Si tu app está orientada a un tipo de usuario externo, es posible que desees llegar a la mayor cantidad posible de Cuentas de Google, que incluyen las Cuentas de Google administradas por una organización de Google Workspace.
Los administradores de Google Workspace pueden usar los controles de acceso a la API para habilitar o restringir el acceso a las APIs de Google Workspace para las cuentas de servicio y las aplicaciones de terceros o propiedad del cliente. Esta función permite que los administradores de Google Workspace restrinjan el acceso solo a los IDs de cliente de OAuth que la organización considera confiables, lo que reduce el riesgo asociado con el acceso de terceros a los servicios de Google.
Para llegar a la mayor cantidad posible de Cuentas de Google y fomentar la confianza, te recomendamos lo siguiente:
- Envía tu app para que Google la verifique. Si corresponde, debes enviar tu app para la verificación de la marca, así como la verificación de los permisos sensibles y restringidos. Los administradores de Google Workspace pueden ver el estado verificado de tu app y es posible que confíen más en las apps que verifica Google que en las que tienen un estado no verificado o desconocido.
- Los administradores de Google Workspace pueden otorgar a los IDs de cliente de OAuth de tu app acceso a los servicios restringidos y los permisos de alto riesgo que contienen. Si incluyes el ID de cliente de OAuth de tu app en los documentos de ayuda, puedes proporcionar a los administradores de Google Workspace y a los defensores de tu app dentro de sus organizaciones la información necesaria para otorgar acceso a tu app. También puede ayudarlos a comprender qué cambios de configuración podrían ser necesarios antes de que tu app pueda acceder a los datos de una organización.
- Supervisa de forma periódica la dirección de correo electrónico de asistencia al usuario que proporcionas cuando configuras tu OAuth Consent Screen page. Los administradores de Google Workspace pueden ver esta dirección de correo electrónico cuando revisan el acceso a tu app y es posible que se comuniquen contigo si tienen preguntas o inquietudes.
El impacto de los controles de administrador de Google Workspace en la validez del token
Los administradores de Google Workspace pueden implementar varios controles que afectan de forma indirecta la validez y la vida útil de los tokens de OAuth.
- Control de sesión de Google Cloud: Los administradores de Google Workspace pueden establecer la duración de la sesión para los servicios de Google Cloud (p.ej., consola de Google Cloud, la CLI de gcloud). Este parámetro de configuración se aplica a cualquier aplicación, incluidas las apps de terceros, que requiera autorización del usuario para los permisos de Google Cloud. Si se excede la duración de la sesión, se pueden invalidar los tokens de actualización asociados con esos permisos de Google Cloud. Para obtener más detalles, consulta Establece la duración de la sesión para los servicios de Google Cloud services.
- Control general de la sesión de los servicios de Google: Los administradores también pueden controlar la duración de la sesión web para servicios como Gmail en la Web. Esto obliga a los usuarios a volver a acceder a la interfaz web de Google después de que venza la sesión. Sin embargo, este control, por lo general, no invalida los tokens de actualización de OAuth otorgados a aplicaciones de terceros para acceder a datos de la API (como las APIs de Gmail, Drive o Calendar), a menos que los permisos estén específicamente relacionados con Google Cloud. Para obtener más información, consulta Establece la duración de la sesión para los servicios de Google.
- Control de acceso a apps: Los administradores pueden bloquear apps, limitar su acceso a ciertos servicios o revocar el acceso por completo, lo que invalida los tokens de actualización asociados.
- Delegación en todo el dominio (DWD): Si bien la DWD no cambia la vida útil de los tokens, permite que los administradores autoricen previamente las apps, omitan el consentimiento del usuario y administren directamente el acceso de la app a los datos de la organización.
Asocia tu proyecto con una organización
Si eres usuario de Google Workspace, te recomendamos que tu proyecto de desarrollador se cree dentro de un recurso de organización en tu cuenta de Google Workspace o Cloud Identity. Esto te permite usar funciones de administración empresarial, como notificaciones importantes, control de acceso y administración del ciclo de vida del proyecto, sin vincularlo a una cuenta de desarrollador individual. De lo contrario, podría ser difícil (o imposible) transferir a un nuevo propietario en el futuro.
Cuando configures tu proyecto de desarrollador, créalo en una organización o migra tus proyectos existentes a una organización.