Khi phát triển và triển khai các ứng dụng sử dụng Google OAuth 2.0, bạn cần hiểu rõ các trạng thái mà một ứng dụng có thể ở trong đó và cách các trạng thái này tương tác với các chế độ kiểm soát của quản trị viên Google Workspace. Trang này cung cấp thông tin tổng quan về trạng thái xuất bản ứng dụng OAuth, các loại người dùng và yêu cầu xác minh.
Xác định loại ứng dụng của bạn
Để biết những chính sách và chế độ kiểm soát nào áp dụng cho dự án của bạn, trước tiên, hãy xác định đối tượng mà bạn nhắm đến:
- Ứng dụng để sử dụng ở mọi nơi: Những ứng dụng này nhắm đến đối tượng rộng nhất có thể, bao gồm cả những người có Tài khoản Google cá nhân và người dùng trong các tổ chức bên ngoài sử dụng Google Workspace. Đây là các loại người dùng Bên ngoài được định cấu hình trong Google Cloud Console. Để biết thêm thông tin chi tiết, hãy xem phần Loại người dùng: Bên ngoài.
- Ứng dụng chỉ dùng trong một tổ chức Google Workspace: Đây là những ứng dụng riêng tư và chỉ dành cho người dùng trong miền Google Workspace của riêng bạn. Người dùng bên ngoài tổ chức của bạn không thể truy cập vào các tệp này. Đây là các loại người dùng Nội bộ. Ứng dụng của bạn và người dùng ứng dụng đó phải tuân theo các chính sách quản trị ở cấp tổ chức. Các chính sách này có thể ghi đè hành vi OAuth tiêu chuẩn. Để biết thêm thông tin chi tiết, hãy xem phần Loại người dùng: Nội bộ.
So sánh hành vi của Nền tảng Google OAuth
Bảng sau đây trình bày cách các cấu hình khác nhau về trạng thái xuất bản, loại người dùng và trạng thái xác minh ảnh hưởng đến hành vi và quyền truy cập của ứng dụng. Những hành vi này chịu sự điều chỉnh của chính sách xác minh OAuth và quy tắc hết hạn mã thông báo.
| Trạng thái phát hành | Loại Người Dùng | Có áp dụng cho người dùng thử nghiệm không? | Tình Trạng Xác Minh | Ghi chú |
|---|---|---|---|---|
| Không áp dụng | Nội bộ | Không | Không áp dụng | Tất cả người dùng trong tổ chức của bạn đều có thể truy cập. Không bắt buộc phải xác minh. Màn hình đồng ý có thể không liệt kê các phạm vi. Hữu ích cho các ứng dụng chỉ dành cho nội bộ. |
| Thử nghiệm | Bên ngoài | Có | Không áp dụng | Chỉ những người dùng được thêm rõ ràng vào danh sách cho phép người dùng thử nghiệm mới có thể truy cập vào ứng dụng (giới hạn tối đa là 100 người dùng thử nghiệm). Trường hợp ngoại lệ: Nếu ứng dụng chỉ yêu cầu các phạm vi nhận dạng cơ bản (openid, email, profile), thì mọi người dùng đều có thể truy cập mà không cần có trong danh sách cho phép. Người dùng sẽ thấy giao diện người dùng cảnh báo cho biết ứng dụng đang trong giai đoạn thử nghiệm, thay vì màn hình ứng dụng chưa xác minh tiêu chuẩn. Lưu ý: Người dùng trong tổ chức không được miễn các yêu cầu này về kiểm thử, trừ phi Loại người dùng của ứng dụng được đặt thành Nội bộ. Hữu ích cho việc phát triển và kiểm thử. |
| Đã xuất bản | Bên ngoài | Không | Chưa được xác minh | Mọi người dùng Google đều có thể truy cập. Rất không nên. Vì ứng dụng chưa hoàn tất quy trình xác minh thương hiệu, nên tên và biểu trưng của ứng dụng không xuất hiện trên màn hình xin phép. Ngoài ra, đối với những ứng dụng yêu cầu các phạm vi nhạy cảm hoặc bị hạn chế, cảnh báo ứng dụng chưa được xác minh (Giao diện người dùng nguy hiểm) sẽ xuất hiện cho người dùng và giới hạn tối đa là 100 người dùng. |
| Đã xuất bản | Bên ngoài | Không | Đã xác minh | Mọi người dùng Google đều có thể truy cập. Bắt buộc đối với các ứng dụng công khai yêu cầu các phạm vi nhạy cảm và bị hạn chế. Tên, biểu trưng và phạm vi của ứng dụng sẽ xuất hiện trên màn hình xin phép mà không có cảnh báo (sau khi thương hiệu và phạm vi được xác minh). |
Quyền ghi đè của quản trị viên trong môi trường Google Workspace
Quản trị viên Google Workspace có quyền kiểm soát đáng kể đối với cách các ứng dụng OAuth truy cập vào dữ liệu của tổ chức, bất kể chế độ cài đặt của ứng dụng trong Google Cloud Console. Các chế độ kiểm soát này được quản lý trong Bảng điều khiển dành cho quản trị viên của Google Workspace trong mục Chế độ kiểm soát API.
- Chế độ kiểm soát chung: Quản trị viên Google Workspace luôn có thể Chặn mọi ứng dụng OAuth, cho dù đó là ứng dụng Nội bộ hay Bên ngoài, Đang thử nghiệm hay Đã xuất bản, Đã xác minh hay Chưa xác minh, ngăn người dùng của họ uỷ quyền cho ứng dụng đó.
- Ứng dụng nội bộ: Những ứng dụng này thường được tin cậy ngầm trong tổ chức Google Workspace, đặc biệt là nếu quản trị viên bật chế độ "Tin cậy các ứng dụng nội bộ do miền sở hữu". Tuy nhiên, quản trị viên vẫn có thể áp dụng các nhãn như Đáng tin cậy, Bị giới hạn hoặc Bị chặn để tinh chỉnh quyền truy cập. Bạn cũng có thể định cấu hình Uỷ quyền trên toàn miền (DWD) để bỏ qua sự đồng ý của người dùng cho các phạm vi cụ thể.
- Ứng dụng bên ngoài:
- Chưa xác minh: Quản trị viên khó có thể tin tưởng những người dùng này và họ có thể bị Chặn hoặc Giới hạn. Mặc dù quản trị viên có thể đánh dấu một ứng dụng bên ngoài chưa được xác minh là "Đáng tin cậy" cho miền của họ, nhưng bạn không nên làm như vậy.
- Đã xác minh: Quy trình xác minh của Google giúp tăng độ tin cậy, nhưng quản trị viên Google Workspace vẫn có toàn quyền kiểm soát. Trạng thái "Đã xác minh" không ghi đè chế độ cài đặt của quản trị viên Google Workspace. Quản trị viên có thể đánh dấu ứng dụng là Đáng tin cậy (bỏ qua một số hạn chế về phạm vi do quản trị viên đặt), Bị giới hạn (chịu sự hạn chế về dịch vụ) hoặc Bị chặn.
Trạng thái "Tin cậy" ghi đè: Khi quản trị viên Google Workspace đánh dấu một ứng dụng là Tin cậy, ứng dụng đó sẽ được coi là ứng dụng nội bộ của tổ chức đó. Trạng thái này ghi đè một số hạn chế tiêu chuẩn của OAuth đối với người dùng trong tổ chức, chẳng hạn như giới hạn 100 người dùng thử nghiệm và giới hạn hết hạn mã làm mới sau 7 ngày đối với các ứng dụng ở trạng thái Đang kiểm thử.
Về cơ bản, quy trình xác minh của Google là một tín hiệu cho biết việc tuân thủ chính sách chung, nhưng quản trị viên Google Workspace có quyền quyết định cuối cùng về việc một ứng dụng có thể truy cập vào dữ liệu của tổ chức hay không.
Các bước tiếp theo
Để biết thêm thông tin chi tiết về cách chuẩn bị ứng dụng cho quá trình phát hành công khai và xử lý các điểm cần lưu ý cụ thể về Google Workspace, hãy xem các tài nguyên sau: