Google ได้เปิดตัวการตั้งค่าการควบคุมการเข้าถึงแอปเพื่อให้ผู้ดูแลระบบ Google Workspace for Education ควบคุมวิธีที่แอปของบุคคลที่สามเข้าถึงข้อมูล Google ขององค์กรได้ง่ายขึ้น เมื่อผู้ใช้ลงชื่อเข้าใช้โดยใช้บัญชี Google Workspace for Education แม้ว่านักพัฒนาแอปบุคคลที่สามจะไม่ต้องดำเนินการใดๆ แต่ด้านล่างนี้คือแนวทางปฏิบัติแนะนำบางส่วนที่นักพัฒนาแอปรายอื่นๆ เห็นว่ามีประโยชน์
ใช้ OAuth แบบเพิ่ม
คุณใช้การให้สิทธิ์แบบเพิ่มทีละรายการเพื่อขอเฉพาะขอบเขตที่จำเป็นในการเริ่มต้นแอปก่อนได้ จากนั้นจึงขอขอบเขตเพิ่มเติมเมื่อต้องใช้สิทธิ์ใหม่ จากนั้นบริบทของแอปจะระบุเหตุผลในการส่งคำขอไปยัง ผู้ใช้
เมื่อลงชื่อเข้าใช้ แอปจะขอขอบเขตพื้นฐาน เช่น ขอบเขตการลงชื่อเข้าใช้โปรไฟล์ และ ขอบเขตเริ่มต้นอื่นๆ ที่แอปต้องใช้ในการดำเนินการ ต่อมาเมื่อผู้ใช้ต้องการ ดำเนินการที่ต้องใช้ขอบเขตเพิ่มเติม แอปของคุณจะขอขอบเขตเพิ่มเติมเหล่านั้น และผู้ใช้จะให้สิทธิ์เฉพาะขอบเขตใหม่จากหน้าจอความยินยอม
เมื่อสร้างส่วนเสริมของ Google Classroom คุณควรปฏิบัติตามคำแนะนำของ Google Workspace Marketplace ในการระบุรายการขอบเขต OAuth ทั้งหมดที่แอปของคุณต้องการ ซึ่งจำเป็นเพื่อให้ผู้ดูแลระบบ ทราบว่าระบบขอให้ผู้ใช้โดเมนยินยอมให้สิทธิ์เข้าถึงขอบเขตใด
ตรวจสอบว่าแอปทั้งหมดได้รับการยืนยัน OAuth
แอปทั้งหมดที่เข้าถึง Google API ต้องยืนยันว่าแอปแสดงตัวตนและเจตนาของตนอย่างถูกต้องตามที่ระบุไว้ในนโยบายข้อมูลผู้ใช้ของบริการ API ของ Google หากคุณดูแลแอปหลายแอปที่ใช้ Google API โปรดตรวจสอบว่าแอปแต่ละแอปได้รับการยืนยันแล้ว ผู้ดูแลระบบอาจเห็นรหัสไคลเอ็นต์ OAuth ทั้งหมดที่เชื่อมโยง กับแบรนด์ที่ยืนยันแล้ว เพื่อช่วยให้ผู้ดูแลระบบหลีกเลี่ยงการกำหนดค่ารหัสไคลเอ็นต์ OAuth ที่ไม่ถูกต้อง ให้ใช้โปรเจ็กต์ Google Cloud แยกกันสำหรับการทดสอบและการใช้งานจริง และลบรหัสไคลเอ็นต์ OAuth ทั้งหมดที่ไม่ได้ใช้งาน
การยืนยัน OAuth API เป็นกระบวนการที่ Google Cloud Platform ใช้เพื่อให้มั่นใจว่าแอปที่ขอขอบเขตที่มีความละเอียดอ่อนหรือขอบเขตที่จำกัดนั้นปลอดภัยและเป็นไปตามข้อกำหนด กระบวนการยืนยันจะช่วยปกป้องผู้ใช้และข้อมูล Google Cloud จากการเข้าถึงที่ไม่ได้รับอนุญาต
แอปที่ขอขอบเขตที่มีความละเอียดอ่อนหรือถูกจำกัดต้องเป็นไปตามนโยบายข้อมูลผู้ใช้บริการ Google API นโยบายนี้กำหนดให้แอปปกป้องข้อมูลผู้ใช้และใช้ข้อมูลเพื่อวัตถุประสงค์ที่ผู้ใช้ให้สิทธิ์เท่านั้น นอกจากนี้ แอปอาจต้อง เข้ารับการประเมินความปลอดภัยอิสระเพื่อยืนยันว่าแอปเป็นไปตาม ข้อกำหนดด้านความปลอดภัยของ Google Cloud
โปรดทราบว่ากระบวนการยืนยัน OAuth API อาจใช้เวลาหลายสัปดาห์จึงจะเสร็จสมบูรณ์ เมื่อแอปได้รับการยืนยันแล้ว คุณจะขอขอบเขตที่ละเอียดอ่อน หรือจำกัดที่ต้องการได้
ดูรายละเอียดเพิ่มเติมได้ที่คำถามที่พบบ่อยเกี่ยวกับการยืนยัน OAuth API
จัดการรหัสไคลเอ็นต์ OAuth หลายรายการ
โปรเจ็กต์ Google Cloud อาจมีรหัสไคลเอ็นต์ OAuth หลายรายการ ซึ่งอาจต้องให้ผู้ดูแลระบบโดเมนกำหนดค่าการเข้าถึงหลายครั้ง
ตรวจสอบความถูกต้องของรหัสไคลเอ็นต์ OAuth
โปรดสอบถามทีมพัฒนาเพื่อทำความเข้าใจว่ามีการใช้รหัสไคลเอ็นต์ OAuth ใด ในการผสานรวมกับ Google OAuth ใช้โปรเจ็กต์ Google Cloud 2 โปรเจ็กต์ที่แตกต่างกันสำหรับการทดสอบและการใช้งานจริง เพื่อช่วยให้ผู้ดูแลระบบเข้าใจว่าควรตั้งค่ารหัสไคลเอ็นต์ OAuth ใด ลบรหัสไคลเอ็นต์ที่เลิกใช้งานแล้วหรือล้าสมัยออกจากโปรเจ็กต์ที่ใช้งานจริง
อัปโหลด CSV
หากคุณมีรหัสไคลเอ็นต์หลายรายการ เราขอแนะนำให้ใช้ตัวเลือกการอัปโหลด CSV หลายรายการพร้อมกัน เพื่อช่วยให้ผู้ดูแลระบบกำหนดค่าแอปทั้งหมดได้อย่างรวดเร็ว
ฟิลด์มีดังนี้
| ช่อง | ต้องระบุ | หมายเหตุ |
|---|---|---|
| ชื่อแอป | ไม่ | ป้อนชื่อแอป โดยการเปลี่ยนแปลงของชื่อแอปในไฟล์ CSV จะไม่อัปเดตในคอนโซลผู้ดูแลระบบ |
| ประเภท | มี | เว็บแอปพลิเคชัน, Android หรือ iOS อย่างใดอย่างหนึ่ง |
| รหัส | มี | สำหรับเว็บแอป ให้ป้อนรหัสไคลเอ็นต์ OAuth ที่ออกให้กับ
แอปพลิเคชัน สำหรับแอป Android และ iOS ให้ป้อนรหัสไคลเอ็นต์ OAuth หรือ รหัสแพ็กเกจหรือรหัสชุดที่แอปใช้ใน Google Play หรือ Apple App Store |
| หน่วยขององค์กร | มี | ลูกค้าต้องกรอกข้อมูล ป้อนเครื่องหมายทับ ("/") เพื่อใช้การตั้งค่าสิทธิ์เข้าถึงแอป กับทั้งโดเมน หากต้องการใช้การตั้งค่าการเข้าถึงกับบางหน่วยขององค์กร ให้เพิ่มแถวในสเปรดชีตสำหรับแต่ละหน่วยขององค์กร แล้วทำซ้ำคอลัมน์ชื่อแอป ประเภท และรหัส (เช่น "/org_unit_1/sub_unit_1") |
| การเข้าถึง | มี | ค่าใดค่าหนึ่งต่อไปนี้ เชื่อถือได้ ถูกบล็อก หรือจำกัด |
ข้อผิดพลาดเกี่ยวกับ OAuth
เราได้เพิ่มข้อความแสดงข้อผิดพลาด 2 รายการในการควบคุมใหม่สำหรับผู้ดูแลระบบนี้
- ข้อผิดพลาด 400: access_not_configured - ได้รับเมื่อการเชื่อมต่อ OAuth ถูกปฏิเสธเนื่องจากไม่ได้กำหนดค่าแอป
- ข้อผิดพลาด 400: admin_policy_enforced - ได้รับเมื่อการเชื่อมต่อ OAuth ถูกปฏิเสธเนื่องจากผู้ดูแลระบบบล็อกแอปพลิเคชันของคุณ
ผู้ใช้ที่ได้รับการระบุว่ามีอายุต่ำกว่า 18 ปี
ผู้ดูแลระบบอาจจัดการสิทธิ์เข้าถึงแอปของบุคคลที่สามที่ไม่ได้กำหนดค่าไว้สำหรับผู้ใช้ที่ได้รับการระบุว่ามีอายุต่ำกว่า 18 ปี หากผู้ใช้พบข้อผิดพลาด "การเข้าถึงถูกบล็อก: ผู้ดูแลระบบของสถาบันต้องตรวจสอบ [ชื่อแอป]" ผู้ใช้ต้องขอสิทธิ์เข้าถึงจากภายในข้อความแสดงข้อผิดพลาด วิธีนี้ช่วยให้ผู้ดูแลระบบ ตรวจสอบแอปพลิเคชันของบุคคลที่สามได้ โดยผู้ดูแลระบบเลือกได้ว่าจะอนุญาต หรือบล็อกแอปพลิเคชันของบุคคลที่สาม