Google telah memperkenalkan setelan kontrol akses aplikasi untuk mempermudah administrator Google Workspace for Education mengontrol cara aplikasi pihak ketiga mengakses data Google organisasi mereka saat pengguna login menggunakan akun Google Workspace for Education mereka. Meskipun tidak ada tindakan yang diperlukan dari developer aplikasi pihak ketiga, berikut beberapa praktik terbaik yang dianggap bermanfaat oleh developer lain.
Menggunakan OAuth inkremental
Anda dapat menggunakan otorisasi inkremental untuk awalnya hanya meminta cakupan yang diperlukan untuk memulai aplikasi, lalu meminta cakupan tambahan saat izin baru diperlukan. Konteks aplikasi kemudian mengidentifikasi alasan permintaan kepada pengguna.
Saat login, aplikasi Anda meminta cakupan dasar seperti profil cakupan login dan cakupan awal lainnya yang diperlukan aplikasi Anda untuk beroperasi. Kemudian, saat pengguna ingin melakukan tindakan yang memerlukan cakupan tambahan, aplikasi Anda akan meminta cakupan tambahan tersebut dan pengguna hanya akan mengizinkan cakupan baru dari layar izin.
Saat membuat add-on Google Classroom, Anda harus mengikuti panduan Google Workspace Marketplace dalam memberikan daftar lengkap cakupan OAuth yang diperlukan aplikasi Anda. Hal ini diperlukan agar administrator memahami cakupan yang harus disetujui oleh pengguna domain.
Pastikan semua aplikasi diverifikasi OAuth
Semua aplikasi yang mengakses Google API harus memverifikasi bahwa aplikasi tersebut secara akurat merepresentasikan identitas dan niatnya sebagaimana ditentukan oleh Kebijakan Data Pengguna Layanan API Google. Jika Anda mengelola beberapa aplikasi yang menggunakan Google API, pastikan setiap aplikasi telah diverifikasi. Administrator dapat melihat semua ID klien OAuth yang terkait dengan merek terverifikasi Anda. Untuk membantu administrator menghindari konfigurasi ID klien OAuth yang salah, gunakan project Google Cloud terpisah untuk pengujian dan produksi, serta hapus semua ID klien OAuth yang tidak digunakan.
Verifikasi API OAuth adalah proses yang digunakan Google Cloud Platform untuk memastikan bahwa aplikasi yang meminta cakupan sensitif atau terbatas aman dan mematuhi kebijakan. Proses verifikasi membantu melindungi pengguna dan data Google Cloud dari akses yang tidak sah.
Aplikasi yang meminta cakupan sensitif atau dibatasi harus mematuhi Kebijakan Data Pengguna Layanan API Google. Kebijakan ini mewajibkan aplikasi untuk melindungi data pengguna dan hanya menggunakan data tersebut untuk tujuan yang telah diizinkan oleh pengguna. Aplikasi juga mungkin perlu menjalani penilaian keamanan independen untuk memverifikasi bahwa aplikasi tersebut memenuhi persyaratan keamanan Google Cloud.
Perhatikan bahwa proses verifikasi OAuth API dapat memerlukan waktu hingga beberapa minggu untuk diselesaikan. Setelah aplikasi Anda diverifikasi, Anda dapat meminta cakupan sensitif atau cakupan yang dibatasi yang Anda butuhkan.
Lihat FAQ verifikasi OAuth API untuk mengetahui detail selengkapnya.
Menangani beberapa client ID OAuth
Project Google Cloud mungkin memiliki beberapa ID klien OAuth, yang mungkin mengharuskan administrator domain mengonfigurasi akses Anda beberapa kali.
Memastikan akurasi ID klien OAuth
Tanyakan kepada tim pengembangan Anda untuk memahami Client ID OAuth mana yang digunakan untuk berintegrasi dengan Google OAuth. Gunakan dua project Google Cloud yang berbeda untuk pengujian dan produksi guna membantu administrator memahami ID klien OAuth mana yang harus dikonfigurasi. Hapus ID klien yang tidak digunakan lagi atau sudah tidak berlaku dari project produksi Anda.
Upload CSV
Jika Anda memiliki beberapa ID klien, sebaiknya manfaatkan opsi upload massal CSV untuk membantu administrator mengonfigurasi semua aplikasi Anda dengan cepat.
Kolomnya adalah:
| Kolom | Wajib | Catatan |
|---|---|---|
| Nama Aplikasi | Tidak | Masukkan nama aplikasi. Perubahan yang Anda lakukan pada nama aplikasi dalam file CSV tidak akan diperbarui di konsol Admin. |
| Jenis | Ya | Salah satu dari aplikasi web, Android, atau iOS. |
| ID | Ya | Untuk aplikasi web, masukkan client ID OAuth yang dikeluarkan untuk aplikasi. Untuk aplikasi Android dan iOS, masukkan client ID OAuth atau ID paket atau paket yang digunakan aplikasi di Google Play atau Apple App Store. |
| Unit Organisasi | Ya | Harus diisi oleh pelanggan. Masukkan garis miring ('/') untuk menerapkan setelan akses aplikasi ke seluruh domain Anda. Untuk menerapkan setelan akses ke unit organisasi tertentu, tambahkan baris ke spreadsheet untuk setiap unit organisasi, dengan mengulangi Nama aplikasi, Jenis, dan ID. (misalnya, '/org_unit_1/sub_unit_1'). |
| Akses | Ya | Salah satu dari tepercaya, diblokir, atau terbatas. |
Error OAuth
Dua pesan error telah diperkenalkan dengan kontrol administrator baru ini.
- Error 400: access_not_configured - diterima saat koneksi OAuth ditolak karena aplikasi Anda belum dikonfigurasi.
- Error 400: admin_policy_enforced - diterima saat koneksi OAuth ditolak karena administrator telah memblokir aplikasi Anda.
Pengguna yang ditetapkan sebagai berusia di bawah 18 tahun
Administrator dapat mengelola akses ke aplikasi pihak ketiga yang tidak dikonfigurasi untuk pengguna yang ditetapkan sebagai berusia di bawah 18 tahun. Jika pengguna mengalami error "Akses diblokir: Administrator institusi Anda harus meninjau [nama aplikasi]", mereka harus meminta akses dari dalam pesan error tersebut. Dengan begitu, administrator mereka dapat meninjau aplikasi pihak ketiga yang dimaksud. Administrator dapat memutuskan apakah akan mengizinkan atau memblokir aplikasi pihak ketiga.