تفرض بعض Google APIs (التي تقبل النطاقات الحسّاسة أو المقيَّدة ) متطلبات على التطبيقات التي تطلب إذن الوصول إلى بيانات المستهلكين. تتطلب هذه المتطلبات الإضافية للنطاقات المقيَّدة أن يثبت التطبيق أنّه من نوع التطبيقات المسموح بها وأن يخضع لـ مراجعات إضافية، بما في ذلك تقييم أمان محتمَل.
تعتمد إمكانية تطبيق النطاقات المقيَّدة ضمن واجهة برمجة تطبيقات بشكل أساسي على درجة الوصول المطلوبة لتوفير ميزة ذات صلة في تطبيقك: للقراءة فقط أو للكتابة فقط أو للقراءة والكتابة، وما إلى ذلك.
عند استخدام بروتوكول OAuth 2.0 للحصول على إذن من حساب Google للوصول إلى هذه البيانات، يمكنك استخدام سلاسل تُعرف باسم النطاقات لتحديد نوع البيانات التي تريد الوصول إليها ومقدار الوصول الذي تحتاجه. إذا كان تطبيقك يطلب نطاقات حسّاسة أو مقيَّدة، عليك إكمال عملية التحقّق ما لم يكن استخدام تطبيقك مؤهلاً للحصول على استثناء.
عدد النطاقات المقيَّدة أقل من عدد النطاقات الحسّاسة. تحتوي صفحة التحقّق من واجهة برمجة تطبيقات OAuth على القائمة الحالية بالنطاقات الحسّاسة والمقيَّدة. توفر هذه النطاقات وصولاً واسع النطاق إلى بيانات المستخدمين على Google وتتطلب منك الخضوع لعملية التحقق من النطاق قبل طلب النطاقات من أي حساب على Google. للحصول على معلومات عن هذا المتطلب، يُرجى الاطّلاع على سياسة بيانات مستخدمي خدمات Google API والمتطلبات الإضافية لنطاقات معيّنة في واجهة برمجة التطبيقات أو صفحة المطوّرين الخاصة بالمنتج على Google. إذا كنت تخزّن بيانات النطاق المقيَّد أو تنقلها على الخوادم، عليك إكمال تقييم أمان.
التعرّف على النطاقات المقيَّدة
إذا كان تطبيقك يطلب أي نطاقات مقيَّدة ولا يستوفي شروط الحصول على استثناء، عليك استيفاء المتطلبات الإضافية لنطاقات معيّنة في واجهة برمجة التطبيقات من سياسة بيانات مستخدمي خدمات Google API أو المتطلبات الخاصة بالمنتج على صفحة المطوّرين الخاصة بالمنتج على Google، ما يتطلب عملية مراجعة أكثر شمولاً.
التعرّف على استخدامك للنطاق
- راجِع النطاقات التي يستخدمها تطبيقك أو التي تريد استخدامها. للعثور على استخدامك الحالي للنطاق، ابحث في رمز مصدر تطبيقك عن أي نطاقات يتم إرسالها مع طلبات التفويض.
- تأكَّد من أنّ كل نطاق مطلوب ضروري للإجراءات المقصودة لميزة تطبيقك وأنّه يستخدم أقل امتياز ضروري لتوفير الميزة. تحتوي Google API عادةً على مستندات مرجعية على صفحة المطوّرين الخاصة بالمنتج على Google لنقاط النهاية، بما في ذلك النطاق المطلوب لاستدعاء نقطة النهاية أو خصائص معيّنة بداخلها. لمزيد من المعلومات عن نطاقات الوصول الضرورية لنقاط نهاية واجهة برمجة التطبيقات التي يستدعيها تطبيقك، يُرجى قراءة المستندات المرجعية لنقاط النهاية هذه. For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
- يجب ألا تُستخدم البيانات التي تتلقّاها من Google API إلا بما يتوافق مع سياسات واجهة برمجة التطبيقات وبالطريقة التي توضّحها للمستخدمين في إجراءات تطبيقك وفي سياسة الخصوصية.
- راجِع مستندات واجهة برمجة التطبيقات لمعرفة المزيد عن كل نطاق، بما في ذلك حالته المحتمَلة sensitive or restricted
- أعلِن عن جميع النطاقات التي يستخدمها تطبيقك في صفحة الوصول إلى البيانات في Cloud Console . يتم تجميع النطاقات التي تحدّدها في فئات حسّاسة أو مقيَّدة لتسليط الضوء على أي عملية تحقّق إضافية مطلوبة.
- ابحث عن أفضل نطاق يتطابق مع البيانات التي تستخدمها عملية الدمج، وافهم كيفية استخدامه، وأكِّد مجددًا أنّ كل شيء لا يزال يعمل في بيئة اختبار، ثم استعد للإرسال من أجل التحقّق.
احرص على مراعاة الوقت اللازم لإكمال عملية التحقّق في خطة إطلاق تطبيقك أو أي ميزات جديدة تتطلب نطاقًا جديدًا. يحدث أحد هذه المتطلبات الإضافية إذا كان التطبيق يصل إلى بيانات المستخدمين على Google أو لديه القدرة على الوصول إليها من خادم أو من خلاله. في هذه الحالات، يجب أن يخضع النظام لتقييم أمان سنوي من قِبل مقيِّم مستقل تابع لجهة خارجية ومعتمَد من Google. لهذا السبب، قد تستغرق عملية التحقّق من النطاقات المقيَّدة عدة أسابيع لإكمالها. يُرجى العِلم أنّه يجب على جميع التطبيقات إكمال خطوة التحقّق من العلامة التجارية أولاً، والتي تستغرق عادةً من يومَين إلى 3 أيام عمل، إذا تغيّرت معلومات العلامة التجارية منذ آخر عملية تحقّق معتمَدة من شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth.
أنواع التطبيقات المسموح بها
يمكن لأنواع معيّنة من التطبيقات الوصول إلى النطاقات المقيَّدة لكل منتج. يمكنك العثور على أنواع التطبيقات الخاصة بالمنتج في صفحة المطوّرين الخاصة بـ Google (على سبيل المثال، سياسة Gmail API).
عليك فهم نوع تطبيقك وتحديده. ومع ذلك، إذا لم تكن متأكدًا من نوع تطبيقك، يمكنك عدم تحديد أي خيارات لسؤال ما هي الميزات التي ستستخدمها؟ عند إرسال التطبيق للتحقّق. سيحدّد فريق التحقّق من Google API نوع التطبيق بعد ذلك.
التقييم الأمني
يجب أن يخضع كل تطبيق يطلب الوصول إلى البيانات المقيَّدة لمستخدمي Google ولديه القدرة على الوصول إلى البيانات من خادم تابع لجهة خارجية أو من خلاله لتقييم أمان من قِبل مقيِّمين أمنيين معتمَدين من Google. يساعد هذا التقييم في الحفاظ على أمان بيانات مستخدمي Google من خلال التحقّق من أنّ جميع التطبيقات التي تصل إلى بيانات مستخدمي Google تُظهر القدرة على معالجة البيانات بأمان وحذف بيانات المستخدمين بناءً على طلبهم.
لتحقيق التوحيد في تقييم الأمان، نستخدم تحالف حماية التطبيقات و إطار عمل تقييم أمان تطبيقات السحابة الإلكترونية (CASA).
كما ذكرنا سابقًا، للحفاظ على إمكانية الوصول إلى أي نطاقات مقيَّدة تم التحقّق منها، يجب إعادة التحقّق من التطبيقات للتأكّد من امتثالها وإكمال تقييم أمان كل 12 شهرًا على الأقل بعد تاريخ الموافقة على "خطاب التقييم" (LOA) الذي أرسله المقيِّم. إذا كان تطبيقك يضيف نطاقًا مقيَّدًا جديدًا، قد تحتاج إلى إعادة تقييمه لتغطية النطاق الإضافي إذا لم يتم تضمينه في تقييم أمان سابق.
يرسل لك فريق مراجعة Google رسالة إلكترونية عندما يحين وقت إعادة الحصول على الشهادة لتطبيقك. للتأكّد من إشعار الأعضاء المناسبين في فريقك بهذا الإجراء السنوي، اربط حسابات Google إضافية بمشروعك على Cloud Console بصفتك مالكًا أو محررًا. يساعد أيضًا في إبقاء عناوين البريد الإلكتروني الخاصة بدعم المستخدمين ومعلومات الاتصال بالمطوّرين محدّثة، والتي يتم تحديدها في صفحة وضع العلامة التجارية لبروتوكول OAuth في Google Cloud Console.
خطوات الاستعداد للتحقّق
يجب أن تتّبع جميع التطبيقات التي تستخدم Google APIs لطلب الوصول إلى البيانات الخطوات التالية لإكمال عملية التحقّق من العلامة التجارية:
- تأكَّد من أنّ تطبيقك لا يندرج ضمن أي من حالات الاستخدام في الـ استثناءات من متطلبات التحقّق قسم.
- تأكَّد من أنّ تطبيقك يمتثل لمتطلبات وضع العلامة التجارية لواجهات برمجة التطبيقات أو المنتج المرتبط. على سبيل المثال، اطّلِع على إرشادات وضع العلامة التجارية لنطاقات "تسجيل الدخول باستخدام حساب Google".
- أثبِت ملكية النطاقات المفوَّضة لمشروعك في Google Search Console. استخدِم حساب Google مرتبطًا بمشروعك على API Console بصفتك مالكًا أو محررًا.
- تأكَّد من أنّ جميع معلومات العلامة التجارية على شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth، مثل اسم التطبيق وعنوان البريد الإلكتروني للدعم وعنوان معرف موارد منتظم (URI) للصفحة الرئيسية وعنوان معرف موارد منتظم (URI) لسياسة الخصوصية وما إلى ذلك، تمثّل هوية التطبيق بدقة.
متطلبات الصفحة الرئيسية للتطبيق
تأكَّد من أنّ صفحتك الرئيسية تستوفي المتطلبات التالية:
- يجب أن تكون صفحتك الرئيسية متاحة للجميع، وليس فقط للمستخدمين الذين سجّلوا الدخول إلى موقعك الإلكتروني.
- يجب أن تكون صلة صفحتك الرئيسية بالتطبيق قيد المراجعة واضحة.
- لا تُعد الروابط المؤدية إلى بطاقة بيانات تطبيقك على "متجر Google Play" أو صفحته على فيسبوك صفحات رئيسية صالحة للتطبيق.
متطلبات رابط سياسة الخصوصية للتطبيق
تأكَّد من أنّ سياسة الخصوصية لتطبيقك تستوفي المتطلبات التالية:
- يجب أن تكون سياسة الخصوصية مرئية للمستخدمين، وأن تكون مستضافة ضمن النطاق نفسه لصفحة تطبيقك الرئيسية، وأن يكون لها رابط على شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth في Google API Console. يُرجى العِلم أنّ الصفحة الرئيسية يجب أن تتضمّن وصفًا لوظائف التطبيق، بالإضافة إلى روابط تؤدي إلى سياسة الخصوصية وبنود الخدمة الاختيارية.
- يجب أن تفصح سياسة الخصوصية عن الطريقة التي يصل بها تطبيقك إلى بيانات المستخدمين على Google أو يستخدمها أو يخزّنها أو يشاركها. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. يجب أن تقتصر استخدامك لبيانات المستخدمين على Google على الممارسات التي تفصح عنها سياسة الخصوصية المنشورة.
- Review example cases of privacy policies that don't meet the Limited Use requirements.
كيفية إرسال تطبيقك للتحقّق
ينظّم مشروع على Google Cloud Console جميع مواردك على Cloud Console. يتألف المشروع من مجموعة من حسابات Google المرتبطة التي لديها إذن بتنفيذ عمليات المشروع، ومجموعة من واجهات برمجة التطبيقات المفعّلة، وإعدادات الفوترة والمصادقة والمراقبة لواجهات برمجة التطبيقات هذه. على سبيل المثال، يمكن أن يحتوي المشروع على عميل واحد أو أكثر من عملاء OAuth، وضبط واجهات برمجة التطبيقات لاستخدامها من قِبل هؤلاء العملاء، وضبط شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth يتم عرضها للمستخدمين قبل أن يفوّضوا الوصول إلى تطبيقك.
إذا لم يكن أي من عملاء OAuth جاهزًا للإنتاج، ننصحك بحذفه من المشروع الذي يطلب التحقّق. يمكنك إجراء ذلك في الـ صفحة العملاء.
للإرسال من أجل التحقّق، اتّبِع الخطوات التالية:
- تأكَّد من أنّ تطبيقك يمتثل لـ بنود خدمة Google APIs، و سياسة بيانات مستخدمي خدمات Google API.
- احتفِظ بأدوار المالك والمحرّر للحسابات المرتبطة بمشروعك، بالإضافة إلى عنوان البريد الإلكتروني الخاص بدعم المستخدمين ومعلومات الاتصال بالمطوّرين لشاشة موافقة OAuth، في Cloud Console. يضمن ذلك إشعار الأعضاء المناسبين في فريقك بأي متطلبات جديدة.
- انتقِل إلى مركز التحقّق من OAuth في Cloud Console OAuth Verification Center.
- انقر على زر اختيار المشروع.
-
في مربّع الحوار الاختيار من الذي يظهر، اختَر مشروعك. إذا لم تتمكّن من العثور على مشروعك ولكنك تعرف رقم تعريف مشروعك، يمكنك إنشاء عنوان URL في متصفّحك بالتنسيق التالي:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
استبدِل [PROJECT_ID] برقم تعريف المشروع الذي تريد استخدامه.
- انقر على زر تعديل التطبيق.
- أدخِل المعلومات الضرورية في صفحة شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth، ثم انقر على زر حفظ ومتابعة.
- استخدِم الزر إضافة نطاقات أو إزالتها للإعلان عن جميع النطاقات التي يطلبها تطبيقك. تتم تعبئة مجموعة أولية من النطاقات الضرورية لتسجيل الدخول باستخدام حساب Google مسبقًا في قسم النطاقات غير الحسّاسة. يتم تصنيف النطاقات المضافة على أنّها غير حسّاسة، sensitive, or restricted.
- قدِّم ما يصل إلى ثلاثة روابط تؤدي إلى أي مستندات ذات صلة بالميزات ذات الصلة في تطبيقك.
-
قدِّم أي معلومات إضافية مطلوبة عن تطبيقك في الخطوات اللاحقة.
- Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
- Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
- If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.
-
Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.
- Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
- Show that the OAuth consent screen correctly displays the App Name.
- Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
- To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
- If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
- Select your permitted application type from the "What features will you use?" list.
- Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
- إذا كان إعداد التطبيق الذي تقدّمه يتطلب التحقّق، يمكنك إرسال التطبيق للتحقّق. املأ الحقول المطلوبة، ثم انقر على إرسال لبدء عملية التحقّق.
بعد إرسال تطبيقك، يتواصل فريق الثقة والأمان في Google معك عبر البريد الإلكتروني لطلب أي معلومات إضافية يحتاجها أو الخطوات التي عليك إكمالها. راجِع عناوين بريدك الإلكتروني في الـ قسم معلومات الاتصال بالمطوّر وعنوان البريد الإلكتروني للدعم في شاشة موافقة OAuth بحثًا عن طلبات للحصول على معلومات إضافية. يمكنك أيضًا الاطّلاع على صفحة شاشة موافقة OAuth لمشروعك لتأكيد حالة المراجعة الحالية لمشروعك، بما في ذلك ما إذا كانت عملية المراجعة متوقفة مؤقتًا أثناء انتظار ردّك.
الاستثناءات من متطلبات التحقّق
إذا كان سيتم استخدام تطبيقك في أي من السيناريوهات الموضّحة في الأقسام التالية، ليس عليك إرساله للمراجعة.
الاستخدام الشخصي
إحدى حالات الاستخدام هي إذا كنت المستخدم الوحيد لتطبيقك أو إذا كان تطبيقك لا يستخدمه سوى عدد قليل من المستخدمين، كلهم معروفون لك شخصيًا. قد يكون من المناسب لك ولعدد محدود من المستخدمين المضي قدمًا من خلال شاشة التطبيق الذي لم يتم التحقّق منه ومنح حساباتك الشخصية إذن الوصول إلى تطبيقك.
المشاريع المستخدَمة في مستويات التطوير أو الاختبار أو الإعداد
للامتثال لسياسات Google OAuth 2.0، ننصحك باستخدام مشاريع مختلفة لبيئتَي الاختبار والإنتاج. ننصحك بإرسال تطبيقك للتحقّق فقط إذا كنت تريد إتاحته لأي مستخدم لديه حساب Google. لذلك، إذا كان تطبيقك في مراحل التطوير أو الاختبار أو الإعداد، ليس عليك التحقّق منه.
إذا كان تطبيقك في مرحلتَي التطوير أو الاختبار، يمكنك ترك الـ حالة النشر في الإعداد التلقائي الاختبار. يعني هذا الإعداد أنّ تطبيقك لا يزال قيد التطوير ولا يتوفّر إلا للمستخدمين الذين تضيفهم إلى قائمة المستخدمين التجريبيين. عليك إدارة قائمة حسابات Google المشارِكة في تطوير تطبيقك أو اختباره.
البيانات المملوكة للخدمة فقط
إذا كان تطبيقك يستخدم حساب خدمة للوصول إلى بياناته الخاصة فقط، ولا يصل إلى أي بيانات مستخدمين (مرتبطة بحساب على Google)، ليس عليك إرساله للتحقّق.
للتعرّف على حسابات الخدمة، يُرجى الاطّلاع على حسابات الخدمة في مستندات Google Cloud. للتعرّف على تعليمات استخدام حساب خدمة، يُرجى الاطّلاع على استخدام OAuth 2.0 لتطبيقات خادم إلى خادم.
للاستخدام الداخلي فقط
يعني ذلك أنّ التطبيق لا يستخدمه سوى الأشخاص في مؤسستك على Google Workspace أو Cloud Identity organization. يجب أن تكون المؤسسة مالكة للمشروع، ويجب ضبط شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth لننوع مستخدم داخلي. في هذه الحالة، قد يحتاج تطبيقك إلى موافقة من مشرف المؤسسة. لمزيد من المعلومات، يُرجى الاطّلاع على اعتبارات إضافية لـ Google Workspace.
- مزيد من المعلومات عن التطبيقات العلنية والتطبيقات الداخلية.
- كيفية وضع علامة "داخلي فقط" على تطبيقك في صفحة الأسئلة الشائعة كيف يمكنني وضع علامة "داخلي فقط" على تطبيقي؟
التثبيت على مستوى النطاق
إذا كنت تخطط لأن يستهدف تطبيقك مستخدمي مؤسسة Google Workspace أو Cloud Identity فقط وأن يستخدم دائمًا التثبيت على مستوى النطاق، لن يحتاج تطبيقك إلى التحقّق من العلامة التجارية. ومع ذلك، إذا كان تطبيقك يستخدم نطاقات مقيَّدة أو حسّاسة، يجب التحقّق من التطبيق. يرجع ذلك إلى أنّ التثبيت على مستوى النطاق يتيح لمشرف النطاق منح التطبيقات التابعة لجهات خارجية والتطبيقات الداخلية إمكانية الوصول إلى بيانات المستخدمين. مشرفو المؤسسة هم الحسابات الوحيدة التي يمكنها إضافة التطبيق إلى قائمة السماح لاستخدامه ضمن نطاقاتها.
كيفية جعل تطبيقك قابلاً للتثبيت على مستوى النطاق في صفحة الأسئلة الشائعة يتضمّن تطبيقي مستخدمين لديهم حسابات مؤسسة من نطاق Google Workspace آخر.