قدّمت Google إعدادات التحكّم في الوصول إلى التطبيقات لتسهيل مهمة مشرفي Google Workspace for Education في التحكّم في طريقة وصول التطبيقات الخارجية إلى بيانات المستخدم على Google الخاصة بمؤسساتهم عندما يسجّل المستخدمون الدخول باستخدام حساباتهم على Google Workspace for Education. مع أنّه لا يُطلب من مطوّري التطبيقات التابعة لجهات خارجية اتّخاذ أي إجراءات، إليك بعض أفضل الممارسات التي وجدها المطوّرون الآخرون مفيدة.
استخدام OAuth التزايدي
يمكنك استخدام التفويض التدريجي لطلب النطاقات المطلوبة لبدء تطبيقك فقط في البداية، ثم طلب نطاقات إضافية عند الحاجة إلى أذونات جديدة. بعد ذلك، يحدّد سياق التطبيق سبب الطلب الموجّه إلى المستخدم.
عند تسجيل الدخول، يطلب تطبيقك نطاقات أساسية، مثل نطاق ملف تسجيل الدخول الشخصي والنطاقات الأولية الأخرى التي يحتاجها تطبيقك للتشغيل. في وقت لاحق، عندما يريد المستخدم تنفيذ إجراء يتطلّب نطاقات إضافية، يطلب تطبيقك هذه النطاقات الإضافية ويوافق المستخدم على النطاقات الجديدة فقط من شاشة الموافقة.
عند إنشاء إضافة في Google Classroom، عليك اتّباع إرشادات Google Workspace Marketplace بشأن تقديم قائمة كاملة بنطاقات OAuth التي يتطلّبها تطبيقك. وهذا ضروري لكي يفهم المشرف النطاقات التي يُطلب من مستخدم النطاق الموافقة عليها.
التأكّد من أنّ جميع التطبيقات تم التحقّق منها باستخدام OAuth
يجب أن تتحقّق جميع التطبيقات التي تصل إلى واجهات برمجة التطبيقات من Google من أنّها تمثّل هويتها وغرضها بدقة كما هو محدّد في سياسة بيانات المستخدمين في خدمات Google API. إذا كنت تحتفظ بتطبيقات متعدّدة تستخدم واجهات Google API، تأكَّد من أنّه تم التحقّق من كل تطبيق. يمكن للمشرفين الاطّلاع على جميع معرّفات عملاء OAuth المرتبطة بعلامتك التجارية التي تم إثبات ملكيتها. لمساعدة المشرفين في تجنُّب إعداد معرّفات عملاء OAuth غير صحيحة، استخدِم مشاريع Google Cloud منفصلة للاختبار والإنتاج، واحذف جميع معرّفات عملاء OAuth التي لا يتم استخدامها.
التحقّق من واجهة برمجة تطبيقات OAuth هو عملية تستخدمها Google Cloud Platform للتأكّد من أنّ التطبيقات التي تطلب نطاقات حساسة أو مقيَّدة آمنة ومتوافقة. تساعد عملية التحقّق في حماية مستخدمي Google Cloud وبياناتهم من الوصول غير المصرَّح به.
يجب أن تمتثل التطبيقات التي تطلب نطاقات حسّاسة أو محظورة لسياسة بيانات المستخدمين الخاصة بخدمات Google API. تتطلّب هذه السياسة من التطبيقات حماية بيانات المستخدمين واستخدامها فقط للأغراض التي سمح بها المستخدم. قد تحتاج التطبيقات أيضًا إلى الخضوع لتقييم أمان مستقل للتحقّق من استيفائها لمتطلبات الأمان في Google Cloud.
يُرجى العِلم أنّ عملية التحقّق من واجهة برمجة التطبيقات OAuth قد تستغرق عدة أسابيع. بعد التحقّق من تطبيقك، يمكنك طلب النطاقات الحسّاسة أو المحظورة التي تحتاج إليها.
لمزيد من التفاصيل، يُرجى الرجوع إلى الأسئلة الشائعة حول التحقّق من واجهة برمجة تطبيقات OAuth.
التعامل مع معرّفات عملاء OAuth المتعددة
قد يتضمّن مشروع Google Cloud عدة معرّفات عملاء OAuth، ما قد يتطلّب من مشرف النطاق ضبط إذن الوصول عدة مرات.
ضمان دقة معرّفات عميل OAuth
راجِع فريق التطوير لمعرفة معرّفات عملاء OAuth المستخدَمة في التكامل مع Google OAuth. استخدِم مشروعَين مختلفَين على Google Cloud للاختبار والإنتاج لمساعدة المشرفين في معرفة معرّفات عملاء OAuth التي يجب إعدادها. احذف أي معرّفات عملاء قديمة أو متوقّفة نهائيًا من مشاريعك المباشرة.
تحميل ملف CSV
إذا كان لديك أرقام تعريف متعددة للعملاء، ننصحك بالاستفادة من خيار التحميل المجمَّع لملفات CSV لمساعدة المشرفين في ضبط إعدادات جميع تطبيقاتك بسرعة.
الحقول هي:
| الحقل | مطلوب | ملاحظات |
|---|---|---|
| اسم التطبيق | لا | أدخِل اسم التطبيق. لا يتم تطبيق التغييرات التي تجريها على اسم التطبيق في ملف CSV في "وحدة تحكّم المشرف". |
| النوع | نعم | أحد الخيارات التالية: تطبيق ويب أو Android أو iOS |
| رقم التعريف | نعم | بالنسبة إلى تطبيقات الويب، أدخِل معرِّف عميل OAuth الذي تم إصداره للتطبيق. بالنسبة إلى تطبيقات Android وiOS، أدخِل معرِّف عميل OAuth أو حزمة التطبيق أو معرِّف الحزمة التي يستخدمها التطبيق في Google Play أو متجر Apple App Store. |
| الوحدة التنظيمية | نعم | يجب أن يملأ العميل هذا الحقل. أدخِل شرطة مائلة للأمام ('/') لتطبيق إعدادات الوصول إلى التطبيق على نطاقك بالكامل. لتطبيق إعدادات الوصول على وحدات تنظيمية معيَّنة، أضِف صفًا إلى جدول البيانات لكل وحدة تنظيمية، مع تكرار أعمدة "اسم التطبيق" و"النوع" و"رقم التعريف". (على سبيل المثال، /org_unit_1/sub_unit_1). |
| إذن الوصول | نعم | إحدى القيم موثوق به أو محظور أو محدود |
أخطاء OAuth
تم طرح رسالتَي خطأ مع عناصر التحكّم الجديدة هذه الخاصة بالمشرف.
- الخطأ 400: access_not_configured: يتم تلقّيه عند رفض ربط OAuth لأنّه لم يتم ضبط تطبيقك.
- الخطأ 400: admin_policy_enforced - يتم تلقّيه عند رفض اتصال OAuth لأنّ المشرف حظر تطبيقك.
المستخدمون الذين تقلّ أعمارهم عن 18 عامًا
يمكن للمشرفين إدارة إذن الوصول إلى التطبيقات الخارجية غير المضبوطة بعد للمستخدمين الذين تقلّ أعمارهم عن 18 عامًا. إذا ظهرت للمستخدم رسالة الخطأ "تم حظر إمكانية الوصول: على مشرف مؤسستك مراجعة تطبيق [اسم التطبيق]،" عليه طلب الوصول ضِمن رسالة الخطأ. يتيح ذلك للمشرف مراجعة التطبيق الخارجي. ويمكن للمشرفين تحديد ما إذا كانوا يريدون السماح بالتطبيقات الخارجية أو حظرها.