หากแอปของคุณกำหนดเป้าหมายเป็นผู้ใช้ภายนอก ประเภท คุณอาจต้องการเข้าถึงกลุ่มเป้าหมายที่กว้างที่สุดเท่าที่จะเป็นไปได้ของบัญชี Google ซึ่ง รวมถึงบัญชี Google ที่ดูแลโดยองค์กร Google Workspace
ผู้ดูแลระบบ Google Workspace สามารถใช้การควบคุมการเข้าถึง API เพื่อเปิดใช้หรือจำกัดการเข้าถึง Google Workspace API สำหรับแอปพลิเคชันและบัญชีบริการของลูกค้าหรือของบุคคลที่สาม ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบ Google Workspace จำกัดการเข้าถึงเฉพาะรหัสไคลเอ็นต์ OAuth ที่องค์กรเชื่อถือได้ ซึ่งจะช่วยลด ความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงบริการของ Google โดยบุคคลที่สาม
เราขอแนะนำให้คุณทำสิ่งต่อไปนี้เพื่อเข้าถึงกลุ่มเป้าหมายที่กว้างที่สุดเท่าที่จะเป็นไปได้ของบัญชี Google และเพื่อสร้างความน่าเชื่อถือ
- ส่งแอปเพื่อขอรับการยืนยันจาก Google หากเกี่ยวข้อง คุณต้องส่งแอปเพื่อรับการยืนยันแบรนด์ รวมถึงการยืนยันขอบเขตที่ละเอียดอ่อนและที่ถูกจำกัด ผู้ดูแลระบบ Google Workspace สามารถดูสถานะที่ยืนยันแล้วของแอป และอาจเชื่อถือแอปที่ Google ยืนยันมากกว่าแอปที่มีสถานะไม่ได้รับการยืนยันหรือสถานะที่ไม่รู้จัก
- ผู้ดูแลระบบ Google Workspace สามารถให้สิทธิ์เข้าถึงบริการที่ถูกจำกัดและ ขอบเขตที่มีความเสี่ยงสูงภายในแก่รหัสไคลเอ็นต์ OAuth ของแอป หากคุณระบุรหัสไคลเอ็นต์ OAuth ของแอปในเอกสารช่วยเหลือ คุณจะให้ข้อมูลที่จำเป็นต่อการให้สิทธิ์เข้าถึงแอปแก่ผู้ดูแลระบบ Google Workspace และผู้สนับสนุนแอปของคุณภายในองค์กรได้ นอกจากนี้ยังช่วยให้ผู้ดูแลระบบเข้าใจว่าอาจต้องมีการเปลี่ยนแปลงการกำหนดค่าใดบ้าง ก่อนที่แอปจะเข้าถึงข้อมูลขององค์กรได้
- ตรวจสอบอีเมลสนับสนุนผู้ใช้ที่คุณระบุเมื่อกำหนดค่าหน้าจอขอความยินยอม OAuth เป็นประจำ ผู้ดูแลระบบ Google Workspace จะดูอีเมลนี้ได้เมื่อตรวจสอบสิทธิ์เข้าถึงของแอป และอาจติดต่อคุณเพื่อสอบถาม ข้อสงสัยและความกังวลที่อาจเกิดขึ้น
ผลกระทบของการควบคุมของผู้ดูแลระบบ Google Workspace ต่อความถูกต้องของโทเค็น
ผู้ดูแลระบบ Google Workspace สามารถใช้การควบคุมหลายอย่างซึ่งส่งผลต่อ ความถูกต้องและอายุการใช้งานของโทเค็น OAuth โดยอ้อม
- การควบคุมเซสชันของ Google Cloud: ผู้ดูแลระบบ Google Workspace สามารถตั้งระยะเวลาเซสชันสำหรับบริการของ Google Cloud (เช่น คอนโซล Google Cloud, gcloud CLI) ได้ การตั้งค่านี้ จะมีผลกับแอปพลิเคชันทั้งหมด รวมถึงแอปของบุคคลที่สามที่ต้องมีการให้สิทธิ์ผู้ใช้สำหรับ ขอบเขต Google Cloud การใช้เซสชันนานเกินกว่านี้อาจทำให้โทเค็นการรีเฟรชที่เชื่อมโยง กับขอบเขต Google Cloud เหล่านั้นใช้งานไม่ได้ โปรดดูรายละเอียดเพิ่มเติมที่ ตั้งระยะเวลาเซสชันสำหรับบริการของ Google Cloud
- การควบคุมเซสชันของบริการทั่วไปของ Google: ผู้ดูแลระบบยังควบคุมระยะเวลาเซสชันบนเว็บสำหรับบริการต่างๆ เช่น Gmail บนเว็บได้ด้วย ซึ่งจะบังคับให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้งเพื่อ อินเทอร์เฟซเว็บของ Google หลังจากที่เซสชันหมดอายุ อย่างไรก็ตาม โดยปกติแล้วการควบคุมนี้จะไม่ทำให้โทเค็นการรีเฟรช OAuth ที่ให้แก่แอปพลิเคชันของบุคคลที่สามสำหรับการเข้าถึงข้อมูล API (เช่น API ของ Gmail, ไดรฟ์ หรือปฏิทิน) ใช้งานไม่ได้ เว้นแต่ขอบเขตจะเกี่ยวข้องกับ Google Cloud โดยเฉพาะ ดูข้อมูลเพิ่มเติมได้ที่ ตั้งค่าระยะเวลาเซสชันสำหรับบริการของ Google
- การควบคุมการเข้าถึงแอป: ผู้ดูแลระบบสามารถบล็อกแอป จำกัดสิทธิ์เข้าถึง บริการบางอย่าง หรือเพิกถอนสิทธิ์เข้าถึงทั้งหมด ซึ่งจะทำให้โทเค็นการรีเฟรชที่เชื่อมโยง ใช้ไม่ได้
- การมอบสิทธิ์ระดับโดเมน (DWD): แม้ว่า DWD จะไม่เปลี่ยนแปลงอายุโทเค็น แต่ก็ช่วยให้ผู้ดูแลระบบให้สิทธิ์ล่วงหน้าแก่แอปได้ โดยไม่ต้องขอความยินยอมของผู้ใช้และจัดการ การเข้าถึงข้อมูลขององค์กรโดยตรงของแอป
เชื่อมโยงโปรเจ็กต์กับองค์กร
หากคุณเป็นผู้ใช้ Google Workspace เราขอแนะนำอย่างยิ่งให้สร้างโปรเจ็กต์ของนักพัฒนาแอปภายในทรัพยากรขององค์กรในบัญชี Google Workspace หรือ Cloud Identity ซึ่งช่วยให้คุณใช้ฟีเจอร์การจัดการระดับองค์กร เช่น การแจ้งเตือนที่สำคัญ การควบคุมการเข้าถึง และการจัดการวงจรโปรเจ็กต์ได้โดยไม่ต้องเชื่อมโยงกับบัญชีนักพัฒนาแอปแต่ละบัญชี มิเช่นนั้น การโอน ไปยังเจ้าของใหม่ในอนาคตอาจเป็นเรื่องยาก (หรือเป็นไปไม่ได้)
เมื่อตั้งค่าโปรเจ็กต์สำหรับนักพัฒนาแอป ให้สร้างโปรเจ็กต์ในองค์กรหรือย้ายข้อมูลโปรเจ็กต์ที่มีอยู่ไปยังองค์กร