Enviar para verificação de marca

Todos os apps que acessam as APIs do Google precisam verificar se representam com precisão sua identidade e intenção, conforme especificado pela Política de dados do usuário dos serviços de API do Google. Para proteger você e os usuários compartilhados do Google e do app, a tela de consentimento e o aplicativo podem precisar de verificação do Google.

Seu app precisa ser verificado se atender a todos os critérios a seguir:

  • No Google API Console, a configuração do app é definida para um tipo de usuário de Externo. Isso significa que o app está disponível para qualquer usuário que tenha uma Conta do Google.
  • Você quer que seu aplicativo exiba um logotipo ou o nome de exibição na tela de permissão OAuth.

Se você incluir informações de marca verificadas, poderá aumentar a probabilidade de um usuário reconhecer sua marca e decidir conceder o acesso ao seu app. As informações de marca verificada também podem gerar menos revogações depois, quando um usuário ou o administrador do Google Workspace revisa apps e serviços de terceiros com acesso à conta. O processo de verificação de marca da tela de permissão OAuth geralmente leva de dois a três dias úteis após o envio para verificação.

Se você não enviar o aplicativo para verificação de marca, isso poderá resultar na redução da confiança do usuário na solicitação de dados, o que pode levar a menos autorizações do usuário e mais revogações depois.

A tela de consentimento informa aos usuários quem está solicitando acesso aos dados e que tipo de app o app precisa acessar em nome dele, conforme destacado na caixa 2 da Figura 1.

Quando seu app passa pelo processo de verificação de marca e recebe aprovação, as políticas de dados e identidade do usuário do seu aplicativo têm mais chances de serem compreendidas claramente pela conta que está concedendo permissão. Esse entendimento claro pode aumentar a probabilidade de um proprietário de conta autorizar suas solicitações e manter o acesso quando ele analisar possíveis revogações na página Conta do Google. O conteúdo configurado no OAuth Consent Screen page no API Console preenche os seguintes componentes:

  1. O nome e o logotipo do app, como mostrado na caixa 1 da figura 1
  2. Seu e-mail de suporte ao usuário, que aparece após a seleção do nome do app (caixa 2 da figura 1)
  3. Links para sua Política de Privacidade e Termos de Serviço (caixa 3 da Figura 1)
Os rótulos numerados ilustram diferentes recursos de uma tela de permissão OAuth de um projeto com informações de marca aprovadas.
Figura 1. Modelo da tela de permissão OAuth.

Domínios autorizados

Como parte do processo de verificação de marca, o Google exige a verificação de todos os domínios associados às credenciais e à tela de consentimento do OAuth de um aplicativo. Pedimos que você verifique o componente do domínio disponível para registro em um sufixo público: o "principal domínio privado." Por exemplo, uma tela de consentimento OAuth configurada com uma página inicial do aplicativo https://sub.example.com/product solicita que o proprietário da conta verifique a propriedade do domínio example.com.

A seção Domínios autorizados do editor da tela de permissão OAuth precisa conter os principais domínios particulares usados nos URIs da seção Domínio do aplicativo. Esses domínios incluem a página inicial do app, a Política de Privacidade e os Termos de Serviço. A seção Domínios autorizados também precisa incluir os URIs de redirecionamento e/ou as origens do JavaScript autorizadas nos seus tipos de cliente OAuth de aplicativo.

Verifique a propriedade dos domínios autorizados usando o Google Search Console. Uma Conta do Google com permissões para um domínio do proprietário precisa estar associada ao projeto API Console que usa esse domínio autorizado. Para mais informações sobre verificações de domínio no Google Search Console, consulte Verificar a propriedade do site.

Etapas de preparação para a verificação

Todos os apps que usam APIs do Google para solicitar acesso a dados precisam realizar as seguintes etapas para concluir a verificação da marca:

  1. Confirme se o app não se enquadra em nenhum dos casos de uso na seção Exceções aos requisitos de verificação.
  2. Verifique se o app está em conformidade com os requisitos de branding das APIs ou dos produtos associados. Por exemplo, consulte as diretrizes de marca para escopos de Login do Google.
  3. Verifique a propriedade dos domínios autorizados do seu projeto no Google Search Console. Use uma Conta do Google associada ao seu projeto API Console como proprietário ou editor.
  4. Verifique se todas as informações de marca na tela de permissão OAuth, como nome do app, e-mail de suporte, URI da página inicial, URI da Política de Privacidade etc., representam com precisão a identidade do app.

Requisitos da página inicial do aplicativo

Verifique se a página inicial atende aos seguintes requisitos:

  • Sua página inicial precisa ser acessível publicamente, e não apenas acessível aos usuários conectados ao seu site.
  • A relevância da sua página inicial para o app que está em análise precisa ser clara.
  • Os links para a página "Detalhes do app" na Google Play Store ou na página do Facebook dela não são considerados páginas iniciais de aplicativos válidas.

Requisitos para vinculação da Política de Privacidade do aplicativo

Verifique se a Política de Privacidade do seu app atende aos seguintes requisitos:

  • A Política de Privacidade precisa estar visível para os usuários, hospedada no mesmo domínio da página inicial do aplicativo e vinculada na tela de permissão OAuth do Google API Console. A página inicial precisa incluir uma descrição da funcionalidade do app, além de links para a Política de Privacidade e os Termos de Serviço opcionais.
  • A Política de Privacidade precisa divulgar como o aplicativo acessa, usa, armazena ou compartilha dados do usuário do Google. Limite o uso dos dados do usuário do Google às práticas divulgadas pela Política de Privacidade publicada.

Como enviar o app para verificação

Um projetoGoogle API Console organiza todos os seus recursos API Console . Um projeto consiste em um conjunto de Contas do Google associadas que têm permissão para executar operações do projeto, um conjunto de APIs ativadas e configurações de faturamento, autenticação e monitoramento para essas APIs. Por exemplo, um projeto pode conter um ou mais clientes OAuth, configurar APIs para uso por esses clientes e configurar uma tela de permissão OAuth que seja exibida aos usuários antes de eles autorizarem o acesso ao seu app.

Se algum dos seus clientes OAuth não estiver pronto para produção, exclua-o do projeto que está solicitando a verificação. Faça isso no Google API Console.

Para enviar para verificação, siga estas etapas:

  1. Verifique se o app obedece aos Termos de Serviço das APIs do Google e à Política de dados do usuário dos serviços de API do Google.
  2. Mantenha atualizados os papéis de proprietário e editor das contas associadas ao seu projeto, bem como do e-mail de suporte ao usuário e dos dados de contato do desenvolvedor do tela de consentimento OAuth no API Console. Isso garante que os membros certos da sua equipe sejam notificados sobre novos requisitos.
  3. Acesse o API Console OAuth Consent Screen page.
  4. Clique no botão Seletor de projetos.

  5. Na caixa de diálogo Selecionar de exibida, selecione seu projeto. Se você não encontrar seu projeto, mas souber o ID dele, poderá criar um URL no navegador no seguinte formato:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Substitua [PROJECT_ID] pelo ID do projeto que você quer usar.

  6. Selecione o botão Edit App.
  7. Insira as informações necessárias na página da tela de permissão OAuth e selecione o botão Salvar e continuar.
  8. Use o botão Adicionar ou remover escopos para declarar todos os escopos solicitados pelo app. Um conjunto inicial de escopos necessários para o Login do Google é pré-preenchido na seção Escopos não confidenciais. Os escopos adicionados são classificados como não confidenciais sensitive, or restricted.
  9. Forneça até três links para qualquer documentação relevante para recursos relacionados no seu app.

  10. Nas outras etapas, forneça informações adicionais sobre o app.

  11. Se a configuração do app fornecer verificação, será possível enviá-lo para verificação. Preencha os campos obrigatórios e clique em Enviar para iniciar o processo de verificação.

Após o envio do app, a equipe de confiabilidade e segurança do Google entrará em contato por e-mail com informações necessárias ou etapas que você precisa concluir. Verifique os endereços de e-mail na seção Dados de contato do desenvolvedor e o e-mail de suporte da tela de permissão OAuth para solicitações de informações adicionais. Você também pode ver a página da tela de permissão OAuth do seu projeto para confirmar o status atual de revisão. Isso inclui se o processo de revisão está pausado enquanto aguardamos sua resposta.

Exceções aos requisitos de verificação

Se o app for usado em qualquer um dos cenários descritos nas seções a seguir, você não precisará enviá-lo para revisão.

Uso pessoal

Um caso de uso é se você for o único usuário do app ou se ele for usado por apenas alguns usuários, e todos são conhecidos por você. Você e seu número limitado de usuários podem não se sentir à vontade para avançar pela tela do app não verificada e conceder acesso ao seu aplicativo para suas contas pessoais.

Projetos usados em níveis de desenvolvimento, teste ou preparo

Para obedecer às políticas do Google OAuth 2.0, recomendamos que você tenha projetos diferentes para ambientes de teste e produção. Recomendamos que você envie seu app para verificação apenas se quiser disponibilizá-lo a qualquer usuário com uma Conta do Google. Portanto, se o app estiver nas fases de desenvolvimento, teste ou preparo, a verificação não será necessária.

Se o app estiver nas fases de desenvolvimento ou teste, deixe o Status de publicação na configuração padrão de Teste. Essa configuração significa que o app ainda está em desenvolvimento e só está disponível para os usuários que você adicionou à lista de usuários de teste. Você precisa gerenciar a lista de Contas do Google envolvidas no desenvolvimento ou teste do seu app.

Mensagem de aviso de que o Google não verificou um app que está em fase de testes.
Figura 2. Tela de aviso do testador

Somente dados do serviço

Se o app usa uma conta de serviço para acessar apenas os próprios dados e não acessa dados do usuário (vinculados a uma Conta do Google), não é necessário enviar para verificação.

Para entender o que são contas de serviço, consulte Contas de serviço na documentação do Google Cloud. Para instruções sobre como usar uma conta de serviço, consulte Como usar o OAuth 2.0 para aplicativos de servidor para servidor.

Somente para uso interno

Isso significa que o app é usado apenas por pessoas na sua organização do Google Workspace ou do Cloud Identity. O projeto precisa ser de propriedade da organização, e a tela de consentimento do OAuth precisa ser configurada para um tipo de usuário interno. Nesse caso, o app precisará da aprovação de um administrador. Para mais informações, consulte Outras considerações sobre o Google Workspace.

Instalação em todo o domínio

Se você planeja usar o app apenas para segmentar usuários de uma organização do Google Workspace ou do Cloud Identity e sempre usa a instalação em todo o domínio, o app não exige a verificação. Isso porque uma instalação em todo o domínio permite que um administrador de domínio conceda a aplicativos internos e de terceiros acesso aos dados do usuário. Os administradores da organização são as únicas contas que podem adicionar o app a uma lista de permissões para uso nos domínios.

Saiba como tornar seu app uma instalação em todo o domínio nas perguntas frequentes Meu aplicativo tem usuários com contas empresariais de outro domínio do Google Workspace.