هنگام توسعه و استقرار برنامههایی که از Google OAuth 2.0 استفاده میکنند، درک وضعیتهای مختلفی که یک برنامه میتواند در آن باشد و نحوه تعامل این وضعیتها با کنترلهای مدیر Google Workspace بسیار مهم است. این صفحه یک مرور کلی سطح بالا از وضعیتهای انتشار برنامه OAuth، انواع کاربر و الزامات تأیید را ارائه میدهد.
نوع درخواست خود را مشخص کنید
برای درک اینکه کدام سیاستها و کنترلها برای پروژه شما اعمال میشود، ابتدا مخاطب مورد نظر خود را تعیین کنید:
- برنامههای کاربردی برای استفاده در هر مکانی: این برنامهها وسیعترین مخاطبان ممکن، از جمله دارندگان حساب گوگل و کاربران درون سازمانهای خارجی Google Workspace را هدف قرار میدهند. این برنامهها به عنوان نوع کاربر خارجی در کنسول Google Cloud پیکربندی شدهاند. برای جزئیات بیشتر، به نوع کاربر: خارجی مراجعه کنید.
- برنامههایی که فقط در داخل یک سازمان Google Workspace استفاده میشوند: این برنامهها خصوصی هستند و محدود به کاربران داخل دامنه Google Workspace شما میباشند. کاربران خارج از سازمان شما به آنها دسترسی ندارند. این برنامهها به عنوان نوع کاربر داخلی پیکربندی شدهاند. برنامه شما و کاربران آن تابع سیاستهای مدیریتی سطح سازمان هستند که میتوانند رفتار استاندارد OAuth را لغو کنند. برای جزئیات بیشتر، به نوع کاربر: داخلی مراجعه کنید.
مقایسه رفتار پلتفرم OAuth گوگل
جدول زیر نشان میدهد که چگونه پیکربندیهای مختلف وضعیت انتشار، نوع کاربر و وضعیت تأیید، بر رفتار و دسترسی برنامه تأثیر میگذارند. این رفتارها توسط سیاستهای تأیید OAuth و قوانین انقضای توکن اداره میشوند.
| وضعیت انتشار | نوع کاربر | کاربران آزمایشی قابل اجرا هستند؟ | وضعیت تأیید | یادداشتها |
|---|---|---|---|---|
| ناموجود | داخلی | خیر | ناموجود | همه کاربران درون سازمان شما میتوانند دسترسی داشته باشند. تأیید لازم نیست. صفحه رضایت ممکن است محدودهها را فهرست نکند. برای برنامههای داخلی مفید است. |
| آزمایش | خارجی | بله | ناموجود | فقط کاربرانی که صریحاً به لیست مجاز کاربران آزمایشی اضافه شدهاند میتوانند به برنامه دسترسی داشته باشند (محدود به سقف ۱۰۰ کاربر آزمایشی). استثنا: اگر برنامه فقط محدودههای هویت اولیه ( openid ، email ، profile ) را درخواست کند، هر کاربری میتواند بدون قرار گرفتن در لیست مجاز، به آن دسترسی داشته باشد. کاربران به جای صفحه استاندارد برنامه که تأیید نشده است، یک رابط کاربری هشدار دهنده مبنی بر در حال آزمایش بودن برنامه میبینند. توجه: کاربران سازمانی از این الزامات آزمایش معاف نیستند، مگر اینکه نوع کاربر برنامه روی داخلی تنظیم شده باشد. برای توسعه و آزمایش مفید است. |
| منتشر شده | خارجی | خیر | تایید نشده | هر کاربر گوگل میتواند به آن دسترسی داشته باشد. اکیداً توصیه نمیشود. از آنجا که برنامه تأیید برند را تکمیل نکرده است، نام و لوگوی برنامه در صفحه رضایت نمایش داده نمیشود. علاوه بر این، برای برنامههایی که درخواست محدودههای حساس یا محدود دارند، هشدارهای برنامه تأیید نشده (رابط کاربری خطرناک) به کاربران نمایش داده میشود و محدودیت ۱۰۰ کاربر اعمال میشود. |
| منتشر شده | خارجی | خیر | تأیید شده | هر کاربر گوگل میتواند دسترسی داشته باشد. برای برنامههای عمومی که درخواست محدودههای حساس و محدود دارند، الزامی است. نام، لوگو و محدودههای برنامه بدون هشدار (پس از تأیید برند و محدودهها) در صفحه رضایت نشان داده میشوند. |
لغوهای مدیریتی در محیطهای Google Workspace
مدیران Google Workspace صرف نظر از تنظیمات برنامه در کنسول Google Cloud، کنترل قابل توجهی بر نحوه دسترسی برنامههای OAuth به دادههای سازمان خود دارند. این کنترلها در کنسول مدیریت Google Workspace تحت API Controls مدیریت میشوند.
- کنترل جهانی: مدیران Google Workspace همیشه میتوانند هر برنامه OAuth را، چه داخلی باشد چه خارجی، در حال آزمایش یا منتشر شده، چه تأیید شده باشد چه تأیید نشده، مسدود کنند و از تأیید آن توسط کاربران خود جلوگیری کنند.
- برنامههای داخلی: این برنامهها اغلب به طور ضمنی در سازمان Google Workspace مورد اعتماد هستند، به خصوص اگر مدیر "اعتماد به برنامههای داخلی و متعلق به دامنه" را فعال کند. با این حال، مدیران همچنان میتوانند برچسبهایی مانند Trusted، Limited یا Blocked را برای تنظیم دقیق دسترسی اعمال کنند. Domain-wide Delegation (DWD) را نیز میتوان طوری پیکربندی کرد که رضایت کاربر را برای محدودههای خاص دور بزند.
- برنامههای خارجی:
- تأیید نشده: بعید است مدیران به این موارد اعتماد کنند و ممکن است مسدود یا محدود شوند. اگرچه یک مدیر میتواند یک برنامه خارجی تأیید نشده را برای دامنه خود به عنوان "مورد اعتماد" علامتگذاری کند، اما عموماً این کار توصیه نمیشود.
- تأیید شده: تأیید گوگل باعث ایجاد اعتماد میشود، اما مدیران Google Workspace همچنان کنترل کامل را در اختیار دارند. وضعیت «تأیید شده» تنظیمات مدیر Google Workspace را لغو نمیکند . مدیران میتوانند برنامه را به عنوان «قابل اعتماد » (با دور زدن برخی از محدودیتهای دامنه تعیین شده توسط مدیر)، «محدود» (منوط به محدودیتهای سرویس) یا «مسدود» علامتگذاری کنند.
لغو وضعیت «مورد اعتماد»: وقتی مدیر Google Workspace برنامهای را به عنوان «مورد اعتماد» علامتگذاری میکند، آن برنامه به عنوان یک برنامه داخلی برای آن سازمان در نظر گرفته میشود. این وضعیت، محدودیتهای استاندارد OAuth را برای کاربران سازمان، مانند محدودیت ۱۰۰ کاربر آزمایشی و محدودیت انقضای توکن بهروزرسانی ۷ روزه برای برنامههایی که در وضعیت «در حال آزمایش» هستند، لغو میکند.
در اصل، فرآیند تأیید گوگل نشانهای از انطباق با سیاستهای کلی است، اما مدیر Google Workspace اختیار نهایی در مورد دسترسی یک برنامه به دادههای سازمان خود را دارد.
مراحل بعدی
برای اطلاعات بیشتر در مورد آمادهسازی برنامه خود برای تولید و رسیدگی به ملاحظات خاص Google Workspace، به منابع زیر مراجعه کنید: