Cuando desarrolles y, luego, implementes aplicaciones que usen Google OAuth 2.0, es importante comprender los diferentes estados en los que puede estar una aplicación y cómo interactúan estos estados con los controles del administrador de Google Workspace. En esta página, se proporciona una descripción general de alto nivel de los estados de publicación de la app de OAuth, los tipos de usuarios y los requisitos de verificación.
Identifica el tipo de aplicación
Para comprender qué políticas y controles se aplican a tu proyecto, primero determina tu público objetivo:
- Apps para usar en cualquier lugar: Estas aplicaciones se dirigen al público más amplio posible, incluidos los titulares de Cuentas de Google individuales y los usuarios de organizaciones externas de Google Workspace. Se configuran como tipos de usuarios externos en la consola de Google Cloud. Para obtener más detalles, consulta Tipo de usuario: Externo.
- Apps para usar solo dentro de una organización de Google Workspace: Estas aplicaciones son privadas y están restringidas a los usuarios de tu propio dominio de Google Workspace. Los usuarios externos a tu organización no pueden acceder a ellas. Se configuran como tipos de usuarios internos. Tu aplicación y sus usuarios están sujetos a políticas administrativas a nivel de la organización, que pueden anular el comportamiento estándar de OAuth. Para obtener más detalles, consulta Tipo de usuario: Interno.
Comparación del comportamiento de la plataforma de Google OAuth
En la siguiente tabla, se describe cómo las diferentes configuraciones del estado de publicación, el tipo de usuario y el estado de verificación afectan el comportamiento y el acceso de la aplicación. Estos comportamientos se rigen por las políticas de verificación de OAuth y las reglas de vencimiento de tokens.
| Estado de la publicación | Tipo de usuario | ¿Se pueden usar usuarios de prueba? | Estado de verificación | Notas |
|---|---|---|---|---|
| N/A | Interno | No | N/A | Todos los usuarios de tu organización pueden acceder. No se requiere verificación. Es posible que la pantalla de consentimiento no muestre los permisos. Es útil para las apps solo internas. |
| Prueba | Externo | Sí | N/A | Solo los usuarios agregados de forma explícita a la lista de usuarios permitidos de prueba pueden acceder a la app (limitado a un límite máximo de 100 usuarios de prueba). Excepción: Si la app solo solicita permisos de identidad básicos (openid, email, profile), cualquier usuario puede acceder sin estar en la lista de usuarios permitidos. Los usuarios ven una IU de advertencia que indica que la app está en prueba, en lugar de la pantalla estándar de app sin verificar. Nota: Los usuarios de la organización no están exentos de estos requisitos de prueba, a menos que el tipo de usuario de la app esté configurado como Interno. Es útil para el desarrollo y las pruebas. |
| Publicado | Externo | No | Sin verificar | Cualquier usuario de Google puede acceder. No se recomienda. Debido a que la app no completó la verificación de la marca, su nombre y logotipo no se muestran en la pantalla de consentimiento. Además, para las apps que solicitan permisos sensibles o restringidos, se mostrarán a los usuarios advertencias de apps sin verificar (IU de peligro) y se aplicará un límite máximo de 100 usuarios en total. |
| Publicado | Externo | No | Verificado | Cualquier usuario de Google puede acceder. Es obligatorio para las apps públicas que solicitan permisos sensibles y restringidos. El nombre, el logotipo y los permisos de la app se muestran en la pantalla de consentimiento sin advertencias (una vez que se verifican la marca y los permisos). |
Anulaciones administrativas en entornos de Google Workspace
Los administradores de Google Workspace tienen un control significativo sobre la forma en que las apps de OAuth acceden a los datos de su organización, independientemente de la configuración de la app en la consola de Google Cloud. Estos controles se administran en la Consola del administrador de Google Workspace en Controles de API.
- Control universal: Los administradores de Google Workspace siempre pueden bloquear cualquier app de OAuth, ya sea interna o externa, en prueba o publicada, o verificada o sin verificar, lo que impide que sus usuarios la autoricen.
- Apps internas: Por lo general, se confía en ellas de forma implícita dentro de la organización de Google Workspace, en especial si el administrador habilita la opción "Confiar en las apps internas que pertenecen al dominio". Sin embargo, los administradores aún pueden aplicar etiquetas como Confiable, Limitado o Bloqueado para ajustar el acceso. También se puede configurar la delegación en todo el dominio (DWD) para omitir el consentimiento del usuario para permisos específicos.
- Apps externas:
- Sin verificar: Es poco probable que los administradores confíen en ellas, y es posible que estén bloqueadas o limitadas. Si bien un administrador puede marcar una aplicación externa sin verificar como "Confiable" para su dominio, por lo general, no se recomienda.
- Verificado: La verificación de Google genera confianza, pero los administradores de Google Workspace aún tienen control total. El estado "Verificado" no anula la configuración del administrador de Google Workspace. Los administradores pueden marcar la app como Confiable (omitiendo algunas restricciones de permisos establecidas por el administrador), Limitado (sujeto a restricciones de servicio) o Bloqueado.
Anulación del estado "Confiable": Cuando un administrador de Google Workspace marca una app como Confiable, se trata como una aplicación interna para esa organización. Este estado anula ciertas limitaciones estándar de OAuth para los usuarios de la organización, como el límite de 100 usuarios de prueba y el límite de vencimiento de 7 días del token de actualización para las apps en estado Prueba.
En esencia, el proceso de verificación de Google es un indicador de cumplimiento general de las políticas, pero el administrador de Google Workspace tiene la autoridad final sobre si una app puede acceder a los datos de su organización.
Próximos pasos
Para obtener información más detallada sobre cómo preparar tu app para la producción y abordar consideraciones específicas de Google Workspace, consulta los siguientes recursos: