Administratorzy Google Workspace mogą używać ustawień kontroli dostępu przez interfejs API do włączania lub ograniczania dostępu do interfejsów Google Workspace API dla aplikacji klientów i innych firm oraz kont usługi. Ta funkcja umożliwia administratorom Google Workspace ograniczenie dostępu tylko do identyfikatorów klientów OAuth, które są zaufane przez organizację. Zmniejsza to ryzyko związane z dostępem innych firm do usług Google.
Aby dotrzeć do jak najszerszego grona odbiorców korzystających z kont Google i zwiększyć zaufanie, zalecamy:
- Przesłanie aplikacji do weryfikacji przez Google. W stosownych przypadkach musisz przesłać aplikację do weryfikacji marki, a także weryfikacji zakresów wrażliwych i z ograniczeniami. Administratorzy Google Workspace mogą wyświetlać zweryfikowany stan Twojej aplikacji i mogą ufać aplikacjom zweryfikowanym przez Google bardziej niż aplikacjom o niezweryfikowanym lub nieznanym stanie.
- Administratorzy Google Workspace mogą przyznać identyfikatorom klientów OAuth Twojej aplikacji dostęp do usług objętych ograniczeniami i zakresów wysokiego ryzyka w tych usługach. Jeśli umieścisz identyfikator klienta OAuth swojej aplikacji w dokumentach pomocy, możesz przekazać administratorom Google Workspace i osobom promującym Twoją aplikację w ich organizacjach informacje potrzebne do przyznania dostępu do Twojej aplikacji. Pomoże im to również zrozumieć, jakie zmiany konfiguracji mogą być potrzebne, zanim Twoja aplikacja uzyska dostęp do danych organizacji.
- Regularnie sprawdzaj adres e-mail do obsługi użytkowników, który podajesz podczas konfigurowania strony ekranu akceptacji OAuth. Administratorzy Google Workspace mogą wyświetlić ten adres e-mail, gdy sprawdzają dostęp do Twojej aplikacji, i mogą się z Tobą skontaktować, jeśli mają pytania lub wątpliwości.
Wpływ ustawień administratora Google Workspace na ważność tokena
Administratorzy Google Workspace mogą wdrożyć kilka ustawień, które pośrednio wpływają na ważność i czas życia tokenów OAuth.
- Kontrola sesji Google Cloud: administratorzy Google Workspace mogą ustawić długość sesji dla usług Google Cloud (np. konsoli Google Cloud, gcloud CLI). To ustawienie ma zastosowanie do każdej aplikacji, w tym aplikacji innych firm, która wymaga autoryzacji użytkownika do korzystania z zakresów Google Cloud. Przekroczenie długości sesji może spowodować unieważnienie tokenów odświeżania powiązanych z tymi zakresami Google Cloud. Więcej informacji znajdziesz w artykule Ustawianie długości sesji dla usług Google Cloud.
- Ogólna kontrola sesji w usługach Google: administratorzy mogą też kontrolować czas trwania sesji w przeglądarce w przypadku usług takich jak Gmail w przeglądarce. Po wygaśnięciu sesji użytkownicy muszą się ponownie zalogować w interfejsie Google w przeglądarce. To ustawienie zazwyczaj nie unieważnia jednak tokenów odświeżania OAuth przyznanych aplikacjom innych firm na potrzeby dostępu do danych interfejsu API (np. interfejsów API Gmaila, Dysku lub Kalendarza), chyba że zakresy są powiązane z Google Cloud. Więcej informacji znajdziesz w artykule Ustawianie długości sesji dla usług Google.
- Kontrola dostępu aplikacji: administratorzy mogą blokować aplikacje, ograniczać ich dostęp do określonych usług lub całkowicie go cofać, co powoduje unieważnienie powiązanych tokenów odświeżania.
- Przekazywanie dostępu w całej domenie (DWD): DWD nie zmienia czasu życia tokena, umożliwia administratorom wstępne autoryzowanie aplikacji, pomijanie zgody użytkownika i bezpośrednie zarządzanie dostępem aplikacji do danych organizacji.
Powiąż projekt z organizacją
Jeśli jesteś użytkownikiem Google Workspace, zdecydowanie zalecamy utworzenie projektu deweloperskiego w zasobie organizacji na koncie Google Workspace lub Cloud Identity. Dzięki temu możesz korzystać z funkcji zarządzania w przedsiębiorstwie, takich jak ważne powiadomienia, kontrola dostępu i zarządzanie cyklem życia projektu, bez powiązania go z indywidualnym kontem dewelopera. W przeciwnym razie przeniesienie projektu na nowego właściciela może być w przyszłości trudne lub niemożliwe.
Podczas konfigurowania projektu deweloperskiego utwórz go w organizacji lub przenieś do niej swoje dotychczasowe projekty.