عند تطوير التطبيقات التي تستخدم بروتوكول Google OAuth 2.0 ونشرها، من المهم فهم الحالات المختلفة التي يمكن أن يكون عليها التطبيق وكيفية تفاعُل هذه الحالات مع عناصر التحكّم الخاصة بمشرف حسابات Google Workspace. تقدّم هذه الصفحة نظرة عامة عالية المستوى على حالات نشر تطبيقات OAuth وأنواع المستخدمين ومتطلبات التحقّق.
تحديد نوع تطبيقك
لفهم السياسات وعناصر التحكّم التي تنطبق على مشروعك، حدِّد أولاً جمهورك المستهدَف:
- التطبيقات التي يمكن استخدامها في أي مكان: تستهدف هذه التطبيقات أوسع شريحة ممكنة من الجمهور، بما في ذلك مالكو حسابات Google الفردية والمستخدمون في مؤسسات Google Workspace الخارجية. يتم ضبط هذه التطبيقات على أنّها أنواع مستخدمين خارجيين في Google Cloud Console. لمزيد من التفاصيل، يُرجى الاطّلاع على نوع المستخدم: خارجي.
- التطبيقات التي يمكن استخدامها داخل مؤسسة Google Workspace فقط: هذه التطبيقات خاصة ومقتصرة على المستخدمين ضمن نطاق Google Workspace الخاص بك. ولا يمكن للمستخدمين خارج مؤسستك الوصول إليها. يتم ضبط هذه التطبيقات على أنّها أنواع مستخدمين داخليين. يخضع تطبيقك ومستخدموه لـ سياسات إدارية على مستوى المؤسسة، ويمكن أن تلغي هذه السياسات السلوك العادي لبروتوكول OAuth. لمزيد من التفاصيل، يُرجى الاطّلاع على نوع المستخدم: داخلي.
مقارنة سلوك منصة Google OAuth
يوضّح الجدول التالي كيف تؤثر الإعدادات المختلفة لحالة النشر ونوع المستخدم و حالة التحقّق في سلوك التطبيق وإمكانية الوصول إليه. ويخضع هذا السلوك لـ سياسات التحقّق من بروتوكول OAuth و قواعد انتهاء صلاحية الرموز المميزة.
| حالة النشر | نوع المستخدِم | هل ينطبق ذلك على المستخدمين التجريبيين؟ | وضع التحقق | ملاحظات |
|---|---|---|---|---|
| لا ينطبق | داخلي | لا | لا ينطبق | يمكن لجميع المستخدمين داخل مؤسستك الوصول إلى التطبيق. ولا يلزم التحقّق منه. قد لا تعرض شاشة طلب الموافقة النطاقات. يفيد ذلك في التطبيقات الداخلية فقط. |
| الاختبار | المصادر الخارجية | نعم | لا ينطبق | لا يمكن الوصول إلى التطبيق إلا للمستخدمين الذين تمت إضافتهم بشكلٍ صريح إلى القائمة المسموح بها للمستخدمين التجريبيين (بحد أقصى 100 مستخدم تجريبي). استثناء: إذا كان التطبيق يطلب نطاقات الهوية الأساسية فقط (openid وemail وprofile)، يمكن لأي مستخدم الوصول إليه بدون أن يكون مدرَجًا في القائمة المسموح بها. يرى المستخدمون واجهة مستخدم تحذيرية تشير إلى أنّ التطبيق قيد الاختبار، بدلاً من شاشة التطبيق العادية التي لم يتم التحقّق منها. ملاحظة: لا يتم إعفاء مستخدمي المؤسسة من متطلبات الاختبار هذه ما لم يتم ضبط "نوع المستخدم" في التطبيق على داخلي. يفيد ذلك في التطوير والاختبار. |
| تم النشر | المصادر الخارجية | لا | لم يتمّ التحقّق منها | يمكن لأي مستخدم على Google الوصول إلى التطبيق. لا يُنصح بذلك بشدة لأنّه لم يتم التحقّق من العلامة التجارية للتطبيق، لا يظهر اسم التطبيق وشعاره على شاشة طلب الموافقة. بالإضافة إلى ذلك، بالنسبة إلى التطبيقات التي تطلب نطاقات حسّاسة أو محظورة، ستظهر للمستخدمين تحذيرات التطبيقات التي لم يتم التحقّق منها (واجهة مستخدم التحذير)، ويتم تطبيق حد أقصى يبلغ 100 مستخدم إجمالي. |
| تم النشر | المصادر الخارجية | لا | تم التحقق منه | يمكن لأي مستخدم على Google الوصول إلى التطبيق. هذا الإجراء مطلوب للتطبيقات العامة التي تطلب نطاقات حسّاسة ومحظورة. يظهر اسم التطبيق وشعاره ونطاقاته على شاشة طلب الموافقة بدون تحذيرات (بعد التحقّق من العلامة التجارية والنطاقات). |
الإعدادات الإدارية التي تلغي الإعدادات التلقائية في بيئات Google Workspace
يتمتع مشرفو Google Workspace بإمكانية تحكّم كبيرة في كيفية وصول تطبيقات OAuth إلى بيانات مؤسستهم ، بغض النظر عن إعدادات التطبيق في Google Cloud Console. تتم إدارة عناصر التحكّم هذه في "وحدة تحكّم المشرف في Google Workspace" ضمن عناصر التحكّم في واجهة برمجة التطبيقات.
- عنصر التحكّم الشامل: يمكن لمشرفي Google Workspace في أي وقت حظر أي تطبيق OAuth، سواء كان داخليًا أو خارجيًا أو قيد الاختبار أو تم نشره أو تم التحقّق منه أو لم يتم التحقّق منه، ما يمنع المستخدمين من منحه الإذن.
- التطبيقات الداخلية: غالبًا ما يتم الوثوق بها ضمنيًا داخل مؤسسة Google Workspace خاصةً إذا فعّل المشرف خيار "الوثوق بالتطبيقات الداخلية المملوكة للنطاق". ومع ذلك، لا يزال بإمكان المشرفين تطبيق تصنيفات مثل "موثوق به" أو "محدود" أو "محظور" لضبط إمكانية الوصول بدقة يمكن أيضًا إعداد ميزة "تفويض على مستوى النطاق (DWD)" لتجاوز موافقة المستخدم على نطاقات معيّنة.
- التطبيقات الخارجية:
- لم يتمّ التحقّق منها: من غير المرجّح أن يثق المشرفون بهذه التطبيقات وقد يتم حظرها أو تقييدها. على الرغم من أنّه يمكن للمشرف وضع علامة "موثوق به" على تطبيق خارجي لم يتم التحقّق منه لنطاقه، لا يُنصح بذلك بشكل عام.
- تم التحقق منه: يعزّز التحقّق من Google الثقة، ولكن لا يزال بإمكان مشرفي Google Workspace التحكّم بشكل كامل. لا تلغي الحالة "تم التحقّق منه" إعدادات مشرف Google Workspace. يمكن للمشرفين وضع علامة على التطبيق على أنه موثوق به (ما يؤدي إلى تجاوز بعض القيود التي يفرضها المشرف على النطاقات) أو محدود (يخضع لقيود الخدمة) أو محظور.
تجاوز الحالة "موثوق به": عندما يضع مشرف حسابات Google Workspace علامة موثوق به على تطبيق، يتم التعامل معه على أنّه تطبيق داخلي لتلك المؤسسة. تلغي هذه الحالة بعض القيود العادية لبروتوكول OAuth لمستخدمي المؤسسة، مثل الحد الأقصى لعدد المستخدمين التجريبيين (100 مستخدم) والحد الأقصى لانتهاء صلاحية الرمز المميز لإعادة التحميل (7 أيام) للتطبيقات في الحالة الاختبار.
باختصار، إنّ عملية التحقّق من Google هي إشارة إلى الامتثال العام للسياسة، ولكن يتمتع مشرف حسابات Google Workspace بالسلطة النهائية بشأن ما إذا كان بإمكان التطبيق الوصول إلى بيانات مؤسسته.
الخطوات التالية
لمزيد من المعلومات التفصيلية حول إعداد تطبيقك للإنتاج والتعامل مع الاعتبارات الخاصة بـ Google Workspace، يُرجى الاطّلاع على المَراجع التالية: