Enviar para verificação de marca

Todos os apps que acessam as APIs do Google precisam verificar se representam com precisão a identidade e a intenção, conforme especificado na Política de dados do usuário dos serviços de API do Google. Para proteger você e os usuários compartilhados do Google e do seu app, a tela de consentimento e o aplicativo precisam ser verificados pelo Google.

O app precisa ser verificado se atender a todos os seguintes critérios:

  • Em Google API Console, a configuração do app está definida para um tipo de usuário Externo. Isso significa que o app está disponível para qualquer usuário com uma Conta do Google.
  • Você quer que o aplicativo mostre um logotipo ou nome de exibição na tela de consentimento do OAuth.

Se você incluir informações de marca verificada, poderá aumentar a probabilidade de um usuário reconhecer sua marca e decidir conceder acesso ao app. As informações de marca verificada também podem levar a menos reveses mais tarde, quando um usuário ou administrador do Google Workspace analisar apps e serviços de terceiros com acesso à conta. O processo de verificação de marca da tela de consentimento do OAuth geralmente leva dois a três dias úteis após o envio para verificação.

Se você não enviar sua inscrição para a verificação de marca, isso poderá resultar em uma diminuição da confiança do usuário na sua solicitação de dados, o que pode levar a menos autorizações do usuário e mais revogações mais tarde.

A tela de consentimento informa aos usuários quem está solicitando acesso aos dados deles e que tipo de dados o app precisa acessar em nome deles, conforme destacado na caixa 2 da Figura 1.

Quando o app passa pelo processo de verificação de marca e recebe a aprovação, as políticas de identidade e de dados do usuário do aplicativo têm mais chances de serem compreendidas pela conta que concede a permissão. Esse entendimento claro pode aumentar a probabilidade de que o titular da conta autorize suas solicitações e mantenha o acesso quando ele analisar possíveis reveses na página Conta do Google. O conteúdo configurado no OAuth no preenche os seguintes componentes:

  1. Nome e logotipo do app (como mostrado na caixa 1 da Figura 1)
  2. Seu e-mail de suporte ao usuário, que aparece depois que o nome do app é selecionado (caixa 2 da figura 1)
  3. Links para a Política de Privacidade e os Termos de Serviço (caixa 3 da Figura 1)
Os rótulos numerados ilustram diferentes recursos de uma tela de consentimento do OAuth de um projeto
            com informações de marca aprovadas.
Figura 1. Modelo da tela de consentimento do OAuth.

Domínios autorizados

Como parte do processo de verificação de marca, o Google exige a verificação de todos os domínios associados à tela de consentimento e às credenciais do OAuth de um app. Verifique se o componente de domínio está disponível para registro em um sufixo público: domínio privado de nível superior. Por exemplo, uma tela de consentimento do OAuth configurada com a página inicial do aplicativo https://sub.example.com/product pede que o proprietário da conta verifique a propriedade do domínio example.com.

A seção Domínios autorizados do editor de tela de consentimento do OAuth precisa conter os domínios privados principais usados nos URIs da seção Domínio do app. Esses domínios incluem a página inicial do app, a política de privacidade e os Termos de Serviço. A seção Domínios autorizados também precisa incluir os URIs de redirecionamento e/ou as origens do JavaScript autorizadas nos tipos de clientes OAuth do " aplicativo da Web".

Verifique a propriedade dos seus domínios autorizados usando o Google Search Console. Uma Conta do Google com permissões de proprietário para um domínio precisa ser associada ao projeto API Console que usa esse domínio autorizado. Para mais informações sobre as verificações de domínio no Google Search Console, consulte Verificar a propriedade do seu site.

Etapas para se preparar para a verificação

Todos os apps que usam APIs do Google para solicitar acesso a dados precisam seguir estas etapas para concluir a verificação de marca:

  1. Confirme se o app não se enquadra em nenhum dos casos de uso na seção Exceções aos requisitos de verificação.
  2. Confira se o app obedece aos requisitos de branding das APIs ou do produto associado. Por exemplo, consulte as diretrizes de marca para os escopos do Login do Google.
  3. Verifique a propriedade dos domínios autorizados do seu projeto no Google Search Console. Use uma Conta do Google associada ao seu projeto API Console como proprietário ou editor.
  4. Verifique se todas as informações de branding na tela de consentimento do OAuth, como o nome do app, o e-mail de suporte, o URI da página inicial, o URI da Política de Privacidade etc., representam com precisão a identidade do app.

Requisitos da página inicial do aplicativo

Verifique se a página inicial atende aos seguintes requisitos:

  • Sua página inicial precisa estar acessível publicamente, e não apenas para usuários conectados do seu site.
  • A relevância da página inicial para o app em análise precisa ser clara.
  • Os links para a página de detalhes do app na Google Play Store ou na página do Facebook não são considerados páginas iniciais válidas do aplicativo.

Requisitos do link da Política de Privacidade do aplicativo

Verifique se a Política de Privacidade do seu app atende aos seguintes requisitos:

  • A Política de Privacidade precisa estar visível para os usuários, hospedada no mesmo domínio da página inicial do aplicativo e vinculada na tela de consentimento do OAuth do Google API Console. A página inicial precisa incluir uma descrição da funcionalidade do app, além de links para a Política de Privacidade e Termos de Serviço opcionais.
  • A Política de Privacidade precisa divulgar a maneira como o app acessa, usa, armazena ou compartilha dados do usuário do Google. É necessário limitar o uso de dados do usuário do Google às práticas divulgadas na sua Política de Privacidade publicada.

Como enviar o app para verificação

Um projeto organiza todos os seus recursos. Um projeto consiste em um conjunto de Contas do Google associadas que têm permissão para realizar operações de projeto, um conjunto de APIs ativadas e configurações de faturamento, autenticação e monitoramento dessas APIs. Por exemplo, um projeto pode conter um ou mais clientes OAuth, configurar APIs para uso por esses clientes e configurar uma tela de consentimento do OAuth que é mostrada aos usuários antes que eles autorizem o acesso ao app.

Se algum dos seus clientes OAuth não estiver pronto para produção, sugerimos que você os exclua do projeto que está solicitando a verificação. Faça isso na .

Para enviar a verificação, siga estas etapas:

  1. Confira se o app obedece aos Termos de Serviço das APIs do Google e à Política de dados do usuário dos serviços de API do Google.
  2. Mantenha as funções de proprietário e editor das contas associadas ao projeto atualizadas, bem como o e-mail de suporte ao usuário e os dados de contato do desenvolvedor da tela de consentimento do OAuth, no . Isso garante que os membros corretos da sua equipe sejam notificados sobre novos requisitos.
  3. Acesse a Central de verificação do OAuth.
  4. Clique no botão Seletor de projetos.
  5. Na caixa de diálogo Selecionar de exibida, selecione seu projeto. Se você não encontrar seu projeto, mas souber o ID dele, crie um URL no navegador neste formato:

    ?project=[PROJECT_ID]

    Substitua [PROJECT_ID] pelo ID do projeto que você quer usar.

  6. Selecione o botão Editar app.
  7. Insira as informações necessárias na página da tela de consentimento do OAuth e selecione o botão Salvar e continuar.
  8. Use o botão Add or remove scopes para declarar todos os escopos solicitados pelo app. Um conjunto inicial de escopos necessários para o Login do Google é preenchido automaticamente na seção Non-sensitive scopes. Os escopos adicionados são classificados como não sensíveis, sensitive, or restricted.
  9. Forneça até três links para documentos relevantes sobre recursos relacionados no seu app.
  10. Forneça todas as informações adicionais solicitadas sobre seu app nas etapas seguintes.

  11. Se a configuração do app exigir verificação, você poderá enviar o app para verificação. Preencha os campos obrigatórios e clique em Enviar para iniciar o processo de verificação.

Depois que você envia o app, a equipe de confiabilidade e segurança do Google entra em contato por e-mail com outras informações necessárias ou etapas que você precisa concluir. Verifique seus endereços de e-mail na seção Informações de contato do desenvolvedor e no e-mail de suporte da tela de consentimento do OAuth para ver solicitações de informações adicionais. Você também pode conferir a página da tela de consentimento do OAuth do seu projeto para confirmar o status atual da análise, incluindo se o processo de análise está pausado enquanto aguardamos sua resposta.

Exceções aos requisitos de verificação

Se o app for usado em qualquer um dos cenários descritos nas seções a seguir, não será necessário enviá-lo para revisão.

Uso pessoal

Um caso de uso é quando você é o único usuário do app ou quando ele é usado por apenas alguns usuários, todos conhecidos pessoalmente por você. Você e seu número limitado de usuários podem se sentir à vontade para avançar pela tela do app não verificado e conceder acesso às suas contas pessoais ao app.

Projetos usados nos níveis de desenvolvimento, teste ou preparação

Para estar em conformidade com as políticas do Google OAuth 2.0, recomendamos que você tenha projetos diferentes para ambientes de teste e de produção. Recomendamos que você envie o app para verificação apenas se quiser disponibilizá-lo para qualquer usuário com uma Conta do Google. Portanto, se o app estiver nas fases de desenvolvimento, teste ou preparação, a verificação não será necessária.

Se o app estiver nas fases de desenvolvimento ou teste, deixe o Status de publicação na configuração padrão de Teste. Essa configuração significa que o app ainda está em desenvolvimento e só está disponível para os usuários que você adicionar à lista de usuários de teste. Você precisa gerenciar a lista de Contas do Google envolvidas no desenvolvimento ou teste do app.

Mensagem de aviso de que o Google não verificou um app que está em teste.
Figura 2. Tela de aviso do verificador

Somente dados de propriedade do serviço

Se o app usar uma conta de serviço para acessar apenas os próprios dados e não acessar dados do usuário (vinculados a uma Conta do Google), não será necessário enviar para verificação.

Para entender o que são contas de serviço, consulte Contas de serviço na documentação do Google Cloud. Para instruções sobre como usar uma conta de serviço, consulte Como usar o OAuth 2.0 para aplicativos de servidor para servidor.

Somente para uso interno

Isso significa que o app é usado apenas por pessoas na sua organização do Google Workspace ou do Cloud Identity. O projeto precisa ser da organização, e a tela de consentimento do OAuth precisa ser configurada para um tipo de usuário interno. Nesse caso, talvez seja necessário a aprovação de um administrador da organização. Para mais informações, consulte Considerações adicionais para o Google Workspace.

Instalação em todo o domínio

Se você planeja que o app seja direcionado apenas a usuários de uma organização do Google Workspace ou do Cloud Identity e sempre usar a instalação em todo o domínio, ele não vai exigir a verificação do app. Isso acontece porque uma instalação em todo o domínio permite que um administrador de domínio conceda acesso a aplicativos internos e de terceiros aos dados dos usuários. Os administradores da organização são as únicas contas que podem adicionar o app a uma lista de permissões para uso nos domínios.

Saiba como tornar seu app uma instalação em todo o domínio nas perguntas frequentes Meu aplicativo tem usuários com contas empresariais de outro domínio do Google Workspace.