При разработке и развертывании приложений, использующих Google OAuth 2.0, важно понимать различные состояния, в которых может находиться приложение, и как эти состояния взаимодействуют с элементами управления администратора Google Workspace. На этой странице представлен общий обзор статусов публикации приложений OAuth, типов пользователей и требований к проверке.
Определите тип вашего приложения
Чтобы понять, какие политики и механизмы контроля применимы к вашему проекту, сначала определите целевую аудиторию:
- Приложения для использования где угодно: эти приложения ориентированы на максимально широкую аудиторию, включая владельцев отдельных учетных записей Google и пользователей во внешних организациях Google Workspace. Они настраиваются как внешние типы пользователей в консоли Google Cloud. Для получения более подробной информации см. Тип пользователя: Внешний .
- Приложения, предназначенные только для использования внутри организации Google Workspace: эти приложения являются частными и доступны только пользователям в вашем собственном домене Google Workspace. Они недоступны пользователям за пределами вашей организации. Они настроены как внутренние пользователи. На ваше приложение и его пользователей распространяются административные политики на уровне организации, которые могут переопределять стандартное поведение OAuth. Для получения дополнительной информации см. раздел «Тип пользователя: Внутренний» .
Сравнение поведения платформы Google OAuth
В таблице ниже показано, как различные настройки статуса публикации, типа пользователя и статуса проверки влияют на поведение приложения и доступ к нему. Эти параметры регулируются политиками проверки OAuth и правилами истечения срока действия токенов .
| Статус публикации | Тип пользователя | Применимо ли это для тестирования пользователей? | Статус проверки | Примечания |
|---|---|---|---|---|
| Н/Д | Внутренний | Нет | Н/Д | Доступ имеют все пользователи вашей организации. Подтверждение не требуется. На экране согласия могут не отображаться области действия. Полезно для приложений, предназначенных только для внутреннего использования. |
| Тестирование | Внешний | Да | Н/Д | Доступ к приложению имеют только пользователи, явно добавленные в список разрешенных тестовых пользователей (ограничение — 100 тестовых пользователей). Исключение: если приложение запрашивает только базовые области идентификации ( openid , email , profile ), любой пользователь может получить к нему доступ, даже не будучи в списке разрешенных. Пользователи видят предупреждение в пользовательском интерфейсе, указывающее на то, что приложение находится в стадии тестирования, вместо стандартного экрана непроверенного приложения. Примечание: пользователи организации не освобождаются от этих требований тестирования, если для типа пользователя приложения не установлено значение «Внутренний» . Полезно для разработки и тестирования. |
| Опубликовано | Внешний | Нет | Непроверено | Доступен любому пользователю Google. Крайне не рекомендуется. Поскольку приложение не прошло проверку на соответствие бренду, его название и логотип не отображаются на экране согласия. Кроме того, для приложений, запрашивающих доступ к конфиденциальной или ограниченной информации, пользователям будут отображаться предупреждения о непроверенных приложениях (опасный пользовательский интерфейс), а также действует жесткое ограничение в 100 пользователей. |
| Опубликовано | Внешний | Нет | Подтверждено | Доступен любому пользователю Google. Требуется для общедоступных приложений, запрашивающих конфиденциальные и ограниченные права доступа. Название приложения, логотип и права доступа отображаются на экране согласия без предупреждений (после проверки бренда и прав доступа). |
Административные настройки в средах Google Workspace
Администраторы Google Workspace имеют значительный контроль над тем, как приложения OAuth получают доступ к данным своей организации, независимо от настроек приложения в консоли Google Cloud. Эти настройки управляются в консоли администратора Google Workspace в разделе «Управление API» .
- Универсальный контроль: администраторы Google Workspace всегда могут заблокировать любое приложение OAuth, будь то внутреннее или внешнее, тестовое или опубликованное, проверенное или непроверенное, не позволяя пользователям авторизовать его.
- Внутренние приложения: Зачастую им неявно доверяют внутри организации Google Workspace, особенно если администратор включает параметр «Доверять внутренним приложениям, принадлежащим домену». Однако администраторы по-прежнему могут применять метки, такие как «Доверенные», «Ограниченные» или «Заблокированные», для более точной настройки доступа. Делегирование в масштабе домена (DWD) также можно настроить таким образом, чтобы обходить согласие пользователя для определенных областей доступа.
- Внешние приложения:
- Непроверенные: Администраторы вряд ли будут им доверять, и они могут быть заблокированы или ограничены в использовании. Хотя администратор может пометить непроверенное внешнее приложение как «Доверенное» для своего домена, это, как правило, не рекомендуется.
- Подтверждено: проверка Google повышает доверие, но администраторы Google Workspace по-прежнему сохраняют полный контроль. Статус «Подтверждено» не отменяет настройки администратора Google Workspace. Администраторы могут пометить приложение как «Доверенное» (обходя некоторые ограничения, установленные администратором), «Ограниченное» (подпадает под ограничения сервиса) или «Заблокированное» .
Статус «Доверенное приложение» отменяет определенные ограничения: когда администратор Google Workspace помечает приложение как «Доверенное» , оно рассматривается как внутреннее приложение для данной организации. Этот статус отменяет определенные стандартные ограничения OAuth для пользователей организации, такие как ограничение на 100 тестовых пользователей и ограничение на срок действия токена обновления в 7 дней для приложений со статусом «Тестирование» .
По сути, процесс проверки Google является сигналом соответствия общим правилам, но администратор Google Workspace обладает окончательным правом решать, может ли приложение получить доступ к данным его организации.
Следующие шаги
Для получения более подробной информации о подготовке вашего приложения к запуску в производство и учете особенностей Google Workspace, см. следующие ресурсы: