Saat mengembangkan dan men-deploy aplikasi yang menggunakan Google OAuth 2.0, penting untuk memahami berbagai status yang dapat dimiliki aplikasi dan bagaimana status ini berinteraksi dengan kontrol administrator Google Workspace. Halaman ini memberikan ringkasan tingkat tinggi tentang status publikasi aplikasi OAuth, jenis pengguna, dan persyaratan verifikasi.
Mengidentifikasi jenis aplikasi Anda
Untuk memahami kebijakan dan kontrol yang berlaku untuk project Anda, tentukan terlebih dahulu target audiens Anda:
- Aplikasi untuk digunakan di mana saja: Aplikasi ini menargetkan audiens seluas mungkin termasuk pemegang Akun Google perorangan dan pengguna dalam organisasi Google Workspace eksternal. Aplikasi ini dikonfigurasi sebagai jenis pengguna Eksternal di Konsol Google Cloud. Untuk mengetahui detail selengkapnya, lihat Jenis pengguna: Eksternal.
- Aplikasi untuk digunakan di dalam organisasi Google Workspace saja: Aplikasi ini bersifat pribadi dan dibatasi untuk pengguna dalam domain Google Workspace Anda sendiri. Aplikasi ini tidak dapat diakses oleh pengguna di luar organisasi Anda. Aplikasi ini dikonfigurasi sebagai jenis pengguna Internal. Aplikasi Anda dan penggunanya tunduk pada kebijakan administratif tingkat organisasi, yang dapat mengganti perilaku OAuth standar. Untuk mengetahui detail selengkapnya, lihat Jenis pengguna: Internal.
Perbandingan perilaku Platform Google OAuth
Tabel berikut menguraikan pengaruh berbagai konfigurasi status publikasi, jenis pengguna, dan status verifikasi terhadap perilaku dan akses aplikasi. Perilaku ini diatur oleh kebijakan verifikasi OAuth dan aturan masa berlaku token.
| Status Publikasi | Jenis Pengguna | Pengguna Pengujian Berlaku? | Status Verifikasi | Catatan |
|---|---|---|---|---|
| T/A | Internal | Tidak | T/A | Semua pengguna dalam organisasi Anda dapat mengakses. Verifikasi tidak diperlukan. Layar izin mungkin tidak mencantumkan cakupan. Berguna untuk aplikasi khusus internal. |
| Pengujian | Eksternal | Ya | T/A | Hanya pengguna yang secara eksplisit ditambahkan ke daftar yang diizinkan pengguna pengujian yang dapat mengakses aplikasi (dibatasi hingga batas maksimum 100 pengguna pengujian). Pengecualian: Jika aplikasi hanya meminta cakupan identitas dasar (openid, email, profile), pengguna mana pun dapat mengakses tanpa berada dalam daftar yang diizinkan. Pengguna akan melihat UI peringatan yang menunjukkan bahwa aplikasi sedang dalam pengujian, bukan layar aplikasi yang belum diverifikasi standar. Catatan: Pengguna organisasi tidak dikecualikan dari persyaratan pengujian ini kecuali jika Jenis Pengguna aplikasi ditetapkan ke Internal. Berguna untuk pengembangan dan pengujian. |
| Dipublikasikan | Eksternal | Tidak | Belum diverifikasi | Semua pengguna Google dapat mengakses. Sangat tidak disarankan. Karena aplikasi belum menyelesaikan verifikasi merek, nama dan logo aplikasi tidak ditampilkan di layar izin. Selain itu, untuk aplikasi yang meminta cakupan sensitif atau dibatasi, peringatan aplikasi yang belum diverifikasi (UI Bahaya) akan ditampilkan kepada pengguna, dan batas maksimum 100 total pengguna akan berlaku. |
| Dipublikasikan | Eksternal | Tidak | Terverifikasi | Semua pengguna Google dapat mengakses. Diperlukan untuk aplikasi publik yang meminta cakupan sensitif dan dibatasi. Nama, logo, dan cakupan aplikasi ditampilkan di layar izin tanpa peringatan (setelah merek dan cakupan diverifikasi). |
Penggantian administratif di lingkungan Google Workspace
Administrator Google Workspace memiliki kontrol yang signifikan atas cara aplikasi OAuth mengakses data organisasi mereka, terlepas dari setelan aplikasi di Konsol Google Cloud. Kontrol ini dikelola di Konsol Admin Google Workspace di bagian Kontrol API.
- Kontrol Universal: Administrator Google Workspace selalu dapat Memblokir aplikasi OAuth apa pun, baik Internal maupun Eksternal, Pengujian maupun Dipublikasikan, atau Terverifikasi maupun Belum Diverifikasi, sehingga mencegah pengguna mereka mengotorisasinya.
- Aplikasi Internal: Aplikasi ini sering kali dipercaya secara implisit dalam organisasi Google Workspace terutama jika administrator mengaktifkan "Percayai aplikasi internal milik domain". Namun, administrator tetap dapat menerapkan label seperti Tepercaya, Terbatas, atau Diblokir untuk menyesuaikan akses. Delegasi Seluruh Domain (DWD) juga dapat dikonfigurasi untuk melewati izin pengguna untuk cakupan tertentu.
- Aplikasi Eksternal:
- Belum Diverifikasi: Administrator kemungkinan tidak akan memercayai aplikasi ini dan aplikasi ini dapat Diblokir atau Dibatasi. Meskipun administrator dapat menandai aplikasi eksternal yang belum diverifikasi sebagai "Tepercaya" untuk domain mereka, hal ini umumnya tidak disarankan.
- Terverifikasi: Verifikasi Google membangun kepercayaan, tetapi administrator Google Workspace tetap memiliki kontrol penuh. Status "Terverifikasi" tidak mengganti setelan administrator Google Workspace. Administrator dapat menandai aplikasi sebagai Tepercaya (melewati beberapa batasan cakupan yang ditetapkan admin), Terbatas (tunduk pada batasan layanan), atau Diblokir.
Penggantian Status "Tepercaya": Jika administrator Google Workspace menandai aplikasi sebagai Tepercaya, aplikasi tersebut akan diperlakukan sebagai aplikasi internal untuk organisasi tersebut. Status ini mengganti batasan OAuth standar tertentu untuk pengguna organisasi, seperti batas 100 pengguna pengujian dan batas masa berlaku token refresh 7 hari untuk aplikasi dengan status Pengujian.
Pada dasarnya, proses verifikasi Google adalah sinyal kepatuhan kebijakan umum, tetapi administrator Google Workspace memiliki otoritas tertinggi untuk menentukan apakah aplikasi dapat mengakses data organisasi mereka.
Langkah berikutnya
Untuk informasi lebih mendetail tentang cara menyiapkan aplikasi Anda untuk produksi dan menangani pertimbangan khusus Google Workspace, lihat referensi berikut: