Компания Google представила настройки контроля доступа к приложениям, чтобы упростить администраторам Google Workspace for Education управление доступом сторонних приложений к данным Google их организаций при входе пользователей в систему с помощью учетных записей Google Workspace for Education. Хотя от разработчиков сторонних приложений никаких действий не требуется, ниже приведены некоторые рекомендации, которые оказались полезными для других разработчиков.
Используйте инкрементальную аутентификацию OAuth.
Вы можете использовать поэтапную авторизацию , чтобы первоначально запрашивать только те области действия, которые необходимы для запуска вашего приложения, а затем запрашивать дополнительные области действия по мере необходимости получения новых разрешений. Контекст приложения затем идентифицирует причину запроса для пользователя.
При входе в систему ваше приложение запрашивает основные области действия, такие как профиль области действия для входа и другие начальные области действия, необходимые вашему приложению для работы. Позже, когда пользователь захочет выполнить действие, требующее дополнительных областей действия, ваше приложение запросит эти дополнительные области действия, и пользователь авторизует только новые области действия на экране согласия.
При создании дополнения для Google Classroom следует следовать рекомендациям Google Workspace Marketplace и предоставить полный список областей действия OAuth, необходимых вашему приложению. Это необходимо для того, чтобы администратор понимал, на какие области действия запрашивается согласие пользователя домена.
Убедитесь, что все приложения прошли проверку OAuth.
Все приложения, обращающиеся к API Google, должны подтвердить , что они точно отражают свою идентичность и намерения в соответствии с политикой Google в отношении пользовательских данных API-сервисов. Если вы используете несколько приложений, работающих с API Google, убедитесь, что каждое приложение прошло проверку. Администраторы могут видеть все идентификаторы клиентов OAuth, связанные с вашим проверенным брендом. Чтобы помочь администраторам избежать настройки некорректных идентификаторов клиентов OAuth, используйте отдельные проекты Google Cloud для тестирования и производства и удалите все неиспользуемые идентификаторы клиентов OAuth.
Проверка API по протоколу OAuth — это процесс, используемый платформой Google Cloud Platform для обеспечения безопасности и соответствия требованиям приложений, запрашивающих конфиденциальные или ограниченные области доступа. Процесс проверки помогает защитить пользователей и данные Google Cloud от несанкционированного доступа.
Приложения, запрашивающие конфиденциальные или ограниченные по доступу данные, должны соответствовать Политике Google API Services в отношении пользовательских данных. Эта политика требует от приложений защиты пользовательских данных и использования данных только в тех целях, которые пользователь разрешил. Приложениям также может потребоваться пройти независимую оценку безопасности для подтверждения соответствия требованиям безопасности Google Cloud.
Обратите внимание, что процесс проверки API OAuth может занять до нескольких недель. После проверки вашего приложения вы сможете запросить необходимые вам конфиденциальные или ограниченные области доступа.
Для получения более подробной информации обратитесь к разделу часто задаваемых вопросов по проверке API OAuth .
Обработка нескольких идентификаторов клиентов OAuth.
В проекте Google Cloud может быть несколько идентификаторов клиентов OAuth, что может потребовать от администратора домена многократной настройки доступа.
Убедитесь в точности идентификаторов клиентов OAuth.
Уточните у своей команды разработчиков, какие идентификаторы клиентов OAuth используются для интеграции с Google OAuth. Используйте два разных проекта Google Cloud для тестирования и продакшена , чтобы помочь администраторам понять, какие идентификаторы клиентов OAuth необходимо настроить. Удалите все устаревшие или неактуальные идентификаторы клиентов из ваших продакшен-проектов.
Загрузка CSV-файла
Если у вас несколько идентификаторов клиентов, мы рекомендуем использовать функцию массовой загрузки CSV-файлов , чтобы администраторы могли быстро настроить все ваши приложения.
Это следующие поля:
| Поле | Необходимый | Примечания |
|---|---|---|
| Название приложения | Нет | Введите название приложения. Изменения, внесенные в название приложения в CSV-файле, не будут отображаться в консоли администратора. |
| Тип | Да | Одно из веб-приложений , для Android или iOS . |
| Идентификатор | Да | Для веб-приложений введите идентификатор клиента OAuth, выданный приложению. Для приложений Android и iOS введите идентификатор клиента OAuth или идентификатор пакета или комплекта, используемый приложением в Google Play или Apple App Store. |
| Организационное подразделение | Да | Заполняется клиентом. Введите косую черту ('/'), чтобы применить настройки доступа к приложению ко всему домену. Чтобы применить настройки доступа к конкретным организационным подразделениям, добавьте в электронную таблицу строку для каждого подразделения, повторив имя приложения, тип и идентификатор (например, '/org_unit_1/sub_unit_1'). |
| Доступ | Да | Один из следующих вариантов: доверенный , заблокированный или ограниченный . |
Ошибки OAuth
В связи с появлением новых элементов управления администратора появились два сообщения об ошибке.
- Ошибка 400: access_not_configured — получена, когда соединение OAuth отклонено, потому что ваше приложение не было настроено.
- Ошибка 400: admin_policy_enforced — получена, когда соединение OAuth отклонено, потому что администратор заблокировал ваше приложение.
Пользователи, которым не исполнилось 18 лет.
Администраторы могут управлять доступом к ненастроенным сторонним приложениям для пользователей, которым еще не исполнилось 18 лет. Если пользователь сталкивается с ошибкой «Доступ заблокирован: администратору вашего учреждения необходимо проверить [название приложения]», он должен запросить доступ непосредственно из сообщения об ошибке. Это позволит администратору проверить стороннее приложение. Администраторы могут решать, разрешать или блокировать доступ к сторонним приложениям.