Si tu app solicita permiso para usar las APIs de Google y acceder a los datos de los usuarios de Google, es posible que debas completar un proceso de verificación antes de que tu app esté disponible públicamente por primera vez.
Si este requisito se aplica a tu app, depende principalmente de dos factores:
- El tipo de datos del usuario a los que accedes (información del perfil público, entradas del calendario, archivos en Drive, ciertos datos de actividad física, etc.)
- El grado de acceso que necesitas (solo lectura, lectura y escritura, etcétera)
Cuando usas OAuth 2.0 para obtener permiso de una Cuenta de Google para acceder a sus datos, usas cadenas llamadas permisos para especificar el tipo de datos a los que deseas acceder en su nombre. Si tu app solicita permisos categorizados como sensibles o restringidos, es probable que debas completar el proceso de verificación, a menos que el uso de tu app cumpla con una excepción.
Entre los ejemplos de permisos sensibles, se incluyen la lectura de eventos almacenados en el Calendario de Google, el almacenamiento de un contacto nuevo en Contactos de Google o el borrado de un video de YouTube. Para obtener más información sobre los permisos disponibles y sus clasificaciones, consulta la documentación de referencia de los extremos de la API a los que llama tu app y cualquier guía de autorización relacionada que se haya publicado para la API.
Debes solicitar permisos que requieran la menor cantidad de acceso a los datos del usuario que sea necesaria para proporcionar esa funcionalidad. Por ejemplo, una app que solo lee datos no debe solicitar acceso para leer, escribir y borrar contenido cuando hay un alcance más limitado disponible para la API y sus extremos relacionados. Los datos que recibas de una API de Google solo se deben usar de conformidad con las políticas de la API y de la manera en que se los representes a tus usuarios en las acciones de tu app y en tu política de privacidad.
Asegúrate de tener en cuenta el tiempo necesario para completar la verificación en tu plan de lanzamiento de la app o de las funciones nuevas que requieran un alcance nuevo. El proceso de verificación de permisos sensibles puede tardar hasta 10 días en completarse. Ten en cuenta que es posible que tu app cumpla con los requisitos para completar la verificación de marca como un subconjunto de tu solicitud de verificación de permisos sensibles.
Información sobre los permisos sensibles
Los permisos sensibles requieren la revisión de Google antes de que cualquier Cuenta de Google pueda otorgar acceso. Los administradores de la organización de Google Workspace pueden restringir el acceso a los permisos sensibles para evitar el acceso de los IDs de cliente de OAuth que la organización no marque explícitamente como de confianza.
Comprende el uso de tu alcance
- Revisa los permisos que usa tu app o que quieres usar. Para encontrar el uso de los permisos existentes, examina el código fuente de tu app en busca de permisos enviados con solicitudes de autorización.
- Determina que cada permiso solicitado es necesario para las acciones previstas de la función de tu app y usa el menor privilegio necesario para proporcionar la función. Por lo general, las APIs de Google tienen documentación de referencia en la página de Google Developers del producto para sus extremos, que incluye el alcance necesario para llamar al extremo o a propiedades específicas dentro de él. Para obtener más información sobre los permisos de acceso necesarios para los extremos de API que llama tu app, lee la documentación de referencia de esos extremos.
- Los datos que recibas de una API de Google solo se deben usar de conformidad con las políticas de la API y de la manera en que se los representes a tus usuarios en las acciones de tu app y en tu política de privacidad.
- Consulta la documentación de la API para obtener más información sobre cada permiso, incluido su posible estado .
- Declara todos los permisos que usa tu app en la página Acceso a los datos de la consola de Cloud. Los permisos que especifiques se agrupan en categorías sensibles o restringidas para destacar cualquier verificación adicional que se requiera.
- Busca el mejor alcance que coincida con los datos que usa tu integración, comprende su uso, vuelve a confirmar que todo siga funcionando en un entorno de prueba y, luego, prepárate para enviar la solicitud de verificación.
Pasos para prepararte para la verificación
Todas las apps que usan las APIs de Google para solicitar acceso a los datos deben completar los siguientes pasos para completar la verificación de la marca:
- Confirma que tu app no se incluya en ninguno de los casos de uso de la sección Excepciones a los requisitos de verificación.
- Asegúrate de que tu app cumpla con los requisitos de desarrollo de la marca de las APIs o el producto asociados. Por ejemplo, consulta los lineamientos de desarrollo de la marca para los permisos de Acceso con Google.
- Verifica la propiedad de los dominios autorizados de tu proyecto en Google Search Console. Usa una Cuenta de Google asociada a tu proyecto de la Consola de APIs como propietario o editor.
- Asegúrate de que toda la información de la marca en la pantalla de consentimiento de OAuth, como el nombre de la app, el correo electrónico de asistencia, el URI de la página principal, el URI de la política de privacidad, etcétera, represente con precisión la identidad de la app.
Requisitos de la página principal de la aplicación
Asegúrate de que tu página principal cumpla con los siguientes requisitos:
- Tu página principal debe ser de acceso público y no solo para los usuarios que accedieron a tu sitio.
- Debe ser clara la relevancia de la página principal para la app que se encuentra en proceso de revisión.
- Los vínculos a la ficha de tu app en Google Play Store o a su página de Facebook no se consideran páginas principales de la aplicación válidas.
Requisitos del vínculo a la política de privacidad de la aplicación
Asegúrate de que la política de privacidad de tu app cumpla con los siguientes requisitos:
- La política de privacidad debe ser visible para los usuarios, estar alojada en el mismo dominio que la página principal de tu aplicación y tener un vínculo en la pantalla de consentimiento de OAuth de la Consola de APIs de Google. Ten en cuenta que la página principal debe incluir una descripción de la funcionalidad de la app, así como vínculos a la política de privacidad y a las Condiciones del Servicio opcionales.
- La política de privacidad debe divulgar la manera en que tu aplicación accede a los datos del usuario de Google, los usa, almacena o comparte. Debes limitar el uso de los datos de los usuarios de Google a las prácticas que divulgue tu política de privacidad publicada.
Cómo enviar tu app para la verificación de la marca
Un proyecto de la consola de Google Cloud organiza todos tus recursos de la consola de Cloud. Un proyecto consta de un conjunto de cuentas de Google asociadas que tienen permiso para realizar operaciones del proyecto, un conjunto de APIs habilitadas y configuración de facturación, autenticación y supervisión para esas APIs. Por ejemplo, un proyecto puede contener uno o más clientes de OAuth, configurar APIs para que las usen esos clientes y configurar una pantalla de consentimiento de OAuth que se muestre a los usuarios antes de que autoricen el acceso a tu app.
Si alguno de tus clientes de OAuth no está listo para la producción, te sugerimos que lo borres del proyecto que solicita la verificación. Puedes hacerlo en la página Clientes.
Para enviar tu canal a verificación, sigue estos pasos:
- Asegúrate de que tu app cumpla con las Condiciones del Servicio de las APIs de Google y la Política de Datos del Usuario de los Servicios de las APIs de Google.
- Mantén actualizados los roles de propietario y editor de las cuentas asociadas de tu proyecto, así como el correo electrónico de asistencia al usuario y la información de contacto del desarrollador de la pantalla de consentimiento de OAuth en tu consola de Cloud. Esto garantiza que los miembros correctos de tu equipo reciban notificaciones sobre los requisitos nuevos.
- Ve a la página de desarrollo de la marca de OAuth de Cloud Console.
- Haz clic en el botón Selector de proyectos.
-
En el cuadro de diálogo Seleccionar de que aparece, selecciona tu proyecto. Si no encuentras tu proyecto, pero conoces su ID, puedes crear una URL en tu navegador con el siguiente formato:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
Reemplaza [PROJECT_ID] por el ID del proyecto que deseas usar.
- En la página Desarrollo de la marca, proporciona la información de desarrollo de la marca de tu app, incluidos el nombre, el logotipo, la información de contacto del desarrollador y los vínculos pertinentes. Los cambios que realices se guardarán como Marca de borrador.
- Haz clic en el botón Verificar la marca para iniciar el proceso de evaluación. Por lo general, la revisión automática se completa en unos minutos.
- Una vez que se complete la evaluación, revisa el estado. Si se ejecuta de forma correcta, el estado cambia a Listo para publicarse. Si falla la verificación automática, puedes ver los problemas detectados y corregirlos o solicitar una revisión manual.
- Haz clic en el botón Publicar la marca para publicar la nueva marca.
-
Si tu app también requiere verificación para los permisos sensibles o restringidos, navega al Centro de verificación de OAuth para hacer un seguimiento del Estado de acceso a los datos y proporcionar cualquier información adicional solicitada, como un video de demostración. Ten en cuenta que debes tener un estado de marca publicado antes de poder solicitar la verificación para el acceso a los datos.
- Usa el botón Agregar o quitar permisos para declarar todos los permisos
que solicita tu app. En la sección
Permisos no sensibles, se precompleta un conjunto inicial de permisos necesarios para el Acceso con Google. Los permisos agregados se clasifican como no sensibles,
sensitive, or
<a href="/identity/protocols/oauth2/production-readiness/restricted-scope-verification"
restricted.
- Proporciona hasta tres vínculos a la documentación pertinente de las funciones relacionadas en tu app.
-
Proporciona cualquier información adicional que se solicite sobre tu app en los pasos posteriores.
- Prepare a detailed justification for each requested sensitive scope, as
well as an explanation for why a narrower scope isn't sufficient. For
example: "My app will use
https://www.googleapis.com/auth/calendarto show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar." -
Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.
- Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
- Show that the OAuth consent screen correctly displays the App Name.
- Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
- To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
- Prepare a detailed justification for each requested sensitive scope, as
well as an explanation for why a narrower scope isn't sufficient. For
example: "My app will use
Después de que publiques tu desarrollo de la marca o envíes una solicitud de acceso a los datos, es posible que el equipo de Confianza y Seguridad de Google te envíe un correo electrónico con información adicional o los pasos que debes completar. Verifica tus direcciones de correo electrónico en la sección Información de contacto del desarrollador y el correo electrónico de asistencia de tu pantalla de consentimiento de OAuth para ver si hay solicitudes de información adicional. También puedes consultar las páginas de Branding o del Centro de verificación de tu proyecto para confirmar el estado actual de la revisión, incluido si el proceso de revisión está en pausa mientras esperamos tu respuesta.
Excepciones a los requisitos de verificación
Si tu app se usará en alguna de las situaciones que se describen en las siguientes secciones, no es necesario que la envíes para su revisión.
Uso personal
Un caso de uso es si eres el único usuario de tu app o si solo la usan unos pocos usuarios, a quienes conoces personalmente. Es posible que tú y tu cantidad limitada de usuarios se sientan cómodos con avanzar por la pantalla de app no verificada y otorgar acceso a tus cuentas personales a la app.
Proyectos utilizados en los niveles de desarrollo, prueba o etapa de pruebas
Para cumplir con las Políticas de OAuth 2.0 de Google, te recomendamos que tengas proyectos diferentes para los entornos de prueba y producción. Te recomendamos que solo envíes tu app para su verificación si quieres que esté disponible para cualquier usuario que tenga una Cuenta de Google. Por lo tanto, si tu app se encuentra en las fases de desarrollo, prueba o etapa de pruebas, no se requiere la verificación.
Si tu app está en las fases de desarrollo o prueba, puedes dejar el Estado de publicación en el parámetro de configuración predeterminado de Prueba. Este parámetro de configuración significa que tu app aún está en desarrollo y solo está disponible para los usuarios que agregues a la lista de usuarios de prueba. Debes administrar la lista de Cuentas de Google que participan en el desarrollo o las pruebas de tu app.
Solo datos propiedad del servicio
Si tu app usa una cuenta de servicio para acceder solo a sus propios datos y no accede a ningún dato del usuario (vinculado a una Cuenta de Google), no es necesario que la envíes para su verificación.
Para comprender qué son las cuentas de servicio, consulta Cuentas de servicio en la documentación de Google Cloud. Si deseas obtener instrucciones para usar una cuenta de servicio, consulta Cómo usar OAuth 2.0 para aplicaciones de servidor a servidor.
Solo para uso interno
Esto significa que solo las personas de tu organización de Google Workspace o Cloud Identity usan la app. El proyecto debe ser propiedad de la organización, y su pantalla de consentimiento de OAuth debe configurarse para un tipo de usuario interno. En este caso, es posible que tu app necesite la aprobación de un administrador de la organización. Para obtener más información, consulta Consideraciones adicionales para Google Workspace.
- Obtén más información sobre las aplicaciones internas y públicas.
- Obtén información para marcar tu app como interna en la sección de preguntas frecuentes ¿Cómo puedo marcar mi app como solo para uso interno?
Instalación en todo el dominio
Si planeas que tu app solo se dirija a los usuarios de una organización de Google Workspace o Cloud Identity y siempre uses la instalación en todo el dominio, tu app no requerirá la verificación de la marca. Sin embargo, si tu app utiliza permisos sensibles o restringidos, se requiere la verificación de app. Esto se debe a que una instalación en todo el dominio permite que un administrador del dominio otorgue a las aplicaciones internas y de terceros acceso a los datos de los usuarios. Los administradores de la organización son las únicas cuentas que pueden agregar la app a una lista de entidades permitidas para usarla en sus dominios.
En las preguntas frecuentes, obtén más información para convertir tu app en una instalación en todo el dominio: Mi aplicación tiene usuarios con cuentas empresariales de otro dominio de Google Workspace.