Hassas kapsam doğrulaması

Uygulamanız, Google kullanıcılarının verilerine erişmek için Google API'lerini kullanma izni istiyorsa uygulamanızı ilk kez herkese açık olarak kullanıma sunmadan önce bir doğrulama sürecini tamamlamanız gerekebilir.

Bu şartın uygulamanız için geçerli olup olmadığı büyük ölçüde iki faktöre bağlıdır:

  1. Eriştiğiniz kullanıcı verilerinin türü (ör. herkese açık profil bilgileri, takvim girişleri, Drive'daki dosyalar, belirli sağlık ve fitness verileri)
  2. İhtiyacınız olan erişim derecesi (salt okuma, okuma ve yazma vb.)

Bir Google Hesabı'ndan verilerine erişmek için izin almak üzere OAuth 2.0'ı kullandığınızda, kullanıcı adına erişmek istediğiniz veri türünü belirtmek için kapsam adı verilen dizeleri kullanırsınız. Uygulamanız hassas veya kısıtlanmış olarak sınıflandırılan kapsamlar istiyorsa uygulamanızın kullanımı istisna için uygun olmadığı sürece doğrulama sürecini tamamlamanız gerekir.

Hassas kapsam örnekleri arasında Google Takvim'de depolanan etkinlikleri okuma, Google Kişiler'e yeni bir kişi kaydetme veya YouTube videosunu silme yer alır. Kullanılabilir kapsamlar ve bunların sınıflandırmaları hakkında daha fazla bilgi için uygulamanız tarafından çağrılan API uç noktalarının referans belgelerine ve API için yayınlanan ilgili yetkilendirme kılavuzlarına bakın.

Bu işlevselliği sağlamak için gereken kullanıcı verilerine en az erişim gerektiren kapsamları istemelisiniz. Örneğin, yalnızca veri okuyan bir uygulama, API ve ilgili uç noktaları için daha dar bir kapsam mevcutken içerik okuma, yazma ve silme erişimi istememelidir. Google API'lerinden aldığınız veriler yalnızca API'nin politikalarına uygun olarak ve uygulamanızın işlemlerinde ve gizlilik politikanızda kullanıcılarınıza sunduğunuz şekilde kullanılmalıdır.

Uygulamanızın veya yeni kapsam gerektiren yeni özelliklerin lansman planına doğrulamanın tamamlanması için gereken süreyi eklemeyi unutmayın. Hassas kapsam doğrulama işleminin tamamlanması 10 gün sürebilir. Uygulamanızın, hassas kapsam doğrulama isteğinizin bir alt kümesi olarak marka doğrulamasını tamamlamaya uygun olabileceğini unutmayın.

Hassas kapsamları anlama

Hassas kapsamlar için herhangi bir Google Hesabı erişim izni vermeden önce Google tarafından inceleme yapılması gerekir. Google Workspace kuruluş yöneticileri, kuruluşun açıkça güvenilir olarak işaretlemediği OAuth istemci kimliklerinin erişimini engellemek için hassas kapsamlar erişimini kısıtlayabilir.

Kapsam kullanımınızı anlama

  • Uygulamanızın kullandığı veya kullanmak istediğiniz kapsamları inceleyin. Mevcut kapsam kullanımınızı bulmak için, uygulamanızın kaynak kodunda yetkilendirme istekleriyle gönderilen kapsamları inceleyin.
  • İstenen her kapsamın, uygulama özelliğinizin amaçlanan işlemleri için gerekli olduğunu ve özelliği sağlamak için gereken en az ayrıcalığı kullandığını belirleyin. Bir Google API'si genellikle uç noktaları için ürünün Google Developers sayfasında referans dokümanlarına sahiptir. Bu dokümanlar, uç noktayı veya belirli özellikleri çağırmak için gereken kapsamı içerir. Uygulamanızın çağırdığı API uç noktaları için gerekli erişim kapsamları hakkında daha fazla bilgi edinmek istiyorsanız bu uç noktaların referans belgelerini okuyun.
  • Bir Google API'sinden aldığınız veriler yalnızca API'nin politikalarına uygun olarak ve uygulamanızın işlemlerinde ve gizlilik politikanızda kullanıcılarınıza sunduğunuz şekilde kullanılmalıdır.
  • Her kapsam ve kapsamın olası durumu hakkında daha fazla bilgi edinmek için API belgelerine bakın.
  • Uygulamanızın kullandığı tüm kapsamları Cloud Console'daki Veri Erişimi sayfasında beyan edin. Belirttiğiniz kapsamlar, gerekli ek doğrulamaları vurgulamak için hassas veya kısıtlı kategorilerde gruplandırılır.
  • Entegrasyonunuz tarafından kullanılan verilerle eşleşen en iyi kapsamı bulun, kullanımını anlayın, test ortamında her şeyin hâlâ çalıştığını yeniden onaylayın ve ardından doğrulama için göndermeye hazırlanın.
Bir tabloda API'nin adı, hassas kapsamlarından biri ve kapsamın neyi kapsadığına dair bir açıklama gösterilir.
Şekil 1. OAuth kullanıcı rızası ekranı yapılandırması kapsamları sayfasında gösterilen hassas bir kapsam örneği.

Doğrulamaya hazırlanma adımları

Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamaların marka doğrulamasını tamamlamak için aşağıdaki adımları uygulaması gerekir:

  1. Uygulamanızın, Doğrulama şartlarıyla ilgili istisnalar bölümündeki kullanım alanlarından herhangi birine girmediğini onaylayın.
  2. Uygulamanızın, ilişkili API'lerin veya ürünün markalama koşullarına uygun olduğundan emin olun. Örneğin, Google ile oturum açma kapsamlarına ilişkin markalama kurallarına bakın.
  3. Projenizin yetkili alan adlarının sahipliğini Google Search Console'da doğrulayın. API Console projenizle ilişkili bir Google Hesabı'nı Sahip veya Düzenleyen olarak kullanın.
  4. OAuth kullanıcı rızası ekranındaki tüm marka bilgileri (ör. uygulama adı, destek e-postası, ana sayfa URI'si, gizlilik politikası URI'si vb.) uygulamanın kimliğini doğru şekilde temsil etmelidir.

Uygulama ana sayfası koşulları

Ana sayfanızın aşağıdaki koşulları karşıladığından emin olun:

  • Ana sayfanız yalnızca sitenize giriş yapmış kullanıcılar tarafından değil, herkes tarafından erişilebilir olmalıdır.
  • Ana sayfanızın, incelenen uygulamayla alaka düzeyi net olmalıdır.
  • Uygulamanızın Google Play Store'daki girişine veya Facebook sayfasına yönlendiren bağlantılar geçerli uygulama ana sayfaları olarak kabul edilmez.

Uygulamanın gizlilik politikası bağlantısı şartları

Uygulamanızın gizlilik politikasının aşağıdaki koşulları karşıladığından emin olun:

  • Gizlilik politikası, kullanıcılar tarafından görülebilir olmalı, uygulamanızın ana sayfasıyla aynı alan adında barındırılmalı ve Google API Konsolu'nun OAuth kullanıcı rızası ekranında bağlantısı verilmelidir. Ana sayfada uygulamanın işlevselliğinin açıklaması, gizlilik politikası bağlantıları ve isteğe bağlı hizmet şartları bağlantıları bulunmalıdır.
  • Gizlilik politikası, uygulamanızın Google kullanıcı verilerine erişme, bunları kullanma, depolama veya paylaşma şeklini açıklamalıdır. Google kullanıcı verilerini kullanımınızı, yayınladığınız gizlilik politikanızda açıklanan uygulamalarla sınırlamanız gerekir.

Uygulamanızı marka doğrulaması için gönderme

Google Cloud Console projesi, tüm Cloud Console kaynaklarınızı düzenler. Bir proje, proje işlemlerini gerçekleştirme iznine sahip bir dizi ilişkili Google Hesabı, etkinleştirilmiş bir dizi API ve bu API'lerin faturalandırma, kimlik doğrulama ve izleme ayarlarından oluşur. Örneğin, bir proje bir veya daha fazla OAuth istemcisi içerebilir, bu istemciler tarafından kullanılacak API'leri yapılandırabilir ve kullanıcılar uygulamanıza erişimi yetkilendirmeden önce gösterilen bir OAuth kullanıcı rızası ekranı yapılandırabilir.

OAuth istemcilerinizden herhangi biri üretime hazır değilse bunları doğrulama isteğinde bulunan projeden silmenizi öneririz. Bu işlemi Müşteriler sayfasında yapabilirsiniz.

Doğrulama için göndermek üzere aşağıdaki adımları uygulayın:

  1. Uygulamanızın Google API'leri Hizmet Şartları'na ve Google API Hizmetleri Kullanıcı Verileri Politikası'na uygun olduğundan emin olun.
  2. Cloud Console'da projenizin ilişkili hesaplarının sahibi ve düzenleyici rollerini, OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini güncel tutun. Bu sayede, ekibinizin doğru üyeleri yeni şartlardan haberdar edilir.
  3. Cloud Console OAuth Markalama sayfasına gidin.
  4. Proje seçici düğmesini tıklayın.
  5. Açılan Şundan seçin iletişim kutusunda projenizi seçin. Projenizi bulamıyorsanız ancak proje kimliğinizi biliyorsanız tarayıcınızda aşağıdaki biçimde bir URL oluşturabilirsiniz:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    [PROJECT_ID] kısmını, kullanmak istediğiniz proje kimliğiyle değiştirin.

  6. Markalama sayfasında, uygulama adı, logo, geliştirici iletişim bilgileri ve ilgili bağlantılar dahil olmak üzere uygulamanızın marka bilgilerini sağlayın. Yaptığınız tüm değişiklikler Markalama Taslağı olarak kaydedilir.
  7. Değerlendirme sürecini başlatmak için Markayı Doğrula düğmesini tıklayın. Otomatik inceleme genellikle birkaç dakika içinde tamamlanır.
  8. Değerlendirme tamamlandıktan sonra durumu inceleyin. İşlem başarılı olursa durum Yayınlanmaya hazır olarak değişir. Otomatik doğrulama başarısız olursa tespit edilen sorunları görebilir, bunları düzeltebilir veya manuel inceleme isteğinde bulunabilirsiniz.
  9. Yeni markalamayı yayınlamak için Markalamayı yayınla düğmesini tıklayın.
  10. Uygulamanızın hassas veya kısıtlı kapsamlar için de doğrulama gerektirmesi durumunda Veri erişimi durumunuzu takip etmek ve istenen ek bilgileri (ör. tanıtım videosu) sağlamak için OAuth Doğrulama Merkezi'ne gidin. Veri erişimi için doğrulama isteğinde bulunabilmeniz için yayınlanmış bir markalama durumunuzun olması gerektiğini unutmayın.

  11. Uygulamanızın istediği tüm kapsamları tanımlamak için Kapsam ekleme veya kaldırma düğmesini kullanın. Google ile Oturum Açma için gerekli olan ilk kapsam grubu, Hassas olmayan kapsamlar bölümünde önceden doldurulur. Eklenen kapsamlar hassas olmayan olarak sınıflandırılır. sensitive, or <a href="/identity/protocols/oauth2/production-readiness/restricted-scope-verification"

    restricted.

  12. Uygulamanızdaki ilgili özelliklerle ilgili tüm belgeler için en fazla üç bağlantı sağlayın.
  13. Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."
    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.

Markanızı yayınladıktan veya veri erişimi isteği gönderdikten sonra Google'ın Güven ve Güvenlik ekibi, ihtiyaç duyduğu ek bilgiler veya tamamlamanız gereken adımlar için e-posta yoluyla sizinle iletişime geçebilir. Ek bilgi istekleri için Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth kullanıcı rızası ekranınızın destek e-posta adresini kontrol edin. Ayrıca, projenizin mevcut inceleme durumunu (ör. yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı) onaylamak için projenizin Markalama veya Doğrulama Merkezi sayfalarını da görüntüleyebilirsiniz.

Doğrulama koşullarıyla ilgili istisnalar

Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa incelemeye göndermeniz gerekmez.

Kişisel kullanım

Uygulamanızın tek kullanıcısıysanız veya uygulamanız yalnızca birkaç kullanıcı tarafından kullanılıyorsa (bu kullanıcıların hepsini şahsen tanıyorsanız) bu yöntem kullanılabilir. Siz ve sınırlı sayıdaki kullanıcılarınız, doğrulanmamış uygulama ekranında ilerleyip kişisel hesaplarınızın uygulamanıza erişmesine izin vermeyi tercih edebilirsiniz.

Geliştirme, test veya hazırlık katmanlarında kullanılan projeler

Google OAuth 2.0 Politikaları'na uymak için test ve üretim ortamları için farklı projeler kullanmanızı öneririz. Uygulamanızı yalnızca Google Hesabı olan tüm kullanıcıların kullanımına sunmak istiyorsanız doğrulama için göndermenizi öneririz. Bu nedenle, uygulamanız geliştirme, test veya hazırlık aşamasındaysa doğrulama gerekmez.

Uygulamanız geliştirme veya test aşamasındaysa Yayınlanma Durumu'nu Test varsayılan ayarında bırakabilirsiniz. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca test kullanıcıları listesine eklediğiniz kullanıcılar tarafından kullanılabildiği anlamına gelir. Uygulamanızın geliştirilmesine veya test edilmesine dahil olan Google Hesapları listesini yönetmeniz gerekir.

Google'ın, test aşamasındaki bir uygulamayı doğrulamadığına dair uyarı mesajı.
Şekil 2. Test kullanıcısı uyarı ekranı

Yalnızca hizmete ait veriler

Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve herhangi bir kullanıcı verisine (Google Hesabı'na bağlı) erişmiyorsa doğrulama için göndermeniz gerekmez.

Hizmet hesaplarının ne olduğunu anlamak için Google Cloud belgelerindeki Hizmet hesapları bölümünü inceleyin. Hizmet hesabı kullanmayla ilgili talimatlar için Sunucudan sunucuya uygulamalar için OAuth 2.0'ı kullanma başlıklı makaleyi inceleyin.

Yalnızca dahili kullanım

Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kullanıcılar tarafından kullanıldığı anlamına gelir. Proje kuruluşa ait olmalı ve OAuth kullanıcı rızası ekranı Dahili kullanıcı türü için yapılandırılmalıdır. Bu durumda, uygulamanızın bir kuruluş yöneticisi tarafından onaylanması gerekebilir. Daha fazla bilgi için Google Workspace ile ilgili ek dikkat edilmesi gerekenler başlıklı makaleyi inceleyin.

Alan genelinde yükleme

Uygulamanızın yalnızca Google Workspace veya Cloud Identity kuruluşlarının kullanıcılarını hedeflemesini ve her zaman alan genelinde kurulum kullanmasını planlıyorsanız uygulamanızın marka doğrulaması yapması gerekmez. Ancak uygulamanız kısıtlı veya hassas kapsamlar kullanıyorsa uygulama doğrulaması gerekir. Bunun nedeni, alan genelinde yükleme yapıldığında alan yöneticisinin üçüncü taraf ve dahili uygulamalara kullanıcılarınızın verilerine erişim izni vermesidir. Uygulamayı alanlarında kullanmak üzere izin verilenler listesine yalnızca kuruluş yöneticileri ekleyebilir.

Uygulamanızı alan genelinde yükleme haline getirme hakkında bilgi edinmek için SSS bölümüne bakın. Uygulamamda başka bir Google Workspace alanından kurumsal hesapları olan kullanıcılar var.