Quando sviluppi e implementi applicazioni che utilizzano Google OAuth 2.0, è importante comprendere i diversi stati in cui può trovarsi un'applicazione e il modo in cui questi stati interagiscono con i controlli dell'amministratore di Google Workspace. Questa pagina fornisce una panoramica generale degli stati di pubblicazione delle app OAuth, dei tipi di utenti e dei requisiti di verifica.
Identificare il tipo di applicazione
Per capire quali criteri e controlli si applicano al tuo progetto, determina innanzitutto il pubblico di destinazione:
- App da utilizzare ovunque:queste applicazioni si rivolgono al pubblico più ampio possibile, inclusi i titolari di Account Google individuali e gli utenti all'interno di organizzazioni Google Workspace esterne. Questi sono configurati come tipi di utenti esterni nella console Google Cloud. Per maggiori dettagli, vedi Tipo di utente: esterno.
- App da utilizzare solo all'interno di un'organizzazione Google Workspace:queste applicazioni sono private e riservate agli utenti all'interno del tuo dominio Google Workspace. Non sono accessibili agli utenti esterni alla tua organizzazione. Questi vengono configurati come tipi di utente Interno. La tua applicazione e i suoi utenti sono soggetti a criteri amministrativi a livello di organizzazione, che possono ignorare il comportamento OAuth standard. Per maggiori dettagli, vedi Tipo di utente: interno.
Confronto del comportamento della piattaforma Google OAuth
La tabella seguente illustra in che modo le diverse configurazioni di stato di pubblicazione, tipo di utente e stato di verifica influiscono sul comportamento e sull'accesso all'applicazione. Questi comportamenti sono regolati dalle norme di verifica OAuth e dalle regole di scadenza dei token.
| Stato di pubblicazione | Tipo di utente | Utenti di prova applicabili? | Stato verifica | Note |
|---|---|---|---|---|
| N/D | Interno | No | N/D | Tutti gli utenti della tua organizzazione possono accedere. La verifica non è richiesta. La schermata di consenso potrebbe non elencare gli ambiti. Utile per le app solo per uso interno. |
| Test | Esterno | Sì | N/D | Solo gli utenti aggiunti esplicitamente alla lista consentita degli utenti di test possono accedere all'app (il limite massimo è di 100 utenti di test). Eccezione: se l'app richiede solo ambiti di identità di base (openid, email, profile), qualsiasi utente può accedere senza essere presente nella lista consentita. Gli utenti vedono un'interfaccia utente di avviso che indica che l'app è in fase di test, anziché la schermata standard delle app non verificate. Nota: gli utenti dell'organizzazione non sono esenti da questi requisiti di test, a meno che il tipo di utente dell'app non sia impostato su Interno. Utile per lo sviluppo e il test. |
| Pubblicato | Esterno | No | Non verificato | Qualsiasi utente Google può accedere. Fortemente sconsigliato. Poiché l'app non ha completato la verifica del brand, il nome e il logo dell'app non vengono visualizzati nella schermata per il consenso. Inoltre, per le app che richiedono ambiti sensibili o con restrizioni, agli utenti verranno visualizzati avvisi di app non verificata (UI di pericolo) e verrà applicato un limite massimo di 100 utenti totali. |
| Pubblicato | Esterno | No | Verificato | Qualsiasi utente Google può accedere. Obbligatorio per le app pubbliche che richiedono ambiti sensibili e con restrizioni. Il nome, il logo e gli ambiti dell'app vengono mostrati nella schermata per il consenso senza avvisi (una volta verificati il brand e gli ambiti). |
Override amministrativi negli ambienti Google Workspace
Gli amministratori di Google Workspace hanno un controllo significativo sul modo in cui le app OAuth accedono ai dati della loro organizzazione, indipendentemente dalle impostazioni dell'app nella console Google Cloud. Questi controlli vengono gestiti nella Console di amministrazione Google Workspace in Controlli API.
- Controllo universale:gli amministratori di Google Workspace possono sempre bloccare qualsiasi app OAuth, interna o esterna, di test o pubblicata o verificata o non verificata, impedendo ai propri utenti di autorizzarla.
- App interne:spesso sono implicitamente considerate attendibili all'interno dell'organizzazione Google Workspace, soprattutto se l'amministratore attiva l'opzione "Considera attendibili le app interne e di proprietà del dominio". Tuttavia, gli amministratori possono comunque applicare etichette come Attendibile, Con restrizioni o Bloccato per perfezionare l'accesso. La delega a livello di dominio (DWD) può essere configurata anche per ignorare il consenso dell'utente per ambiti specifici.
- App esterne:
- Non verificato:è improbabile che gli amministratori si fidino di questi e potrebbero essere Bloccati o limitati. Sebbene un amministratore possa contrassegnare un'app esterna non verificata come "Attendibile" per il proprio dominio, questa operazione è generalmente sconsigliata.
- Verificato:la verifica di Google aumenta la fiducia, ma gli amministratori di Google Workspace hanno comunque il controllo completo. Lo stato "Verificato" non esegue l'override delle impostazioni dell'amministratore di Google Workspace. Gli amministratori possono contrassegnare l'app come Attendibile (ignorando alcune limitazioni dell'ambito impostate dall'amministratore), Con restrizioni (soggetta a limitazioni del servizio) o Bloccata.
Override dello stato "Attendibile":quando un amministratore di Google Workspace contrassegna un'app come Attendibile, questa viene trattata come un'applicazione interna per l'organizzazione. Questo stato sostituisce alcune limitazioni OAuth standard per gli utenti dell'organizzazione, ad esempio il limite di 100 utenti di test e il limite di scadenza del token di aggiornamento di 7 giorni per le app con lo stato Test.
In sostanza, la procedura di verifica di Google è un segnale di conformità generale ai criteri, ma l'amministratore di Google Workspace ha l'autorità definitiva per decidere se un'app può accedere ai dati della sua organizzazione.
Passaggi successivi
Per informazioni più dettagliate sulla preparazione dell'app per la produzione e sulla gestione delle considerazioni specifiche di Google Workspace, consulta le seguenti risorse: