如果應用程式的目標是外部使用者類型,您可能希望盡可能觸及更多 Google 帳戶,包括由 Google Workspace 機構管理的 Google 帳戶。
Google Workspace 管理員可以使用 API 存取控制選項,啟用或限制客戶和第三方的應用程式及服務帳戶對於 Google Workspace API 的存取權。Google Workspace 管理員可透過這項功能,限制只有機構信任的 OAuth 用戶端 ID 才能存取,藉此降低第三方存取 Google 服務的相關風險。
為盡可能觸及最多 Google 帳戶使用者,並建立信任感,建議您採取下列做法:
- 將應用程式送交 Google 驗證。如適用,您必須將應用程式送交品牌驗證,以及機密和受限制範圍驗證。Google Workspace 管理員可以查看應用程式的驗證狀態,他們可能會信任 Google 驗證過的應用程式,而非狀態為「未驗證」或不明的應用程式。
- Google Workspace 管理員可授予應用程式的 OAuth 用戶端 ID 存取受限制服務和高風險範圍的權限。如果您在說明文件中加入應用程式的 OAuth 用戶端 ID,就能為 Google Workspace 管理員和貴機構的應用程式擁護者提供必要資訊,讓他們授予應用程式存取權。此外,他們也能瞭解應用程式存取機構資料前可能需要進行哪些設定變更。
- 請定期監控您在設定 OAuth 同意畫面頁面時提供的使用者支援電子郵件地址。Google Workspace 管理員在審查應用程式存取權時,可以查看這個電子郵件地址,並可能與您聯絡,詢問相關問題和疑慮。
Google Workspace 管理員控制項對權杖有效性的影響
Google Workspace 管理員可以實作多項控制項,間接影響 OAuth 權杖的有效性和生命週期。
- Google Cloud 工作階段控制設定:Google Workspace 管理員可以設定 Google Cloud 服務 (例如 Google Cloud 控制台、gcloud CLI) 的工作階段長度。這項設定適用於所有需要使用者授權 Google Cloud 範圍的應用程式,包括第三方應用程式。如果超過這個工作階段長度,與這些 Google Cloud 範圍相關聯的重新整理權杖可能會失效。詳情請參閱「設定 Google Cloud 服務的工作階段長度」。
- 一般 Google 服務工作階段控制項:管理員也可以控管 Gmail 網頁版等服務的網路工作階段持續時間。這樣一來,工作階段過期後,使用者就必須重新登入 Google 網頁介面。不過,除非範圍與 Google Cloud 相關,否則這項控制選項通常不會使授予第三方應用程式的 OAuth 重新整理權杖失效,第三方應用程式仍可存取 API 資料 (例如 Gmail、雲端硬碟或 Google 日曆 API)。詳情請參閱「設定 Google 服務的工作階段時間長度」一文。
- 應用程式存取權控制項:管理員可以封鎖應用程式、限制應用程式存取特定服務,或完全撤銷存取權,使相關聯的重新整理權杖失效。
- 全網域委派 (DWD):全網域委派不會變更權杖生命週期,但可讓管理員預先授權應用程式,略過使用者同意程序,直接管理應用程式對機構資料的存取權。
將專案與機構建立關聯
如果您是 Google Workspace 使用者,強烈建議您在 Google Workspace 或 Cloud Identity 帳戶的機構資源中建立開發人員專案。這樣一來,您就能使用企業管理功能,例如重要通知、存取控管和專案生命週期管理,不必將其連結至個別開發人員帳戶。否則日後可能難以 (或無法) 轉移給新擁有者。
設定開發人員專案時,請在機構中建立專案,或將現有專案遷移至機構。