앱이 외부 사용자 유형을 타겟팅하는 경우 Google Workspace 조직에서 관리하는 Google 계정을 포함하여 최대한 많은 Google 계정 사용자를 대상으로 하는 것이 좋습니다.
Google Workspace 관리자는 API 액세스 제어를 사용하여 고객 소유 또는 서드 파티 애플리케이션과 서비스 계정의 Google Workspace API 액세스를 사용 설정하거나 제한할 수 있습니다. 이 기능을 사용하면 Google Workspace 관리자가 조직에서 신뢰하는 OAuth 클라이언트 ID에만 액세스를 제한할 수 있으므로 Google 서비스에 대한 서드 파티 액세스와 관련된 위험을 줄일 수 있습니다.
최대한 많은 Google 계정 사용자를 대상으로 하고 신뢰를 구축하려면 다음을 권장합니다.
- Google에 인증을 위해 앱을 제출합니다. 해당하는 경우 브랜드 인증뿐만 아니라 민감한 범위 및 제한된 범위 인증을 위해 앱을 제출해야 합니다. Google Workspace 관리자는 앱의 인증된 상태를 볼 수 있으며 Google에서 인증한 앱을 인증되지 않은 앱이나 알 수 없는 상태의 앱보다 더 신뢰할 수 있습니다.
- Google Workspace 관리자는 앱의 OAuth 클라이언트 ID에 제한된 서비스 및 그 내의 위험도가 높은 범위에 대한 액세스 권한을 부여할 수 있습니다. 도움말 문서에 앱의 OAuth 클라이언트 ID를 포함하면 Google Workspace 관리자와 조직 내에서 앱을 옹호하는 사용자에게 앱에 대한 액세스 권한을 부여하는 데 필요한 정보를 제공할 수 있습니다. 또한 앱이 조직의 데이터에 액세스하기 전에 필요한 구성 변경사항을 파악하는 데 도움이 될 수 있습니다.
- OAuth 동의 화면 페이지를 구성할 때 제공하는 사용자 지원 이메일 주소를 정기적으로 모니터링합니다. Google Workspace 관리자는 앱의 액세스를 검토할 때 이 이메일 주소를 볼 수 있으며 가능한 질문과 우려사항을 문의할 수 있습니다.
Google Workspace 관리자 제어가 토큰 유효성에 미치는 영향
Google Workspace 관리자는 OAuth 토큰의 유효성과 수명에 간접적으로 영향을 미치는 여러 제어를 구현할 수 있습니다.
- Google Cloud 세션 제어: Google Workspace 관리자는 Google Cloud 서비스 (예: Google Cloud 콘솔, gcloud CLI)의 세션 길이를 설정할 수 있습니다. 이 설정 은 서드 파티 앱을 포함하여 Google Cloud 범위에 대한 사용자 승인이 필요한 모든 애플리케이션에 적용됩니다. 이 세션 길이를 초과하면 이러한 Google Cloud 범위와 연결된 갱신 토큰이 무효화될 수 있습니다. 자세한 내용은 Google Cloud 서비스의 세션 길이 설정을 참고하세요.
- 일반 Google 서비스 세션 제어: 관리자는 웹용 Gmail과 같은 서비스의 웹 세션 기간을 제어할 수도 있습니다. 이렇게 하면 세션이 만료된 후 사용자가 Google 웹 인터페이스에 다시 로그인해야 합니다. 그러나 범위가 특히 Google Cloud와 관련되지 않는 한 이 제어는 일반적으로 API 데이터 (예: Gmail, Drive 또는 Calendar API)에 액세스하기 위해 서드 파티 애플리케이션에 부여된 OAuth 갱신 토큰을 무효화하지 않습니다. 자세한 내용은 Google 서비스의 세션 길이 설정을 참고하세요.
- 앱 액세스 제어: 관리자는 앱을 차단하거나 특정 서비스에 대한 액세스를 제한하거나 액세스 권한을 완전히 취소하여 연결된 갱신 토큰을 무효화할 수 있습니다.
- 도메인 전체 위임 (DWD): DWD는 토큰 수명을 변경하지 않지만 관리자가 사용자 동의를 우회하고 조직 데이터에 대한 앱의 액세스를 직접 관리하여 앱을 사전 승인할 수 있습니다.
프로젝트를 조직과 연결
Google Workspace 사용자인 경우 개발자 프로젝트를 Google Workspace 또는 Cloud ID 계정 내의 조직 리소스 내에서 만드는 것이 좋습니다. 이렇게 하면 개별 개발자 계정에 연결하지 않고도 중요한 알림, 액세스 제어, 프로젝트 수명 주기 관리와 같은 엔터프라이즈 관리 기능을 사용할 수 있습니다. 그렇지 않으면 나중에 새 소유자에게 이전하기 어려울 수 있습니다 (또는 불가능할 수 있음)
개발자 프로젝트를 설정할 때, 조직에서 프로젝트를 만들거나 또는 기존 프로젝트를 조직으로 이전합니다.