تأیید دامنه حساس

اگر برنامه شما برای استفاده از APIهای گوگل و دسترسی به داده‌های کاربران گوگل درخواست مجوز کند، ممکن است لازم باشد قبل از اینکه برنامه خود را برای اولین بار به صورت عمومی در دسترس قرار دهید، یک فرآیند تأیید را تکمیل کنید.

اینکه آیا این الزام برای برنامه شما اعمال می‌شود یا خیر، عمدتاً به دو عامل بستگی دارد:

  1. نوع داده‌های کاربری که به آنها دسترسی دارید - اطلاعات پروفایل عمومی، ورودی‌های تقویم، فایل‌های موجود در Drive، برخی داده‌های مربوط به سلامت و تناسب اندام و غیره.
  2. میزان دسترسی مورد نیاز شما - فقط خواندنی، خواندن و نوشتن و غیره

وقتی از OAuth 2.0 برای دریافت مجوز از یک حساب گوگل جهت دسترسی به داده‌هایشان استفاده می‌کنید، از رشته‌هایی به نام scopes برای مشخص کردن نوع داده‌هایی که می‌خواهید از طرف آنها به آنها دسترسی داشته باشید، استفاده می‌کنید. اگر برنامه شما scopeهایی را درخواست می‌کند که به عنوان حساس یا محدود طبقه‌بندی شده‌اند، احتمالاً باید فرآیند تأیید را تکمیل کنید، مگر اینکه استفاده برنامه شما واجد شرایط استثنا باشد .

نمونه‌هایی از حوزه‌های حساس شامل خواندن رویدادهای ذخیره شده در تقویم گوگل، ذخیره یک مخاطب جدید در مخاطبین گوگل یا حذف یک ویدیوی یوتیوب است. برای اطلاعات بیشتر در مورد حوزه‌های موجود و طبقه‌بندی‌های آنها، به مستندات مرجع نقاط پایانی API که توسط برنامه شما فراخوانی می‌شوند و هرگونه راهنمای مجوز مرتبط منتشر شده برای API مراجعه کنید.

شما باید محدوده‌هایی را درخواست کنید که برای ارائه آن عملکرد، به کمترین میزان دسترسی به داده‌های کاربر نیاز داشته باشند . به عنوان مثال، برنامه‌ای که فقط داده‌ها را می‌خواند، نباید درخواست دسترسی برای خواندن، نوشتن و حذف محتوا را داشته باشد، زمانی که محدوده محدودتری برای API و نقاط پایانی مرتبط با آن در دسترس است. داده‌هایی که از یک API گوگل دریافت می‌کنید، فقط باید مطابق با سیاست‌های API و به روشی که شما در اقدامات برنامه و در سیاست حفظ حریم خصوصی خود به کاربران خود نشان می‌دهید، استفاده شوند.

حتماً زمان لازم برای تکمیل تأیید را در برنامه راه‌اندازی برنامه یا هر ویژگی جدیدی که نیاز به محدوده جدید دارد، در نظر بگیرید. فرآیند تأیید محدوده حساس معمولاً ۳ تا ۵ روز کاری طول می‌کشد. توجه داشته باشید که برنامه شما ممکن است واجد شرایط تکمیل تأیید برند به عنوان زیرمجموعه‌ای از درخواست تأیید محدوده حساس شما باشد.

درک محدوده‌های حساس

قبل از اینکه هر حساب گوگلی بتواند به حوزه‌های حساس دسترسی بدهد، گوگل باید آنها را بررسی کند. مدیران سازمان Google Workspace ممکن است دسترسی به حوزه‌های حساس را محدود کنند تا از دسترسی توسط شناسه‌های کلاینت OAuth که سازمان صراحتاً آنها را به عنوان مورد اعتماد علامت‌گذاری نکرده است، جلوگیری شود.

کاربرد دامنه خود را درک کنید

  • محدوده‌هایی که برنامه شما استفاده می‌کند یا می‌خواهید استفاده کنید را بررسی کنید. برای یافتن میزان استفاده از محدوده‌های موجود، کد منبع برنامه خود را برای هرگونه محدوده‌ای که با درخواست‌های مجوز ارسال شده است، بررسی کنید.
  • مشخص کنید که هر محدوده درخواستی برای اقدامات مورد نظر ویژگی برنامه شما ضروری است و از حداقل امتیاز لازم برای ارائه آن ویژگی استفاده می‌کند. یک API گوگل معمولاً دارای مستندات مرجع در صفحه توسعه‌دهندگان گوگل محصول برای نقاط پایانی خود است که شامل محدوده مورد نیاز برای فراخوانی نقطه پایانی یا ویژگی‌های خاص درون آن است. برای اطلاعات بیشتر در مورد محدوده‌های دسترسی لازم برای نقاط پایانی API که برنامه شما فراخوانی می‌کند، مستندات مرجع آن نقاط پایانی را مطالعه کنید.
  • داده‌هایی که از API گوگل دریافت می‌کنید، فقط باید مطابق با سیاست‌های API و به روشی که شما در اقدامات برنامه و در سیاست حفظ حریم خصوصی خود به کاربران خود ارائه می‌دهید، استفاده شوند.
  • برای کسب اطلاعات بیشتر در مورد هر حوزه، از جمله پتانسیل‌های آن، به مستندات API مراجعه کنید. sensitive or restricted وضعیت
  • تمام حوزه‌های مورد استفاده برنامه خود را در Cloud Consoleها Data Access page محدوده‌هایی که شما مشخص می‌کنید به دسته‌های حساس یا محدود گروه‌بندی می‌شوند تا هرگونه تأیید اضافی مورد نیاز را برجسته کنند.
  • بهترین محدوده‌ای را که با داده‌های مورد استفاده توسط یکپارچه‌سازی شما مطابقت دارد، پیدا کنید، کاربرد آن را درک کنید، دوباره تأیید کنید که همه چیز هنوز در یک محیط آزمایشی کار می‌کند و سپس برای ارسال برای تأیید آماده شوید.
یک جدول، نام یک API، یکی از حوزه‌های حساس آن و توضیحی از آنچه که آن حوزه پوشش می‌دهد را نمایش می‌دهد.
شکل 1 نمونه‌ای از یک محدوده حساس که در صفحه محدوده‌های پیکربندی صفحه رضایت OAuth نشان داده شده است .

مراحل آماده سازی برای تأیید

همه برنامه‌هایی که از APIهای گوگل برای درخواست دسترسی به داده‌ها استفاده می‌کنند، باید مراحل زیر را برای تکمیل تأیید برند انجام دهند:

  1. تأیید کنید که برنامه شما تحت هیچ یک از موارد استفاده در بخش استثنائات الزامات تأیید قرار نمی‌گیرد.
  2. مطمئن شوید که برنامه شما با الزامات برندسازی APIها یا محصول مرتبط مطابقت دارد. برای مثال، به دستورالعمل‌های برندسازی برای حوزه‌های ورود به سیستم گوگل مراجعه کنید.
  3. مالکیت دامنه‌های مجاز پروژه خود را در کنسول جستجوی گوگل تأیید کنید. از یک حساب گوگل مرتبط با دامنه خود استفاده کنید. API Console به عنوان مالک یا ویراستار، پروژه را مدیریت کنید.
  4. مطمئن شوید که تمام اطلاعات مربوط به برند در صفحه رضایت OAuth، مانند نام برنامه، ایمیل پشتیبانی، آدرس صفحه اصلی، آدرس سیاست حفظ حریم خصوصی و غیره، به طور دقیق هویت برنامه را نشان می‌دهند.

الزامات صفحه اصلی برنامه

مطمئن شوید که صفحه اصلی شما شرایط زیر را برآورده می‌کند:

  • صفحه اصلی شما باید برای عموم قابل دسترسی باشد، و نه فقط برای کاربران وارد شده به سایت شما.
  • ارتباط صفحه اصلی شما با اپلیکیشنی که در دست بررسی است باید کاملاً مشخص باشد.
  • لینک‌هایی که به فهرست اپلیکیشن شما در گوگل پلی استور یا صفحه فیسبوک آن اشاره دارند، صفحات اصلی معتبری برای اپلیکیشن محسوب نمی‌شوند.

الزامات پیوند سیاست حفظ حریم خصوصی برنامه

مطمئن شوید که سیاست حفظ حریم خصوصی برنامه شما شرایط زیر را برآورده می‌کند:

  • سیاست حفظ حریم خصوصی باید برای کاربران قابل مشاهده باشد، در همان دامنه‌ای که صفحه اصلی برنامه شما قرار دارد، میزبانی شود و در صفحه رضایت OAuth برنامه به آن لینک داده شود. Google API Consoleتوجه داشته باشید که صفحه اصلی باید شامل شرحی از عملکرد برنامه و همچنین پیوندهایی به سیاست حفظ حریم خصوصی و شرایط خدمات اختیاری باشد.
  • سیاست حفظ حریم خصوصی باید نحوه دسترسی، استفاده، ذخیره یا اشتراک‌گذاری داده‌های کاربران گوگل توسط برنامه شما را افشا کند. شما باید استفاده خود از داده‌های کاربران گوگل را به رویه‌هایی که سیاست حفظ حریم خصوصی منتشر شده شما فاش می‌کند، محدود کنید.

نحوه ارسال برنامه برای تأیید

الف Google Cloud Console پروژه تمام شما را سازماندهی می‌کند Cloud Console منابع. یک پروژه شامل مجموعه‌ای از حساب‌های گوگل مرتبط است که مجوز انجام عملیات پروژه، مجموعه‌ای از APIهای فعال و تنظیمات صورتحساب، احراز هویت و نظارت برای آن APIها را دارند. به عنوان مثال، یک پروژه می‌تواند شامل یک یا چند کلاینت OAuth باشد، APIها را برای استفاده توسط آن کلاینت‌ها پیکربندی کند و یک صفحه رضایت OAuth را پیکربندی کند که قبل از اجازه دسترسی به برنامه شما به کاربران نشان داده می‌شود.

اگر هر یک از کلاینت‌های OAuth شما برای تولید آماده نیستند، پیشنهاد می‌کنیم آنها را از پروژه‌ای که درخواست تأیید دارد حذف کنید. می‌توانید این کار را در Clients page.

برای ارسال جهت تأیید، مراحل زیر را دنبال کنید:

  1. مطمئن شوید که برنامه شما با شرایط خدمات APIهای گوگل و خط‌مشی داده‌های کاربر سرویس‌های API گوگل مطابقت دارد.
  2. نقش‌های مالک و ویرایشگر حساب‌های کاربری مرتبط با پروژه خود و همچنین ایمیل پشتیبانی کاربر و اطلاعات تماس توسعه‌دهنده صفحه رضایت OAuth خود را به‌روز نگه دارید. Cloud Consoleاین تضمین می‌کند که اعضای صحیح تیم شما از هرگونه الزامات جدید مطلع می‌شوند.
  3. برو به Cloud Consoleمرکز تأیید OAuth
  4. روی دکمه انتخاب پروژه کلیک کنید.

  5. در پنجره‌ی «انتخاب از» که ظاهر می‌شود، پروژه‌ی خود را انتخاب کنید. اگر نمی‌توانید پروژه‌ی خود را پیدا کنید اما شناسه‌ی پروژه‌ی خود را می‌دانید، می‌توانید در مرورگر خود یک URL با فرمت زیر ایجاد کنید:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    به جای [PROJECT_ID] ، شناسه پروژه مورد نظر خود را وارد کنید.

  6. دکمه ویرایش برنامه را انتخاب کنید.
  7. اطلاعات لازم را در صفحه رضایت‌نامه OAuth وارد کنید و سپس دکمه ذخیره و ادامه را انتخاب کنید.
  8. از دکمه‌ی «افزودن یا حذف محدوده‌ها» برای اعلام تمام محدوده‌های درخواستی برنامه‌ی خود استفاده کنید. مجموعه‌ای اولیه از محدوده‌هایی که برای ورود به سیستم با گوگل ضروری هستند، در بخش محدوده‌های غیرحساس از قبل پر شده‌اند. محدوده‌های اضافه شده به عنوان غیرحساس طبقه‌بندی می‌شوند، sensitive, or restricted.
  9. حداکثر سه لینک به هرگونه مستندات مرتبط با ویژگی‌های مرتبط در برنامه خود ارائه دهید.

  10. هرگونه اطلاعات اضافی که در مراحل بعدی در مورد برنامه شما درخواست شد را ارائه دهید.

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."

    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
  11. اگر پیکربندی برنامه‌ای که ارائه می‌دهید نیاز به تأیید دارد، می‌توانید برنامه را برای تأیید ارسال کنید. فیلدهای مورد نیاز را پر کنید و سپس برای شروع فرآیند تأیید، روی ارسال کلیک کنید.

پس از ارسال برنامه، تیم اعتماد و ایمنی گوگل از طریق ایمیل هرگونه اطلاعات اضافی مورد نیاز یا مراحلی را که باید تکمیل کنید، پیگیری می‌کند. برای درخواست اطلاعات بیشتر، آدرس‌های ایمیل خود را در بخش اطلاعات تماس توسعه‌دهنده و ایمیل پشتیبانی صفحه رضایت OAuth خود بررسی کنید. همچنین می‌توانید صفحه صفحه رضایت OAuth پروژه خود را مشاهده کنید تا وضعیت فعلی بررسی پروژه خود را تأیید کنید، از جمله اینکه آیا روند بررسی در حین انتظار برای پاسخ شما متوقف شده است یا خیر.

استثنائات الزامات تأیید

اگر قرار است از برنامه شما در هر یک از سناریوهای شرح داده شده در بخش‌های بعدی استفاده شود، نیازی به ارسال آن برای بررسی ندارید.

استفاده شخصی

یک مورد استفاده این است که اگر شما تنها کاربر برنامه خود هستید یا اگر برنامه شما توسط تعداد کمی از کاربران استفاده می‌شود که همه آنها را شخصاً می‌شناسید، شما و تعداد محدود کاربرانتان ممکن است با عبور از صفحه برنامه تأیید نشده و اعطای دسترسی حساب‌های شخصی به برنامه خود، مشکلی نداشته باشید.

پروژه‌های مورد استفاده در سطوح توسعه، آزمایش یا مرحله‌بندی

برای رعایت سیاست‌های Google OAuth 2.0، توصیه می‌کنیم پروژه‌های مختلفی برای محیط‌های آزمایش و تولید داشته باشید. توصیه می‌کنیم فقط در صورتی برنامه خود را برای تأیید ارسال کنید که می‌خواهید برنامه‌تان را برای هر کاربری که دارای حساب Google است، در دسترس قرار دهید. بنابراین، اگر برنامه شما در مراحل توسعه، آزمایش یا مرحله‌بندی است، تأیید لازم نیست.

اگر برنامه شما در مراحل توسعه یا آزمایش است، می‌توانید وضعیت انتشار را در حالت پیش‌فرض «در حال آزمایش» باقی بگذارید. این تنظیم به این معنی است که برنامه شما هنوز در حال توسعه است و فقط برای کاربرانی که به لیست کاربران آزمایشی اضافه می‌کنید، در دسترس است. شما باید لیست حساب‌های گوگلی را که در توسعه یا آزمایش برنامه شما دخیل هستند، مدیریت کنید.

پیام هشدار مبنی بر اینکه گوگل برنامه‌ای را که در حال آزمایش است تأیید نکرده است.
شکل 2صفحه هشدار تستر

فقط داده‌های متعلق به سرویس

اگر برنامه شما از یک حساب سرویس فقط برای دسترسی به داده‌های خودش استفاده می‌کند و به هیچ داده کاربری (مرتبط با یک حساب Google) دسترسی ندارد، نیازی به ارسال برای تأیید ندارید.

برای درک اینکه حساب‌های سرویس چیستند، به بخش حساب‌های سرویس در مستندات Google Cloud مراجعه کنید. برای دستورالعمل‌های نحوه استفاده از یک حساب سرویس، به بخش استفاده از OAuth 2.0 برای برنامه‌های سرور به سرور مراجعه کنید.

فقط استفاده داخلی

این بدان معناست که برنامه فقط توسط افرادی که در سازمان Google Workspace یا Cloud Identity شما هستند استفاده می‌شود. این پروژه باید متعلق به سازمان باشد و صفحه رضایت OAuth آن باید برای نوع کاربر داخلی پیکربندی شود. در این حالت، ممکن است برنامه شما نیاز به تأیید مدیر سازمان داشته باشد. برای اطلاعات بیشتر، به ملاحظات بیشتر برای Google Workspace مراجعه کنید.

نصب در سطح دامنه

اگر قصد دارید برنامه‌تان فقط کاربران یک سازمان Google Workspace یا Cloud Identity را هدف قرار دهد و همیشه از نصب در سطح دامنه استفاده کند، برنامه شما نیازی به تأیید برند نخواهد داشت. با این حال، اگر برنامه شما از حوزه‌های محدود یا حساس استفاده می‌کند، تأیید برنامه الزامی است. دلیل این امر این است که نصب در سطح دامنه به مدیر دامنه اجازه می‌دهد تا به برنامه‌های شخص ثالث و داخلی اجازه دسترسی به داده‌های کاربران شما را بدهد. مدیران سازمان تنها حساب‌هایی هستند که می‌توانند برنامه را برای استفاده در دامنه‌های خود به لیست مجاز اضافه کنند.

در بخش سوالات متداول، نحوه نصب برنامه در کل دامنه را بیاموزید . برنامه من کاربرانی با حساب‌های سازمانی از یک دامنه Google Workspace دیگر دارد .