ملاحظات اضافی برای Google Workspace

اگر برنامه شما یک نوع کاربر خارجی را هدف قرار می‌دهد، ممکن است بخواهید وسیع‌ترین مخاطبان ممکن حساب‌های گوگل را که شامل حساب‌های گوگلی است که توسط یک سازمان Google Workspace مدیریت می‌شوند، مورد توجه قرار دهید.

مدیران Google Workspace می‌توانند از کنترل‌های دسترسی API برای فعال یا محدود کردن دسترسی به APIهای Google Workspace برای برنامه‌ها و حساب‌های خدماتی متعلق به مشتری و شخص ثالث استفاده کنند. این ویژگی به مدیران Google Workspace اجازه می‌دهد تا دسترسی را فقط به شناسه‌های کلاینت OAuth که مورد اعتماد سازمان هستند محدود کنند، که این امر خطر مرتبط با دسترسی شخص ثالث به سرویس‌های Google را کاهش می‌دهد.

برای دسترسی به بیشترین تعداد مخاطبان ممکن در حساب‌های گوگل و تقویت اعتماد، موارد زیر را توصیه می‌کنیم:

  • برنامه خود را برای تأیید توسط گوگل ارسال کنید. در صورت لزوم، باید برنامه خود را برای تأیید برند و همچنین تأیید حوزه‌های حساس و محدود ارسال کنید. مدیران Google Workspace می‌توانند وضعیت تأیید شده برنامه شما را مشاهده کنند و ممکن است به برنامه‌هایی که گوگل آنها را تأیید می‌کند، بیشتر از برنامه‌هایی با وضعیت تأیید نشده یا ناشناخته اعتماد کنند.
  • مدیران Google Workspace می‌توانند به شناسه‌های کلاینت OAuth برنامه شما دسترسی به سرویس‌های محدود شده و محدوده‌های پرخطر درون آن را بدهند. اگر شناسه کلاینت OAuth برنامه خود را در اسناد راهنمای خود قرار دهید، می‌توانید اطلاعات لازم برای دسترسی به برنامه خود را در اختیار مدیران Google Workspace و مدافعان برنامه خود در سازمان‌هایشان قرار دهید. همچنین می‌تواند به آنها کمک کند تا بفهمند چه تغییرات پیکربندی ممکن است قبل از دسترسی برنامه شما به داده‌های یک سازمان مورد نیاز باشد.
  • به طور مرتب آدرس ایمیل پشتیبانی کاربر خود را که هنگام پیکربندی صفحه رضایت OAuth خود ارائه می‌دهید، بررسی کنید. مدیران Google Workspace می‌توانند هنگام بررسی دسترسی برنامه شما، این آدرس ایمیل را مشاهده کنند و ممکن است با شما در مورد سوالات و نگرانی‌های احتمالی تماس بگیرند.

تأثیر کنترل‌های مدیریتی Google Workspace بر اعتبار توکن

مدیران Google Workspace می‌توانند چندین کنترل را پیاده‌سازی کنند که به‌طور غیرمستقیم بر اعتبار و طول عمر توکن‌های OAuth تأثیر می‌گذارند.

  • کنترل جلسه گوگل کلود: مدیران گوگل ورک‌اسپیس می‌توانند طول جلسه را برای سرویس‌های گوگل کلود (مثلاً کنسول گوگل کلود، gcloud CLI) تنظیم کنند. این تنظیم برای هر برنامه‌ای، از جمله برنامه‌های شخص ثالث، که برای محدوده‌های گوگل کلود به مجوز کاربر نیاز دارد، اعمال می‌شود. تجاوز از این طول جلسه می‌تواند توکن‌های به‌روزرسانی مرتبط با آن محدوده‌های گوگل کلود را نامعتبر کند. برای جزئیات بیشتر، به تنظیم طول جلسه برای سرویس‌های گوگل کلود مراجعه کنید.
  • کنترل عمومی نشست سرویس‌های گوگل: مدیران همچنین می‌توانند مدت زمان نشست وب را برای سرویس‌هایی مانند جیمیل در وب کنترل کنند. این کار کاربران را مجبور می‌کند پس از انقضای نشست، دوباره به رابط وب گوگل وارد شوند. با این حال، این کنترل معمولاً توکن‌های به‌روزرسانی OAuth اعطا شده به برنامه‌های شخص ثالث برای دسترسی به داده‌های API (مانند Gmail، Drive یا Calendar APIs) را باطل نمی‌کند ، مگر اینکه حوزه‌ها به‌طور خاص مربوط به Google Cloud باشند. برای اطلاعات بیشتر، به تنظیم طول نشست برای سرویس‌های گوگل مراجعه کنید.
  • کنترل دسترسی برنامه: مدیران می‌توانند برنامه‌ها را مسدود کنند، دسترسی آنها به سرویس‌های خاص را محدود کنند یا دسترسی را به طور کامل لغو کنند، که این امر باعث می‌شود توکن‌های به‌روزرسانی مرتبط نامعتبر شوند.
  • نمایندگی در سطح دامنه (DWD): اگرچه DWD طول عمر توکن‌ها را تغییر نمی‌دهد، اما به مدیران اجازه می‌دهد تا برنامه‌ها را از قبل مجاز کنند، رضایت کاربر را دور بزنند و مستقیماً دسترسی برنامه به داده‌های سازمان را مدیریت کنند.

پروژه خود را با یک سازمان مرتبط کنید

اگر کاربر Google Workspace هستید، اکیداً توصیه می‌شود که پروژه توسعه‌دهنده شما در یک منبع سازمانی در حساب Google Workspace یا Cloud Identity شما ایجاد شود. این به شما امکان می‌دهد از ویژگی‌های مدیریت سازمانی ، مانند اعلان‌های مهم ، کنترل دسترسی و مدیریت چرخه عمر پروژه، بدون اتصال آن به یک حساب توسعه‌دهنده شخصی استفاده کنید. در غیر این صورت، انتقال آن به مالک جدید در آینده ممکن است دشوار (یا غیرممکن) باشد.

هنگام راه‌اندازی پروژه توسعه‌دهنده خود، آن را در یک سازمان ایجاد کنید یا پروژه‌های موجود خود را به یک سازمان منتقل کنید .