Hassas kapsam doğrulaması

Uygulamanız, Google kullanıcılarının verilerine erişmek için Google API'lerini kullanma izni isterse uygulamanızı ilk kez herkese açık hale getirmeden önce bir doğrulama işlemini tamamlamanız gerekebilir.

Bu şartın uygulamanız için geçerli olup olmadığı çoğunlukla iki faktöre bağlıdır:

1. Eriştiğiniz kullanıcı verilerinin türü (herkese açık profil bilgileri, takvim girişleri, Drive'daki dosyalar, belirli sağlık ve fitness verileri vb.).
2. İhtiyacınız olan erişim düzeyi (salt okuma, okuma ve yazma vb.)

Bir Google Hesabından verilerine erişim izni almak için OAuth 2.0 kullandığınızda, hesap sahibi adına erişmek istediğiniz veri türünü belirtmek için kapsamlar adı verilen dizeler kullanırsınız. Uygulamanız, hassas veya kısıtlı olarak sınıflandırılan kapsamlar istiyorsa uygulamanızın kullanımı istisnaya uygun olmadığı sürece muhtemelen doğrulama sürecini tamamlamanız gerekir.

Hassas kapsamlara örnek olarak Google Takvim'de depolanan etkinlikleri okuma, Google Kişiler'de yeni bir kişiyi depolama veya bir YouTube videosunu silme verilebilir. Kullanılabilir kapsamlar ve bunların sınıflandırmaları hakkında daha fazla bilgi için uygulamanız tarafından çağrılan API uç noktalarının referans belgelerine ve API için yayınlanan ilgili yetkilendirme kılavuzuna bakın.

Bu işlevi sağlamak için gereken kullanıcı verilerine en az düzeyde erişim gerektiren kapsamları istemeniz gerekir. Örneğin, yalnızca veri okuyan bir uygulama, API ve ilgili uç noktaları için daha dar bir kapsam mevcut olduğunda içerik okuma, yazma ve silme erişimi isteğinde bulunmamalıdır. Google API'lerinden aldığınız veriler yalnızca API politikalarına uygun olarak, uygulamanızın eylemlerinde ve gizlilik politikanızda kullanıcılarınıza temsil ettiğiniz şekilde kullanılmalıdır.

Doğrulama işlemini uygulamanızın lansman planınızda veya yeni bir kapsam gerektiren yeni özelliklerle tamamlamak için gereken süreyi hesaba kattığınızdan emin olun. Hassas kapsam doğrulama işleminin tamamlanması genellikle 3-5 iş günü sürer. Uygulamanızın, hassas kapsam doğrulama isteğinizin bir alt kümesi olarak marka doğrulamasını tamamlamaya uygun olabileceğini unutmayın.

Hassas kapsamları anlama

Herhangi bir Google Hesabının erişim izni verebilmesi için hassas kapsamların Google tarafından incelenmesi gerekir. Google Workspace kuruluş yöneticileri, kuruluşun açıkça güvenilir olarak işaretlemediği OAuth istemci kimliklerinin erişimini engellemek için hassas kapsamlara erişimi kısıtlayabilir.

Kapsam kullanımınızı anlama

• Uygulamanızın kullandığı veya kullanmak istediğiniz kapsamları inceleyin. Mevcut kapsam kullanımınızı bulmak için uygulamanızın kaynak kodunu inceleyerek yetkilendirme istekleriyle gönderilen kapsamlar olup olmadığını kontrol edin.
• İstenen her kapsamın, uygulama özelliğinizin amaçlanan işlemleri için gerekli olduğunu ve özelliği sağlamak için gereken en düşük ayrıcalığı kullandığını belirleyin. Google API'leri genellikle ürünün uç noktaları için Google Geliştirici sayfasında, uç noktayı veya içindeki belirli özellikleri çağırmak için gerekli kapsamı içeren referans belgeler içerir. Uygulamanızın çağırdığı API uç noktaları için gerekli erişim kapsamları hakkında daha fazla bilgi edinmek istiyorsanız bu uç noktaların referans belgelerini okuyun.
• Google API'lerinden aldığınız veriler yalnızca API politikalarına uygun olarak, uygulamanızın eylemlerinde ve gizlilik politikanızda kullanıcılarınızı temsil ettiğiniz şekilde kullanılmalıdır.
• Her kapsam ve potansiyel sensitive or restricted durumu hakkında daha fazla bilgi için API belgelerine göz atın.
• Uygulamanızın kullandığı tüm kapsamları, API Consoleürününün OAuth izin ekranı yapılandırma kapsamları sayfasında tanımlayın. Belirttiğiniz kapsamlar, gerekli ek doğrulamaları vurgulamak için hassas veya kısıtlanmış kategoriler halinde gruplandırılır.
• Entegrasyonunuzun kullandığı verilerle eşleşen en iyi kapsamı bulun, kapsamın kullanımını anlayın, test ortamında her şeyin hâlâ çalıştığından emin olun ve ardından doğrulama için gönderilmeye hazırlanın.

Doğrulamaya hazırlanma adımları

Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamalar, marka doğrulamasını tamamlamak için aşağıdaki adımları uygulamalıdır:

1. Uygulamanızın, Doğrulama şartları istisnaları bölümündeki kullanım alanlarının hiçbirine girmediğini onaylayın.
2. Uygulamanızın, ilişkili API'lerin veya ürünün marka gereksinimleriyle uyumlu olduğundan emin olun. Örneğin, Google ile Oturum Açma kapsamları için marka bilinci oluşturma yönergelerine bakın.
3. Google Search Console'da projenizin yetkili alanlarının sahipliğini doğrulayın. Projenizle ilişkili bir Google Hesabı'nı API Console Sahip veya Düzenleyici olarak kullanın.
4. OAuth kullanıcı rızası ekranında uygulama adı, destek e-postası, ana sayfa URI'si, gizlilik politikası URI'si gibi marka bilgilerinin uygulamanın kimliğini doğru şekilde temsil ettiğinden emin olun.

Uygulama ana sayfası gereksinimleri

Ana sayfanızın aşağıdaki koşulları karşıladığından emin olun:

• Ana sayfanız herkesin erişimine açık olmalı, yalnızca sitenize giriş yapan kullanıcılar tarafından erişilebilir olmamalıdır.
• Ana sayfanızın incelenmekte olan uygulamayla alaka düzeyi açıkça belirtilmelidir.
• Uygulamanızın Google Play Store'daki veya Facebook sayfasındaki giriş bağlantıları, geçerli uygulama ana sayfası olarak kabul edilmez.

Uygulama gizlilik politikası bağlantı şartları

Uygulamanızın gizlilik politikasının aşağıdaki şartları karşıladığından emin olun:

• Gizlilik politikası; kullanıcılar tarafından görülebilmeli, uygulamanızın ana sayfasıyla aynı alanda barındırılmalı ve Google API Consolecihazının OAuth izin ekranında bağlantılı olmalıdır. Ana sayfada, uygulamanın işleviyle ilgili bir açıklamanın yanı sıra gizlilik politikası ve isteğe bağlı hizmet şartlarının bağlantılarının yer alması gerektiğini unutmayın.
• Uygulamanızın, Google kullanıcı verilerine nasıl eriştiği, bu verileri nasıl kullandığı, sakladığı veya paylaştığı gizlilik politikasında açıklanmalıdır. Google kullanıcı verilerini kullanımınızı, yayınlanmış gizlilik politikanızda açıklanan uygulamalarla sınırlandırmanız gerekir.

Uygulamanızı doğrulanmak üzere gönderme

Google API Console Proje, tüm API Console kaynaklarınızı düzenler. Proje; proje işlemlerini gerçekleştirme izni olan ilişkilendirilmiş Google Hesapları, bir dizi etkin API ve bu API'ler için faturalandırma, kimlik doğrulama ve izleme ayarlarından oluşur. Örneğin, projeler bir veya daha fazla OAuth istemcisi içerebilir, bu istemciler tarafından kullanılacak API'leri yapılandırabilir ve uygulamanıza erişimi yetkilendirmeden önce kullanıcılara gösterilecek bir OAuth izin ekranı yapılandırabilir.

OAuth istemcilerinizden herhangi biri üretim için hazır değilse bunları doğrulama isteğinde bulunan projeden silmenizi öneririz. Bu işlemi Google API Consolebölümünde yapabilirsiniz.

Doğrulama için göndermek üzere aşağıdaki adımları uygulayın:

1. Uygulamanızın Google API'leri Hizmet Şartları ve Google API Hizmetleri Kullanıcı Verileri Politikası'na uyduğundan emin olun.
2. API Consolehesabınızda projenizle ilişkilendirilmiş hesaplardaki sahip ve düzenleyici rollerinin yanı sıra OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini güncel tutun. Bu sayede tüm yeni gereksinimler ekibinizin doğru üyelerine bildirilir.
3. API Console OAuth Consent Screen page'a gidin.
4. Proje seçici düğmesini tıklayın.

5. Açılan Seçin iletişim kutusunda projenizi seçin. Projenizi bulamıyorsanız ancak proje kimliğinizi biliyorsanız tarayıcınızda aşağıdaki biçimde bir URL oluşturabilirsiniz:

   https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

   [PROJECT_ID] kısmını, kullanmak istediğiniz proje kimliğiyle değiştirin.

6. Uygulamayı Düzenle düğmesini seçin.
7. OAuth izin ekranı sayfasına gerekli bilgileri girin, ardından Kaydet ve devam et düğmesini seçin.
8. Uygulamanız tarafından istenen tüm kapsamları bildirmek için Kapsam ekle veya kaldır düğmesini kullanın. Google ile Oturum Açma için gereken başlangıçtaki kapsam grubu, Hassas olmayan kapsamlar bölümünde önceden doldurulur. Eklenen kapsamlar hassas olmayan olarak sınıflandırılır: sensitive, or restricted.
9. Uygulamanızdaki ilgili özelliklerle ilgili belgeler için en fazla üç bağlantı sağlayın.

10. Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."

    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

       1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
       2. Show that the OAuth consent screen correctly displays the App Name.
       3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
       4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
11. Sağladığınız uygulama yapılandırması doğrulama gerektiriyorsa uygulamayı doğrulanması için gönderebilirsiniz. Zorunlu alanları doldurun ve doğrulama sürecini başlatmak için Gönder'i tıklayın.

Uygulamanızı gönderdikten sonra Google'ın Güvenlik Ekibi ihtiyaç duydukları ek bilgileri veya tamamlamanız gereken adımları içeren bir e-posta göndererek sizinle iletişime geçer. Ek bilgi istekleri için Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth izin ekranınızın destek e-posta adresini kontrol edin. Projenizin mevcut inceleme durumunu (ör. biz yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı) doğrulamak için projenizin OAuth izin ekranı sayfasını da görüntüleyebilirsiniz.

Doğrulama şartlarıyla ilgili istisnalar

Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa incelemeye göndermeniz gerekmez.

Kişisel kullanım

Bu kullanım alanlarından biri, uygulamanızın tek kullanıcısı olmanız veya uygulamanızın, tümünü şahsen tanıdığınız birkaç kullanıcı tarafından kullanılmasıdır. Hem siz hem de sınırlı sayıda kullanıcınız, doğrulanmamış uygulama ekranı'nda ilerleyip kişisel hesaplarınızın uygulamanıza erişmesine izin vermekten çekinebilir.

Geliştirme, Test veya Hazırlık katmanlarında kullanılan projeler

Google OAuth 2.0 Politikaları'na uyabilmek için test ve üretim ortamlarına yönelik farklı projelerinizin olmasını öneririz. Uygulamanızı yalnızca Google Hesabı olan tüm kullanıcılara sunmak istiyorsanız doğrulama için göndermenizi öneririz. Bu nedenle, uygulamanız geliştirme, test veya hazırlık aşamalarındaysa doğrulama gerekmez.

Uygulamanız geliştirme veya test aşamalarındaysa Yayınlama Durumu'nu varsayılan Test ayarında bırakabilirsiniz. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca test kullanıcıları listesine eklediğiniz kullanıcılar tarafından kullanılabileceği anlamına gelir. Uygulamanızın geliştirilmesinde veya testinde kullanılan Google Hesaplarının listesini yönetmeniz gerekir.

Yalnızca hizmete ait veriler

Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve hiçbir kullanıcı verisine (bir Google Hesabı'na bağlı) erişemezse doğrulama için göndermeniz gerekmez.

Hizmet hesaplarının ne olduğunu anlamak için Google Cloud belgelerindeki Hizmet hesapları bölümünü inceleyin. Hizmet hesabının nasıl kullanılacağıyla ilgili talimatlar için Sunucudan sunucuya uygulamalar için OAuth 2.0'ı kullanma başlıklı makaleye bakın.

Yalnızca dahili kullanım

Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kişiler tarafından kullanıldığı anlamına gelir. Projenin sahibi kuruluşa ait olması ve OAuth izin ekranının Dahili kullanıcı türü için yapılandırılması gerekir. Bu durumda, uygulamanızın bir kuruluş yöneticisinden onay alması gerekebilir. Daha fazla bilgi için Google Workspace ile ilgili göz önünde bulundurulması gereken diğer noktalar bölümüne bakın.

• Herkese açık ve dahili uygulamalar hakkında daha fazla bilgi edinin.
• SSS bölümünden uygulamanızı nasıl dahili olarak işaretleyebileceğinizi öğrenin Uygulamamı yalnızca dahili olarak nasıl işaretleyebilirim?

Alan genelinde yükleme

Uygulamanızın yalnızca bir Google Workspace veya Cloud Identity kuruluşunun kullanıcılarını hedeflemesini ve her zaman alan genelinde yükleme yöntemini kullanmayı planlıyorsanız uygulamanızda uygulama doğrulaması gerekmez. Bunun nedeni, alan genelinde yüklemenin alan yöneticisinin üçüncü taraf uygulamalarına ve dahili uygulamalara kullanıcılarınızın verilerine erişmesine izin vermesidir. Yalnızca kuruluş yöneticileri uygulamayı kendi alanlarında kullanmak üzere izin verilenler listesine ekleyebilir.

Uygulamanızı nasıl alan genelinde yükleme yapılacağını öğrenmek için Uygulamamda başka bir Google Workspace alanından kurumsal hesaba sahip kullanıcılar var başlıklı makaleyi inceleyin.