Beim Entwickeln und Bereitstellen von Anwendungen, die Google OAuth 2.0 verwenden, ist es wichtig, die verschiedenen Status zu kennen, in denen sich eine Anwendung befinden kann, und zu wissen, wie diese Status mit den Steuerelementen für Google Workspace-Administratoren interagieren. Auf dieser Seite finden Sie eine allgemeine Übersicht über die Veröffentlichungsstatus von OAuth-Apps, Nutzertypen und Überprüfungsanforderungen.
Anwendungstyp ermitteln
Um herauszufinden, welche Richtlinien und Kontrollen für Ihr Projekt gelten, müssen Sie zuerst Ihre Zielgruppe bestimmen:
- Apps für die Verwendung überall:Diese Anwendungen richten sich an ein möglichst breites Publikum, einschließlich einzelner Google-Kontoinhaber und Nutzer in externen Google Workspace-Organisationen. Diese werden in der Google Cloud Console als Externe Nutzertypen konfiguriert. Weitere Informationen finden Sie unter Nutzertyp: Extern.
- Apps, die nur innerhalb einer Google Workspace-Organisation verwendet werden dürfen:Diese Anwendungen sind privat und auf Nutzer in Ihrer eigenen Google Workspace-Domain beschränkt. Sie sind für Nutzer außerhalb Ihrer Organisation nicht zugänglich. Diese sind als interne Nutzertypen konfiguriert. Ihre Anwendung und ihre Nutzer unterliegen administrativen Richtlinien auf Organisationsebene, die das standardmäßige OAuth-Verhalten überschreiben können. Weitere Informationen finden Sie unter Nutzertyp: Intern.
Vergleich des Verhaltens der Google OAuth-Plattform
In der folgenden Tabelle wird beschrieben, wie sich verschiedene Konfigurationen von Veröffentlichungsstatus, Nutzertyp und Bestätigungsstatus auf das Verhalten und den Zugriff der Anwendung auswirken. Diese Verhaltensweisen unterliegen den OAuth-Verifizierungsrichtlinien und den Regeln zum Ablauf von Tokens.
| Veröffentlichungsstatus | Nutzertyp | Testnutzer anwendbar? | Bestätigungsstatus | Hinweise |
|---|---|---|---|---|
| – | Intern | Nein | – | Alle Nutzer in Ihrer Organisation können darauf zugreifen. Eine Bestätigung ist nicht erforderlich. Auf dem Einwilligungsbildschirm dürfen keine Bereiche aufgeführt sein. Nützlich für Apps, die nur intern verwendet werden. |
| Test | Extern | Ja | – | Nur Nutzer, die explizit auf die Zulassungsliste für Testnutzer gesetzt wurden, können auf die App zugreifen. Die Anzahl der Testnutzer ist auf 100 begrenzt. Ausnahme: Wenn die App nur grundlegende Identitätsbereiche (openid, email, profile) anfordert, kann jeder Nutzer darauf zugreifen, ohne auf der Zulassungsliste zu stehen. Nutzern wird eine Warnung angezeigt, dass sich die App in der Testphase befindet, anstatt des Standardbildschirms für nicht überprüfte Apps. Hinweis: Organisationsnutzer sind von diesen Testanforderungen nicht ausgenommen, es sei denn, der Nutzertyp der App ist auf Intern festgelegt. Nützlich für Entwicklung und Tests. |
| Veröffentlicht | Extern | Nein | Nicht überprüft | Jeder Google-Nutzer kann darauf zugreifen. Wird dringend abgeraten. Da die Markenbestätigung für die App noch nicht abgeschlossen ist, werden der Name und das Logo der App nicht auf dem Zustimmungsbildschirm angezeigt. Außerdem werden Nutzern, die sensible oder eingeschränkte Bereiche anfordern, Warnungen für nicht überprüfte Apps (Gefahren-UI) angezeigt. Außerdem gilt eine Obergrenze von insgesamt 100 Nutzern. |
| Veröffentlicht | Extern | Nein | Bestätigt | Jeder Google-Nutzer kann darauf zugreifen. Erforderlich für öffentliche Apps, die vertrauliche und eingeschränkte Bereiche anfordern. App-Name, Logo und Bereiche werden auf dem Zustimmungsbildschirm ohne Warnungen angezeigt, sobald Marke und Bereiche verifiziert wurden. |
Administrative Überschreibungen in Google Workspace-Umgebungen
Google Workspace-Administratoren haben erhebliche Kontrolle darüber, wie OAuth-Apps auf die Daten ihrer Organisation zugreifen, unabhängig von den Einstellungen der App in der Google Cloud Console. Diese Einstellungen werden in der Admin-Konsole von Google Workspace unter API-Steuerung verwaltet.
- Universelle Steuerung:Google Workspace-Administratoren können OAuth-Apps immer blockieren, unabhängig davon, ob sie intern oder extern, in der Testphase oder veröffentlicht, überprüft oder nicht überprüft sind. Dadurch wird verhindert, dass Nutzer sie autorisieren.
- Interne Apps:Diese werden in der Google Workspace-Organisation oft implizit als vertrauenswürdig eingestuft, insbesondere wenn der Administrator „Internen Apps der Domain vertrauen“ aktiviert. Administratoren können jedoch weiterhin Labels wie „Vertrauenswürdig“, „Eingeschränkt“ oder „Blockiert“ anwenden, um den Zugriff zu optimieren. Die domainweite Delegation (Domain-Wide Delegation, DWD) kann auch so konfiguriert werden, dass die Nutzereinwilligung für bestimmte Bereiche umgangen wird.
- Externe Apps:
- Nicht bestätigt:Administratoren vertrauen diesen Apps wahrscheinlich nicht und sie werden möglicherweise blockiert oder eingeschränkt. Ein Administrator kann eine nicht bestätigte externe App zwar als „vertrauenswürdig“ für seine Domain kennzeichnen, dies wird jedoch im Allgemeinen nicht empfohlen.
- Bestätigt:Die Google-Bestätigung schafft Vertrauen, aber Google Workspace-Administratoren haben weiterhin die volle Kontrolle. Der Status „Bestätigt“ überschreibt nicht die Einstellungen des Google Workspace-Administrators. Administratoren können die App als Vertrauenswürdig (umgehen einiger vom Administrator festgelegter Bereichseinschränkungen), Eingeschränkt (unterliegt Dienstbeschränkungen) oder Blockiert kennzeichnen.
Überschreiben des Status „Vertrauenswürdig“:Wenn ein Google Workspace-Administrator eine App als vertrauenswürdig markiert, wird sie für diese Organisation als interne Anwendung behandelt. Mit diesem Status werden bestimmte standardmäßige OAuth-Einschränkungen für die Nutzer der Organisation überschrieben, z. B. die Beschränkung auf 100 Testnutzer und das Ablaufdatum für Aktualisierungstokens von 7 Tagen für Apps im Status Wird getestet.
Im Wesentlichen ist der Google-Bestätigungsprozess ein Signal für die allgemeine Richtlinienkonformität. Der Google Workspace-Administrator hat jedoch die letztendliche Entscheidung darüber, ob eine App auf die Daten seiner Organisation zugreifen darf.
Nächste Schritte
Detailliertere Informationen zur Vorbereitung Ihrer App für die Produktion und zum Umgang mit Google Workspace-spezifischen Aspekten finden Sie in den folgenden Ressourcen: