tela de permissão OAuth, como nome do aplicativo, e-mail de suporte, URI da página inicial, URI da Política de Privacidade etc., representam com precisão a identidade do app.

Requisitos da página inicial do aplicativo

Verifique se a página inicial atende aos seguintes requisitos:

  • Sua página inicial precisa ser acessível publicamente, e não apenas acessível aos usuários conectados ao seu site.
  • A relevância da sua página inicial para o app que está em revisão precisa ser clara.
  • Links para os detalhes do app na Google Play Store ou na página do Facebook dele não são considerados páginas iniciais válidas.

Requisitos do link da Política de Privacidade do aplicativo

Verifique se a Política de Privacidade do app atende aos seguintes requisitos:

  • A Política de Privacidade precisa estar visível para os usuários, hospedada no mesmo domínio da página inicial do aplicativo e vinculada à tela de permissão OAuth do Google API Console. A página inicial precisa incluir uma descrição da funcionalidade do app, além de links para a Política de Privacidade e os Termos de Serviço opcionais.
  • A Política de Privacidade precisa divulgar a maneira como seu app acessa, usa, armazena ou compartilha os dados do usuário do Google. O uso de dados do usuário do Google precisa ser limitado às práticas divulgadas na sua Política de Privacidade.

Como enviar seu app para verificação

Um Google API Console projeto organiza todos os seus API Console recursos. Um projeto consiste em um conjunto de Contas do Google associadas que têm permissão para executar operações do projeto, um conjunto de APIs ativadas e configurações de faturamento, autenticação e monitoramento dessas APIs. Por exemplo, um projeto pode conter um ou mais clientes OAuth, configurar APIs para uso por esses clientes e configurar uma tela de permissão OAuth que é mostrada aos usuários antes de autorizarem o acesso ao app.

Se algum dos seus clientes OAuth não estiver pronto para produção, sugerimos que você o exclua do projeto que está solicitando a verificação. Faça isso no Google API Console.

Siga estas etapas para enviar para verificação:

  1. Verifique se o app obedece aos Termos de Serviço das APIs do Google e à Política de dados do usuário dos serviços de API do Google.
  2. Mantenha atualizados os papéis de proprietário e editor das contas associadas ao projeto, o e-mail de suporte ao usuário e os dados de contato do desenvolvedor da tela de consentimento do OAuth no API Console. Isso garante que os membros corretos da sua equipe sejam notificados sobre novos requisitos.
  3. Acesse o API Console OAuth Consent Screen page.
  4. Clique no botão Seletor de projetos.

  5. Na caixa de diálogo Selecionar de exibida, escolha seu projeto. Se você não conseguir encontrar o projeto, mas souber o ID dele, crie um URL no navegador no seguinte formato:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Substitua [PROJECT_ID] pelo ID do projeto que você quer usar.

  6. Selecione o botão Edit App.
  7. Insira as informações necessárias na página da tela de permissão OAuth e selecione o botão Salvar e continuar.
  8. Use o botão Adicionar ou remover escopos para declarar todos os escopos solicitados pelo app. Um conjunto inicial de escopos necessários para o Login do Google é preenchido na seção Escopos não confidenciais. Os escopos adicionados são classificados como não confidenciais, sensitive, or restricted.
  9. Forneça até três links para qualquer documentação relevante sobre recursos relacionados no app.

  10. Nas próximas etapas, forneça todas as informações adicionais sobre seu app.

  11. Se a configuração de app fornecida exigir verificação, você poderá enviá-lo para verificação. Preencha os campos obrigatórios e clique em Enviar para iniciar o processo de verificação.

Depois que você envia seu app, a Equipe de confiabilidade e segurança do Google faz o acompanhamento por e-mail com todas as informações adicionais necessárias ou as etapas que você precisa concluir. Verifique seus endereços de e-mail na seção Dados de contato do desenvolvedor e no e-mail de suporte da tela de permissão OAuth para pedidos de informações adicionais. Também é possível acessar a página da tela de permissão OAuth do seu projeto para confirmar o status de revisão atual dele, inclusive se o processo de revisão está pausado enquanto aguardamos sua resposta.

Exceções aos requisitos de verificação

Se o app for usado em algum dos cenários descritos nas seções a seguir, não é necessário enviá-lo para revisão.

Uso pessoal

Um caso de uso é se você for o único usuário do app ou se ele for usado somente por alguns usuários, que são conhecidos pessoalmente por você. Você e seu número limitado de usuários podem avançar pela tela do app não verificado e conceder às suas contas pessoais acesso ao app.

Projetos usados em níveis de desenvolvimento, teste ou preparo

Para obedecer às políticas do Google OAuth 2.0, recomendamos que você tenha projetos diferentes para ambientes de teste e produção. Recomendamos que você envie o app para verificação somente se quiser que ele seja disponibilizado a qualquer usuário que tenha uma Conta do Google. Portanto, se o app estiver nas fases de desenvolvimento, teste ou preparo, a verificação não será necessária.

Se o app estiver nas fases de desenvolvimento ou teste, deixe o Status de publicação na configuração padrão de Teste. Essa configuração significa que o app ainda está em desenvolvimento e só está disponível para usuários adicionados à lista de usuários de teste. Você precisa gerenciar a lista de Contas do Google envolvidas no desenvolvimento ou teste do app.

Mensagem de aviso informando que o Google não verificou um app que está em teste.
Figura 2. Tela de aviso do testador

Somente dados do serviço

Se o app usa uma conta de serviço para acessar apenas os próprios dados e não acessa dados do usuário (vinculados a uma Conta do Google), não é necessário enviá-la para verificação.

Para entender o que são contas de serviço, consulte Contas de serviço na documentação do Google Cloud. Para instruções sobre como usar uma conta de serviço, acesse Como usar o OAuth 2.0 para aplicativos de servidor para servidor.

Somente para uso interno

Isso significa que o app é usado apenas pelas pessoas na sua organização do Google Workspace ou do Cloud Identity. O projeto precisa pertencer à organização, e a tela de consentimento do OAuth precisa ser configurada para um tipo de usuário interno. Nesse caso, talvez o app precise da aprovação de um administrador da organização. Para mais informações, consulte Outras considerações para o Google Workspace.

Instalação em todo o domínio

Se você planeja que o app segmente apenas usuários de uma organização do Google Workspace ou do Cloud Identity e sempre use a instalação em todo o domínio, seu app não vai exigir a verificação de apps. Isso ocorre porque uma instalação em todo o domínio permite que um administrador de domínio conceda a aplicativos internos e de terceiros acesso aos dados dos seus usuários. Os administradores da organização são as únicas contas que podem adicionar o app a uma lista de permissões para uso nos domínios deles.

Saiba como tornar seu app uma instalação em todo o domínio nas perguntas frequentes Meu aplicativo tem usuários com contas empresariais de outro domínio do Google Workspace.