Google은 Google Workspace for Education 관리자가 사용자가 Google Workspace for Education 계정으로 로그인할 때 서드 파티 앱이 조직의 Google 데이터에 액세스하는 방식을 제어할 수 있도록 앱 액세스 제어 설정을 도입했습니다. 서드 파티 앱 개발자가 취해야 할 조치는 없지만 다른 개발자에게 도움이 된 권장사항은 다음과 같습니다.
점진적 OAuth 사용
점진적 승인을 사용하면 먼저 앱을 시작하는 데 필요한 범위만 요청한 다음 새 권한이 필요할 때 추가 범위를 요청할 수 있습니다. 그러면 앱 컨텍스트에서 사용자에게 요청 이유를 식별합니다.
로그인 시 앱은 로그인 범위 프로필과 앱이 작동하는 데 필요한 기타 초기 범위와 같은 기본 범위를 요청합니다. 나중에 사용자가 추가 범위가 필요한 작업을 실행하려고 하면 앱에서 이러한 추가 범위를 요청하고 사용자는 동의 화면에서 새 범위만 승인합니다.
Google 클래스룸 부가기능을 빌드할 때는 Google Workspace Marketplace 가이드라인에 따라 앱에 필요한 OAuth 범위의 전체 목록을 제공해야 합니다. 관리자가 도메인 사용자에게 동의를 요청하는 범위를 이해하는 데 필요합니다.
모든 앱이 OAuth 인증을 받도록 하기
Google API에 액세스하는 모든 앱은 Google API 서비스 사용자 데이터 정책에 지정된 대로 ID와 의도를 정확하게 나타내는지 확인해야 합니다. Google API를 사용하는 여러 앱을 유지관리하는 경우 각 앱이 인증되었는지 확인합니다. 관리자는 인증된 브랜드와 연결된 모든 OAuth 클라이언트 ID를 볼 수 있습니다. 관리자가 잘못된 OAuth 클라이언트 ID를 구성하지 않도록 하려면 테스트 및 프로덕션 에 별도의 Google Cloud 프로젝트를 사용하고 사용하지 않는 모든 OAuth 클라이언트 ID를 삭제합니다.
OAuth API 인증은 Google Cloud Platform에서 민감하거나 제한된 범위를 요청하는 앱이 안전하고 규정을 준수하는지 확인하는 데 사용하는 프로세스입니다. 인증 프로세스는 Google Cloud 사용자 및 데이터를 무단 액세스로부터 보호하는 데 도움이 됩니다.
민감하거나 제한된 범위를 요청하는 앱은 Google API 서비스 사용자 데이터 정책을 준수해야 합니다. 이 정책에서는 앱이 사용자 데이터를 보호하고 사용자가 승인한 용도로만 데이터를 사용하도록 요구합니다. 앱은 Google Cloud의 보안 요구사항을 충족하는지 확인하기 위해 독립적인 보안 평가를 받아야 할 수도 있습니다.
OAuth API 인증 프로세스는 완료하는 데 몇 주가 걸릴 수 있습니다. 앱이 인증되면 필요한 민감하거나 제한된 범위를 요청할 수 있습니다.
자세한 내용은 OAuth API 인증 FAQ를 참고하세요.
여러 OAuth 클라이언트 ID 처리
Google Cloud 프로젝트에는 여러 OAuth 클라이언트 ID가 있을 수 있으며, 이 경우 도메인 관리자가 액세스를 여러 번 구성해야 할 수 있습니다.
OAuth 클라이언트 ID의 정확성 보장
개발팀에 문의하여 Google OAuth와 통합하는 데 사용되는 OAuth 클라이언트 ID를 파악합니다. 테스트 및 프로덕션에 두 개의 서로 다른 Google Cloud 프로젝트를 사용하여 관리자가 구성할 OAuth 클라이언트 ID를 파악할 수 있도록 합니다. 프로덕션 프로젝트에서 지원 중단되거나 오래된 클라이언트 ID를 삭제합니다.
CSV 업로드
클라이언트 ID가 여러 개 있는 경우 관리자가 모든 앱을 빠르게 구성할 수 있도록 CSV 일괄 업로드 옵션을 활용하는 것이 좋습니다.
제공되는 필드는 다음과 같습니다.
| 필드 | 필수 | 참고 |
|---|---|---|
| 앱 이름 | 아니요 | 앱 이름을 입력합니다. CSV 파일에서 앱 이름을 변경해도 관리 콘솔에서 업데이트되지 않습니다. |
| 유형 | 예 | 웹 애플리케이션, Android 또는 iOS 중 하나입니다. |
| ID | 예 | 웹 앱의 경우 애플리케이션에 발급된 OAuth 클라이언트 ID를 입력합니다. Android 및 iOS 앱의 경우 OAuth 클라이언트 ID 또는 Google Play나 Apple App Store에서 앱이 사용하는 패키지 또는 번들 ID를 입력합니다. |
| 조직 단위 | 예 | 고객이 작성해야 합니다. 전체 도메인에 앱 액세스 설정을 적용하려면 슬래시('/')를 입력합니다. 특정 조직 단위에 액세스 설정을 적용하려면 각 조직 단위의 스프레드시트에 행을 하나 추가하고 앱 이름, 유형, ID를 다시 입력합니다. (예: '/org_unit_1/sub_unit_1') |
| 액세스 | 예 | 신뢰할 수 있음, 차단됨 또는 제한됨 중 하나입니다. |
OAuth 오류
이러한 새로운 관리자 제어 기능과 함께 두 가지 오류 메시지가 도입되었습니다.
- 오류 400: access_not_configured : 앱이 구성되지 않아 OAuth 연결이 거부될 때 수신됩니다.
- 오류 400: admin_policy_enforced : 관리자가 애플리케이션을 차단하여 OAuth 연결이 거부될 때 수신됩니다.
만 18세 미만으로 지정된 사용자
관리자는 구성되지 않은 서드 파티 앱에 대한 액세스를 만 18세 미만으로 지정된 사용자에게 관리할 수 있습니다. 사용자에게 '액세스 차단됨: 기관의 관리자가 [앱 이름] 앱을 검토해야 함'이라는 오류가 표시되면 오류 메시지 내에서 액세스를 요청해야 합니다. 이렇게 하면 관리자가 서드 파티 애플리케이션을 검토할 수 있습니다. 관리자는 서드 파티 애플리케이션을 허용할지 차단할지 결정할 수 있습니다.