O Google introduziu as configurações de controle de acesso de apps para facilitar o controle dos administradores do Google Workspace for Education sobre como os apps de terceiros acessam os dados das organizações disponíveis no Google quando os usuários fazem login usando contas do Google Workspace for Education. Embora não haja ações necessárias dos desenvolvedores de apps de terceiros, confira abaixo algumas práticas recomendadas que outros desenvolvedores consideraram úteis.
Usar o OAuth incremental
Você pode usar a autorização incremental para solicitar inicialmente apenas os escopos necessários para iniciar o app e, em seguida, pedir outros escopos à medida que novas permissões forem necessárias. O contexto do app identifica o motivo da solicitação para o usuário.
No login, o app solicita escopos básicos, como o perfil de escopo de login e outros escopos iniciais necessários para a operação. Mais tarde, quando o usuário quiser realizar uma ação que exija outros escopos, o app vai solicitar esses escopos adicionais, e o usuário vai autorizar apenas os novos escopos em uma tela de consentimento.
Ao criar um complemento do Google Sala de Aula, siga as orientações do Google Workspace Marketplace para fornecer uma lista completa dosescopos do OAuth que o app exige. Isso é necessário para que um administrador entenda a quais escopos um usuário do domínio precisa dar consentimento.
Garantir que todos os apps sejam verificados pelo OAuth
Todos os apps que acessam as APIs do Google precisam verificar se representam com precisão a identidade e a intenção, conforme especificado na Política de dados do usuário dos serviços de API do Google. Se você mantém vários apps que usam as APIs do Google, verifique se cada um deles foi verificado. Os administradores podem conferir todos os IDs do cliente OAuth associados à sua marca verificada. Para ajudar os administradores a evitar a configuração de IDs do cliente OAuth incorretos, use projetos separados do Google Cloud para teste e produção e exclua todos os IDs do cliente OAuth que não estão sendo usados.
A verificação da API OAuth é um processo que o Google Cloud Platform usa para garantir que os apps que solicitam escopos sensíveis ou restritos sejam seguros e estejam em conformidade. O processo de verificação ajuda a proteger os usuários e os dados do Google Cloud contra acesso não autorizado.
Os apps que solicitam escopos sensíveis ou restritos precisam obedecer à Política de dados do usuário dos serviços de API do Google. Essa política exige que os apps protejam os dados do usuário e os usem apenas para as finalidades que o usuário autorizou. Os apps também podem precisar passar por uma avaliação de segurança independente para verificar se atendem aos requisitos de segurança do Google Cloud.
O processo de verificação da API OAuth pode levar várias semanas para ser concluído. Depois que o app for verificado, você poderá solicitar os escopos sensíveis ou restritos de que precisa.
Consulte as perguntas frequentes sobre a verificação da API OAuth para mais detalhes.
Processar vários IDs do cliente OAuth
Um projeto do Google Cloud pode ter vários IDs do cliente OAuth, o que pode exigir que um administrador de domínio configure seu acesso várias vezes.
Garantir a precisão dos IDs do cliente OAuth
Verifique com sua equipe de desenvolvimento para entender quais IDs do cliente OAuth estão sendo usados para integração com o Google OAuth. Use dois projetos diferentes do Google Cloud para teste e produção para ajudar os administradores a entender quais IDs do cliente OAuth configurar. Exclua todos os IDs do cliente descontinuados ou desatualizados dos seus projetos de produção.
Upload de CSV
Se você tiver vários IDs do cliente, recomendamos usar a opção de upload em massa de CSV para ajudar os administradores a configurar rapidamente todos os seus apps.
Os campos são:
| Campo | Obrigatório | Observações |
|---|---|---|
| App Name | Não | Insira o nome do app. As alterações desse tipo no arquivo CSV não são atualizadas no Admin Console. |
| Tipo | Sim | Um de aplicativo da Web, Android ou iOS. |
| ID | Sim | Para apps da Web, digite o ID do cliente OAuth emitido para o aplicativo. Para apps Android e iOS, insira o ID do cliente OAuth ou do pacote usado no Google Play ou na Apple App Store. |
| Unidade organizacional | Sim | A ser preenchido pelo cliente. Insira uma barra ('/') para aplicar a configuração de acesso do app a todo o domínio. Para aplicar configurações de acesso a unidades organizacionais específicas, adicione uma linha à planilha para cada unidade organizacional, repetindo o nome, o tipo e o código do app. Por exemplo, "/org_unit_1/sub_unit_1". |
| Acesso | Sim | Um de confiável, bloqueado ou limitado. |
Erros do OAuth
Duas mensagens de erro foram introduzidas com esses novos controles de administrador.
- Erro 400: access_not_configured : recebido quando uma conexão OAuth é rejeitada porque o app não foi configurado.
- Erro 400: admin_policy_enforced : recebido quando uma conexão OAuth é rejeitada porque o administrador bloqueou o aplicativo.
Usuários designados como menores de 18 anos
Os administradores podem gerenciar o acesso de usuários designados como menores de 18 anos a apps de terceiros não configurados. Se um usuário encontrar o erro "Acesso bloqueado: o administrador da sua instituição precisa analisar o app [app name]", ele precisará solicitar acesso na mensagem de erro. Assim, o administrador poderá analisar o aplicativo de terceiros. Os administradores podem permitir ou bloquear o app de terceiros.