在IT Apps中使用Google登录

以下是针对自定义开发的IT应用程序使用带有工作帐户的Google登录功能时要采取的步骤的清单。如果您正在开发移动应用程序,请同时参考移动设备的最佳做法

  1. 在您的OpenID Connect请求中包括您的G Suite域,这样Google身份验证服务将仅显示该域中的帐户。这可以通过使用带有REST端点hd参数,带有JavaScript APIhosted_domain参数,Android上的setHostedDomain构建器方法以及iOS上的hostedDomain属性来完成。
  2. 当您从Google收到OpenID Connect断言时,请仔细检查Google身份验证服务已确认它是由该域名的管理员控制的帐户。通过评估令牌中的hd字段以验证域是否符合您的期望,此检查是在服务器端完成的。有关详细信息,请参见使用后端服务器进行身份验证
  3. 可选,但强烈建议:将应用程序添加到允许列表,以使用户登录时不会看到确认屏幕。此步骤与前面的步骤结合在一起,可确保IT应用程序的用户可以自动登录。您的应用程序进入允许列表:

    1. 在您的G Suite域的管理控制台中,进入主菜单 >安全性> API控件
    2. 在“域范围委派”窗格中,选择“管理域范围委派”
    3. 单击添加新的
    4. 在“客户端ID”字段中,输入您为该应用程序注册的OAuth客户端ID。客户ID通常是一串字母和数字,后跟.apps.googleusercontent.com
    5. 在“ API作用域”字段中,输入以下字符串: openid,profile,email 。如果您的应用需要请求其他范围来访问Google API,请在此处也指定它们。
    6. 点击授权。授权将在30分钟左右生效。