เมื่อพัฒนาและติดตั้งใช้งานแอปพลิเคชันที่ใช้ Google OAuth 2.0 คุณควรทำความเข้าใจสถานะต่างๆ ที่แอปพลิเคชันอาจมีและวิธีที่สถานะเหล่านี้โต้ตอบกับการควบคุมของผู้ดูแลระบบ Google Workspace หน้านี้จะแสดงภาพรวมระดับสูงของสถานะการเผยแพร่แอป OAuth ประเภทผู้ใช้ และข้อกำหนดในการยืนยัน
ระบุประเภทแอปพลิเคชัน
หากต้องการทราบว่านโยบายและการควบคุมใดที่ใช้กับโปรเจ็กต์ของคุณ ให้กำหนดกลุ่มเป้าหมายที่ต้องการก่อน ดังนี้
- แอปสำหรับใช้ได้ทุกที่: แอปพลิเคชันเหล่านี้มุ่งเป้าไปที่กลุ่มเป้าหมายที่กว้างที่สุดเท่าที่จะเป็นไปได้ ซึ่งรวมถึงผู้ถือบัญชี Google ส่วนบุคคลและผู้ใช้ภายในองค์กร Google Workspace ภายนอก โดยจะกำหนดค่าเป็นประเภทผู้ใช้ภายนอกใน Google Cloud Console ดูรายละเอียดเพิ่มเติมได้ที่ ประเภทผู้ใช้: ภายนอก
- แอปสำหรับใช้ภายในองค์กร Google Workspace เท่านั้น: แอปพลิเคชันเหล่านี้เป็นแบบ ส่วนตัวและจำกัดไว้สำหรับผู้ใช้ภายในโดเมน Google Workspace ของคุณเอง ผู้ใช้ภายนอกองค์กรของคุณจะเข้าถึงไม่ได้ โดยจะกำหนดค่าเป็นประเภทผู้ใช้ภายใน แอปพลิเคชันและผู้ใช้ของคุณอยู่ภายใต้ นโยบายการดูแลระบบระดับองค์กร ซึ่งสามารถลบล้างลักษณะการทำงานมาตรฐานของ OAuth ได้ ดูรายละเอียดเพิ่มเติมได้ที่ ประเภทผู้ใช้: ภายใน
การเปรียบเทียบลักษณะการทำงานของแพลตฟอร์ม Google OAuth
ตารางต่อไปนี้แสดงให้เห็นว่าการกำหนดค่าสถานะการเผยแพร่ ประเภทผู้ใช้ และ สถานะการยืนยันที่แตกต่างกันส่งผลต่อลักษณะการทำงานและการเข้าถึงแอปพลิเคชันอย่างไร ลักษณะการทำงานเหล่านี้อยู่ภายใต้ นโยบายการยืนยัน OAuth และ กฎการหมดอายุของโทเค็น
| สถานะการเผยแพร่ | ประเภทของผู้ใช้ | ใช้กับผู้ใช้ทดสอบได้ไหม | สถานะการยืนยันความถูกต้อง | หมายเหตุ |
|---|---|---|---|---|
| ไม่มี | ภายใน | ไม่ | ไม่มี | ผู้ใช้ทุกคนในองค์กรจะเข้าถึงได้ ไม่จำเป็นต้องยืนยัน หน้าจอความยินยอม อาจไม่แสดงขอบเขต มีประโยชน์สำหรับแอปที่ใช้ภายในเท่านั้น |
| การทดสอบ | ภายนอก | ใช่ | ไม่มี | เฉพาะผู้ใช้ที่เพิ่มลงในรายการที่อนุญาตของผู้ใช้ทดสอบอย่างชัดเจนเท่านั้นที่จะเข้าถึงแอปได้ (จำกัดไว้ที่ผู้ใช้ทดสอบ 100 ราย) ข้อยกเว้น: หากแอปขอเฉพาะขอบเขตข้อมูลประจำตัวพื้นฐาน (openid, email, profile) ผู้ใช้ทุกคนจะเข้าถึงได้โดยไม่ต้องอยู่ในรายการที่อนุญาต ผู้ใช้จะเห็น UI คำเตือนที่ระบุว่าแอปอยู่ระหว่างการทดสอบ แทนที่จะเป็นหน้าจอแอปที่ยังไม่ได้รับการยืนยันมาตรฐาน หมายเหตุ: ผู้ใช้ในองค์กรจะไม่ได้รับการยกเว้นจากข้อกำหนดในการทดสอบเหล่านี้ เว้นแต่จะตั้งค่าประเภทผู้ใช้ของแอปเป็นภายใน มีประโยชน์สำหรับการพัฒนาและการทดสอบ |
| เผยแพร่แล้ว | ภายนอก | ไม่ | ไม่ได้ยืนยัน | ผู้ใช้ Google ทุกคนจะเข้าถึงได้ ไม่แนะนำอย่างยิ่ง เนื่องจากแอปยังไม่ได้ทำการยืนยันแบรนด์ให้เสร็จสมบูรณ์ ชื่อและโลโก้ของแอปจึงไม่แสดงในหน้าจอขอความยินยอม นอกจากนี้ สำหรับแอปที่ขอขอบเขตที่ละเอียดอ่อนหรือจำกัด ระบบจะแสดงคำเตือนของแอปที่ยังไม่ได้รับการยืนยัน (UI อันตราย) ต่อผู้ใช้ และจะมีการกำหนดขีดจำกัดสูงสุดที่ผู้ใช้ทั้งหมด 100 ราย |
| เผยแพร่แล้ว | ภายนอก | ไม่ | ยืนยันแล้ว | ผู้ใช้ Google ทุกคนจะเข้าถึงได้ ต้องระบุสำหรับแอปสาธารณะที่ขอขอบเขตที่จำกัดและละเอียดอ่อน ชื่อแอป โลโก้ และขอบเขตจะแสดงในหน้าจอขอความยินยอมโดยไม่มีคำเตือน (เมื่อยืนยันแบรนด์และขอบเขตแล้ว) |
การลบล้างการดูแลระบบในสภาพแวดล้อม Google Workspace
ผู้ดูแลระบบ Google Workspace มีสิทธิ์ควบคุมอย่างมากเกี่ยวกับวิธีที่แอป OAuth เข้าถึงข้อมูลขององค์กร โดยไม่คำนึงถึงการตั้งค่าของแอปใน คอนโซล Google Cloud โดยการควบคุมเหล่านี้จะได้รับการจัดการในคอนโซลผู้ดูแลระบบ Google Workspace ภายใต้การควบคุม API
- การควบคุมแบบสากล: ผู้ดูแลระบบ Google Workspace สามารถบล็อกแอป OAuth ได้เสมอ ไม่ว่าจะเป็นแอปภายในหรือภายนอก แอปที่อยู่ระหว่างการทดสอบหรือเผยแพร่ หรือแอปที่ยืนยันแล้วหรือยังไม่ได้รับการยืนยัน เพื่อป้องกันไม่ให้ผู้ใช้ให้สิทธิ์แอป
- แอปภายใน: แอปเหล่านี้มักจะได้รับความเชื่อถือโดยนัยภายในองค์กร Google Workspace โดยเฉพาะอย่างยิ่งหากผู้ดูแลระบบเปิดใช้ "เชื่อถือแอปภายในของโดเมน" อย่างไรก็ตาม ผู้ดูแลระบบยังคงใช้ป้ายกำกับ เช่น เชื่อถือได้ ถูกจำกัด หรือถูกบล็อก เพื่อปรับแต่ง สิทธิ์เข้าถึงได้ นอกจากนี้ คุณยังกำหนดค่าการมอบสิทธิ์ระดับโดเมน (DWD) เพื่อข้ามความยินยอมของผู้ใช้สำหรับขอบเขตที่เฉพาะเจาะจงได้ด้วย
- แอปภายนอก:
- ไม่ได้รับการยืนยัน: ผู้ดูแลระบบไม่น่าจะเชื่อถือแอปเหล่านี้ และแอปอาจถูก บล็อกหรือจำกัด แม้ว่าผู้ดูแลระบบจะทำเครื่องหมายแอปภายนอกที่ยังไม่ได้รับการยืนยันเป็น "เชื่อถือได้" สำหรับโดเมนของตนได้ แต่โดยทั่วไปแล้วเราไม่แนะนำให้ทำ
- ยืนยันแล้ว: การยืนยันของ Google ช่วยสร้างความมั่นใจ แต่ผู้ดูแลระบบ Google Workspace ยังคงมีสิทธิ์ควบคุมอย่างเต็มที่ สถานะ "ยืนยันแล้ว" จะไม่ ลบล้างการตั้งค่าของผู้ดูแลระบบ Google Workspace ผู้ดูแลระบบสามารถทําเครื่องหมายแอปเป็น เชื่อถือได้ (ข้ามข้อจํากัดด้านขอบเขตบางอย่างที่ผู้ดูแลระบบตั้งไว้) ถูกจํากัด (ขึ้นอยู่กับข้อจํากัดของบริการ) หรือถูกบล็อก
การลบล้างสถานะ "เชื่อถือได้": เมื่อผู้ดูแลระบบ Google Workspace ทำเครื่องหมายแอปเป็น เชื่อถือได้ ระบบจะถือว่าแอปนั้นเป็นแอปพลิเคชันภายในขององค์กร สถานะนี้จะลบล้างข้อจำกัด OAuth มาตรฐานบางอย่างสำหรับผู้ใช้ขององค์กร เช่น ขีดจำกัดผู้ใช้ทดสอบ 100 รายและขีดจำกัดการหมดอายุของโทเค็นการรีเฟรช 7 วันสำหรับแอปในสถานะการทดสอบ
โดยสรุปแล้ว กระบวนการยืนยันของ Google เป็นสัญญาณของการปฏิบัติตามนโยบายทั่วไป แต่ ผู้ดูแลระบบ Google Workspace มีอำนาจสูงสุดในการตัดสินว่าแอปจะเข้าถึงข้อมูลของ องค์กรได้หรือไม่
ขั้นตอนถัดไป
ดูข้อมูลโดยละเอียดเกี่ยวกับการเตรียมแอปสำหรับการใช้งานจริงและการจัดการข้อควรพิจารณาเฉพาะของ Google Workspace ได้ที่แหล่งข้อมูลต่อไปนี้