Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שיקולים נוספים לגבי Google Workspace

אם האפליקציה שלכם מיועדת למשתמשים חיצוניים, כדאי לכם לפנות לקהל רחב ככל האפשר של חשבונות Google, כולל חשבונות Google שמנוהלים על ידי ארגון Google Workspace.

אדמינים של Google Workspace יכולים להשתמש באמצעים לבקרת גישה ל-API כדי להפעיל או להגביל את הגישה לממשקי API של Google Workspace עבור אפליקציות וחשבונות שירות השייכים ללקוחות או לצדדים שלישיים. התכונה הזו מאפשרת לאדמינים ב-Google Workspace להגביל את הגישה רק למזהי לקוח OAuth שהארגון סומך עליהם, וכך להפחית את הסיכון שקשור לגישה של צד שלישי לשירותי Google.

כדי להגיע לקהל הרחב ביותר של משתמשי חשבונות Google ולבנות אמון, מומלץ:

שולחים את האפליקציה לאימות על ידי Google. אם רלוונטי, עליך לשלוח את האפליקציה לאימות מותג, וגם לאימות של היקפי גישה רגישים ומוגבלים. אדמינים ב-Google Workspace יכולים לראות את הסטטוס המאומת של האפליקציה שלכם, ויכול להיות שהם יסמכו יותר על אפליקציות ש-Google מאמתת מאשר על אפליקציות עם סטטוס לא מאומת או לא ידוע.
אדמינים של Google Workspace יכולים לתת למזהי לקוח OAuth של האפליקציה שלכם גישה לשירותים מוגבלים ולהיקפי הרשאות בסיכון גבוה בתוך השירותים האלה. אם כוללים את מזהה לקוח OAuth של האפליקציה במסמכי העזרה, אפשר לספק לאדמינים של Google Workspace ולתומכים באפליקציה בארגונים שלהם, את המידע שנדרש כדי לתת גישה לאפליקציה. זה גם יכול לעזור להם להבין אילו שינויים בהגדרות צריך לבצע לפני שהאפליקציה תוכל לגשת לנתונים של הארגון.
חשוב לעקוב באופן שוטף אחרי כתובת האימייל לתמיכה במשתמשים שסיפקתם כשאתם מגדירים את דף מסך ההסכמה ל-OAuth. אדמינים ב-Google Workspace יכולים לראות את כתובת האימייל הזו כשהם בודקים את הגישה לאפליקציה שלכם, ויכול להיות שהם יפנו אליכם עם שאלות או חששות.

ההשפעה של אמצעי הבקרה של אדמין Google Workspace על התוקף של טוקנים

אדמינים ב-Google Workspace יכולים להטמיע כמה אמצעי בקרה שמשפיעים באופן עקיף על התוקף ועל משך החיים של אסימוני OAuth.

בקרת סשנים ב-Google Cloud: אדמינים ב-Google Workspace יכולים להגדיר את אורך הסשן בשירותי Google Cloud (לדוגמה, מסוף Google Cloud, ה-CLI של gcloud). ההגדרה הזו חלה על כל אפליקציה, כולל אפליקציות של צד שלישי, שנדרש בה אישור משתמש להיקפי הרשאות של Google Cloud. אם משך הסשן יהיה ארוך יותר, יכול להיות שאסימוני הרענון שמשויכים להיקפי ההרשאות האלה ב-Google Cloud יהפכו ללא תקפים. לפרטים נוספים, אפשר לעיין במאמר בנושא הגדרת משך ההפעלה לשירותי Google Cloud.
בקרת סשנים כללית בשירותי Google: אדמינים יכולים גם לשלוט במשך הסשן בשירותים כמו Gmail באינטרנט. ההגדרה הזו מאלצת את המשתמשים להיכנס שוב לממשק האינטרנט של Google אחרי שהסשן מסתיים. עם זאת, אמצעי הבקרה הזה בדרך כלל לא מבטל את תוקף האסימונים של OAuth refresh שניתנו לאפליקציות צד שלישי כדי לגשת לנתוני API (כמו Gmail,‏ Drive או ממשקי API של יומן), אלא אם ההיקפים קשורים ספציפית ל-Google Cloud. למידע נוסף, אפשר לעיין במאמר בנושא הגדרת משך ההפעלה לשירותי Google.
בקרה על הרשאות הגישה של אפליקציות: אדמינים יכולים לחסום אפליקציות, להגביל את הגישה שלהן לשירותים מסוימים או לבטל את הגישה לחלוטין, מה שהופך את טוקני הרענון המשויכים ללא תקפים.
הענקת גישה ברמת הדומיין (DWD): הענקת גישה ברמת הדומיין לא משנה את משך החיים של הטוקן, אבל היא מאפשרת לאדמינים להעניק הרשאה מראש לאפליקציות, לעקוף את הסכמת המשתמש ולנהל ישירות את הגישה של האפליקציה לנתונים של הארגון.

איך משייכים את הפרויקט לארגון

אם אתם משתמשים ב-Google Workspace, מומלץ מאוד ליצור את פרויקט הפיתוח בתוך משאב ארגון בחשבון Google Workspace או Cloud Identity. כך תוכלו להשתמש בתכונות ניהול לארגונים, כמו התראות חשובות, בקרת גישה וניהול מחזור החיים של הפרויקט, בלי לקשר אותו לחשבון מפתח פרטי. אחרת, יכול להיות שיהיה קשה (או בלתי אפשרי) להעביר את הבעלות לבעלים חדש בעתיד.

כשמגדירים את פרויקט הפיתוח, יוצרים אותו בארגון או מעבירים את הפרויקטים הקיימים לארגון.

שיקולים נוספים לגבי Google Workspace קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

ההשפעה של אמצעי הבקרה של אדמין Google Workspace על התוקף של טוקנים

איך משייכים את הפרויקט לארגון

שיקולים נוספים לגבי Google Workspace