Wenn Ihre App auf einen externen Nutzertyp ausgerichtet ist, möchten Sie möglicherweise ein möglichst breites Publikum von Google-Konten erreichen, das Google-Konten einschließt, die von einer Google Workspace-Organisation verwaltet werden.
Google Workspace-Administratoren können mit den API Zugriffssteuerungen den Zugriff auf Google Workspace APIs für Anwendungen und Dienstkonten von Kunden und Drittanbietern erlauben oder einschränken. Mit dieser Funktion können Google Workspace-Administratoren den Zugriff auf OAuth-Client-IDs beschränken, die von der Organisation als vertrauenswürdig eingestuft werden. Dadurch wird das Risiko beim Zugriff durch Dritte auf Google-Dienste reduziert.
Um ein möglichst breites Publikum von Google-Konten zu erreichen und Vertrauen aufzubauen, empfehlen wir Folgendes:
- Reichen Sie Ihre App zur Überprüfung durch Google ein. Falls zutreffend, müssen Sie Ihre App zur Marken Überprüfung sowie zur Überprüfung vertraulicher und eingeschränkter Bereiche einreichen. Google Workspace-Administratoren können den Überprüfungsstatus Ihrer App einsehen. Sie vertrauen Apps, die von Google überprüft wurden, möglicherweise mehr als Apps mit einem nicht überprüften oder unbekannten Status.
- Google Workspace-Administratoren können den OAuth-Client-IDs Ihrer App Zugriff auf eingeschränkte Dienste und die darin enthaltenen Bereiche mit hohem Risiko gewähren. Wenn Sie die OAuth-Client-ID Ihrer App in Ihre Hilfedokumente aufnehmen, können Sie Google Workspace-Administratoren und Befürwortern Ihrer App in ihren Organisationen die Informationen zur Verfügung stellen, die sie benötigen, um Zugriff auf Ihre App zu gewähren. Außerdem können sie so besser nachvollziehen, welche Konfigurationsänderungen erforderlich sind, bevor Ihre App auf die Daten einer Organisation zugreifen kann.
- Prüfen Sie regelmäßig die E-Mail-Adresse für den Nutzersupport, die Sie bei der Konfiguration der Seite „OAuth Zustimmungsbildschirm“ angeben. Google Workspace-Administratoren können diese E-Mail-Adresse sehen, wenn sie den Zugriff Ihrer App überprüfen. Sie werden sich möglicherweise mit Fragen und Bedenken an Sie wenden.
Auswirkungen der Steuerelemente für Google Workspace-Administratoren auf die Gültigkeit von Tokens
Google Workspace-Administratoren können verschiedene Steuerelemente implementieren, die sich indirekt auf die Gültigkeit und Lebensdauer von OAuth-Tokens auswirken.
- Google Cloud-Sitzungssteuerung: Google Workspace-Administratoren können die Sitzungslänge für Google Cloud-Dienste festlegen, z.B. für die Google Cloud Console und die gcloud CLI. Diese Einstellung gilt für alle Anwendungen, einschließlich Drittanbieter-Apps, die eine Nutzerautorisierung für Google Cloud-Bereiche erfordern. Wenn diese Sitzungslänge überschritten wird, können die Aktualisierungstokens, die mit diesen Google Cloud-Bereichen verknüpft sind, ungültig werden. Weitere Informationen finden Sie unter Sitzungslänge für Google Cloud Dienste festlegen.
- Allgemeine Google-Sitzungssteuerung:Administratoren können auch die Sitzungsdauer für Dienste wie Gmail im Web steuern. Dadurch werden Nutzer gezwungen, sich nach Ablauf der Sitzung noch einmal in der Google-Weboberfläche anzumelden. Diese Steuerung macht OAuth-Aktualisierungstokens, die Drittanbieteranwendungen für den Zugriff auf API-Daten (z. B. Gmail, Drive oder Google Kalender APIs) gewährt wurden, in der Regel nicht ungültig, es sei denn, die Bereiche sind speziell auf Google Cloud bezogen. Weitere Informationen finden Sie unter Sitzungslänge für Google Dienste festlegen.
- App-Zugriffssteuerung: Administratoren können Apps blockieren, ihren Zugriff auf bestimmte Dienste beschränken oder den Zugriff vollständig widerrufen. Dadurch werden die zugehörigen Aktualisierungstokens ungültig.
- Domainweite Delegierung: Die domainweite Delegierung ändert zwar nicht die Lebensdauer von Tokens, ermöglicht es Administratoren jedoch, Apps vorab zu autorisieren. So wird die Nutzereinwilligung umgangen und der Zugriff der App auf Organisationsdaten direkt verwaltet.
Projekt mit einer Organisation verknüpfen
Wenn Sie Google Workspace-Nutzer sind, empfehlen wir dringend, Ihr Entwicklungsprojekt in einer Organisationsressource in Ihrem Google Workspace oder Cloud Identity-Konto zu erstellen. So können Sie Funktionen für die Unternehmensverwaltung wie wichtige Benachrichtigungen, Zugriffssteuerung und Projektlebenszyklusverwaltung nutzen, ohne es an ein einzelnes Entwicklerkonto zu binden. Andernfalls ist es möglicherweise schwierig oder unmöglich, das Projekt in Zukunft auf einen neuen Inhaber zu übertragen.
Erstellen Sie Ihr Entwicklungsprojekt in einer Organisation oder migrieren Sie Ihre vorhandenen Projekte in eine Organisation.