開發及部署使用 Google OAuth 2.0 的應用程式時,請務必瞭解應用程式可能處於的不同狀態,以及這些狀態與 Google Workspace 管理員控制項的互動方式。本頁面概略說明 OAuth 應用程式的發布狀態、使用者類型和驗證規定。
找出應用程式類型
如要瞭解專案適用哪些政策和控管措施,請先判斷目標對象:
Google OAuth 平台行為比較
下表列出發布狀態、使用者類型和驗證狀態的不同設定,對應用程式行為和存取權的影響。這些行為受 OAuth 驗證政策和權杖到期規則規範。
| 發布狀態 | 使用者類型 | 是否適用於測試使用者? | 驗證狀態 | 附註 |
|---|---|---|---|---|
| 不適用 | 內部 | 否 | 不適用 | 貴機構的所有使用者都能存取。不需要驗證。同意聲明畫面可能不會列出範圍。適用於僅限內部使用的應用程式。 |
| 測試 | 外部 | 是 | 不適用 | 只有明確加入測試使用者許可清單的使用者才能存取應用程式 (測試使用者人數上限為 100 人)。例外狀況:如果應用程式只要求基本身分範圍 (openid、email、profile),任何使用者都能存取,不必加入許可清單。使用者會看到警告 UI,指出應用程式處於測試階段,而不是標準的未經驗證應用程式畫面。注意:除非應用程式的「使用者類型」設為「內部」,否則機構使用者仍須遵守這些測試規定。適合用於開發及測試。 |
| 已發布 | 外部 | 否 | 未驗證 | 所有 Google 使用者都能存取。強烈建議不要這樣做。由於應用程式尚未完成品牌驗證,因此同意畫面上不會顯示應用程式名稱和標誌。此外,如果應用程式要求存取機密或受限制範圍,系統會向使用者顯示未經驗證的應用程式警告 (危險 UI),且總使用者人數上限為 100 人。 |
| 已發布 | 外部 | 否 | 已驗證 | 所有 Google 使用者都能存取。如果公開應用程式要求存取敏感和受限制的範圍,就必須完成驗證。通過品牌和範圍驗證後,同意畫面上就會顯示應用程式名稱、標誌和範圍,且不會顯示警告。 |
Google Workspace 環境中的管理員覆寫
無論 OAuth 應用程式在 Google Cloud 控制台中的設定為何,Google Workspace 管理員都能大幅控管應用程式存取機構資料的方式。這些控制選項可在 Google Workspace 管理控制台的「API 控制選項」下方管理。
- 通用控制項:Google Workspace 管理員隨時可以封鎖任何 OAuth 應用程式,無論是內部或外部、測試或已發布、已驗證或未驗證,都能禁止使用者授權。
- 內部應用程式:Google Workspace 機構通常會隱含信任這類應用程式,特別是管理員啟用「信任網域擁有的內部應用程式」時。不過,管理員仍可套用「可信任」、「受限制」或「已封鎖」等標籤,微調存取權。您也可以設定網域範圍授權 (DWD),略過特定範圍的使用者同意聲明。
- 外部應用程式:
- 未驗證:管理員不太可能信任這類應用程式,且這類應用程式可能會遭到封鎖或限制。管理員可以將未經驗證的外部應用程式標示為網域的「可信任」應用程式,但一般不建議這麼做。
- 已驗證:Google 驗證可建立信任感,但 Google Workspace 管理員仍可全面掌控。「已驗證」狀態不會覆寫 Google Workspace 管理員的設定。管理員可以將應用程式標示為「可信任」 (略過部分管理員設定的範圍限制)、「受限」 (受服務限制) 或「已封鎖」。
「可信任」狀態覆寫:如果 Google Workspace 管理員將應用程式標示為「可信任」,該應用程式就會視為貴機構的內部應用程式。這個狀態會覆寫機構使用者適用的特定標準 OAuth 限制,例如「測試中」狀態的應用程式,測試使用者人數上限為 100 人,且更新權杖的效期為 7 天。
基本上,Google 的驗證程序是政策遵循情況的指標,但 Google Workspace 管理員有最終決定權,可決定應用程式是否能存取機構的資料。
後續步驟
如要進一步瞭解如何準備應用程式以供正式版使用,以及處理 Google Workspace 專屬考量事項,請參閱下列資源: