O Google lançou as configurações de controle de acesso de apps para facilitar o controle de acesso de apps de terceiros aos dados do Google das organizações quando os usuários fazem login com as contas do Google Workspace for Education. Embora não haja ações necessárias dos desenvolvedores de apps de terceiros, confira abaixo algumas práticas recomendadas que outros desenvolvedores consideraram úteis.
Usar o OAuth incremental
Você pode usar a autorização incremental para solicitar inicialmente apenas os escopos necessários para iniciar o app e, em seguida, solicitar escopos adicionais conforme novas permissões forem necessárias. Em seguida, o contexto do app identifica o motivo da solicitação ao usuário.
Ao fazer login, seu app solicita escopos básicos, como o perfil de escopo de login e outros escopos iniciais necessários para a operação. Mais tarde, quando o usuário quiser realizar uma ação que exija escopos adicionais, seu app vai solicitar esses escopos, e o usuário vai autorizar apenas os novos escopos em uma tela de consentimento.
Ao criar um complemento do Google Sala de Aula, siga as orientações do Google Workspace Marketplace para fornecer uma lista completa dos escopos do OAuth necessários para seu app. Isso é necessário para que um administrador entenda a quais escopos um usuário do domínio precisa dar consentimento.
Verificar se todos os apps são verificados pelo OAuth
Todos os apps que acessam as APIs do Google precisam verificar se representam com precisão a identidade e a finalidade especificadas na Política de dados do usuário dos serviços de API do Google. Se você mantém vários apps que usam APIs do Google, verifique se cada um deles foi verificado. Os administradores podem ver todos os IDs do cliente OAuth associados à sua marca verificada. Para ajudar os administradores a evitar a configuração de IDs de cliente OAuth incorretos, use projetos separados do Google Cloud para teste e produção e exclua todos os IDs de cliente OAuth que não estão sendo usados.
A verificação da API OAuth é um processo usado pelo Google Cloud Platform para garantir que os apps que solicitam escopos sensíveis ou restritos sejam seguros e estejam em conformidade. O processo de verificação ajuda a proteger os usuários e os dados do Google Cloud contra acesso não autorizado.
Os apps que solicitam escopos sensíveis ou restritos precisam obedecer à Política de dados do usuário dos serviços de API do Google. Essa política exige que os apps protejam os dados do usuário e os usem apenas para as finalidades autorizadas por ele. Os apps também podem precisar passar por uma avaliação de segurança independente para verificar se atendem aos requisitos de segurança do Google Cloud.
O processo de verificação da API OAuth pode levar várias semanas para ser concluído. Depois que o app for verificado, você poderá solicitar os escopos sensíveis ou restritos de que precisa.
Consulte as perguntas frequentes sobre a verificação da API OAuth para mais detalhes.
Processar vários IDs de cliente OAuth
Um projeto do Google Cloud pode ter vários IDs de cliente OAuth, o que pode exigir que um administrador de domínio configure seu acesso várias vezes.
Garantir a precisão dos IDs do cliente OAuth
Verifique com sua equipe de desenvolvimento para entender quais IDs do cliente OAuth estão sendo usados para integração com o OAuth do Google. Use dois projetos diferentes do Google Cloud para teste e produção, ajudando os administradores a entender quais IDs de cliente OAuth configurar. Exclua todos os IDs de cliente descontinuados ou desatualizados dos seus projetos de produção.
Upload de CSV
Se você tiver vários IDs de cliente, recomendamos usar a opção de upload em massa com CSV para ajudar os administradores a configurar rapidamente todos os seus apps.
Os campos são:
| Campo | Obrigatório | Observações |
|---|---|---|
| App Name | Não | Digite o nome do app. As mudanças feitas no nome do app no arquivo CSV não são atualizadas no Admin Console. |
| Tipo | Sim | Um dos seguintes: aplicativo da Web, Android ou iOS. |
| ID | Sim | Para apps da Web, digite o ID do cliente OAuth emitido para o
aplicativo. Para apps Android e iOS, insira o ID do cliente OAuth ou o ID do pacote ou do pacote que o app usa no Google Play ou na Apple App Store. |
| Unidade organizacional | Sim | A ser preenchido pelo cliente. Digite uma barra (/) para aplicar a configuração de acesso ao app ao domínio inteiro. Para aplicar configurações de acesso a unidades organizacionais específicas, adicione uma linha à planilha para cada unidade organizacional, repetindo o nome, o tipo e o ID do app. Por exemplo, "/org_unit_1/sub_unit_1". |
| Acesso | Sim | Um de confiável, bloqueado ou limitado. |
Erros do OAuth
Duas mensagens de erro foram introduzidas com esses novos controles de administrador.
- Erro 400: access_not_configured: recebido quando uma conexão OAuth é rejeitada porque o app não foi configurado.
- Erro 400: admin_policy_enforced: recebido quando uma conexão OAuth é rejeitada porque o administrador bloqueou seu aplicativo.
Usuários designados como menores de 18 anos
Os administradores podem gerenciar o acesso a apps de terceiros não configurados para usuários menores de 18 anos. Se um usuário encontrar o erro "Acesso bloqueado: o administrador da sua instituição precisa analisar o app [app name]", ele precisará solicitar acesso na mensagem de erro. Assim o administrador vai poder analisar o aplicativo de terceiros. permitir ou bloquear o app de terceiros.