Google, Google Workspace for Education yöneticilerinin, kullanıcılar Google Workspace for Education hesaplarını kullanarak oturum açtığında kuruluşlarının Google verilerine üçüncü taraf uygulamalarının nasıl erişebileceğini kontrol etmesini kolaylaştırmak için uygulama erişim denetimi ayarlarını kullanıma sundu. Üçüncü taraf uygulama geliştiricilerin yapması gereken herhangi bir işlem olmasa da diğer geliştiricilerin faydalı bulduğu bazı en iyi uygulamaları aşağıda bulabilirsiniz.
Artımlı OAuth'u kullanma
Uygulamanızı başlatmak için gereken kapsamları başlangıçta istemek, ardından yeni izinler gerektiğinde ek kapsamlar istemek için artımlı yetkilendirme kullanabilirsiniz. Uygulama bağlamı, kullanıcıya yönelik isteğin nedenini tanımlar.
Uygulamanız, oturum açma sırasında oturum açma kapsamı profili gibi temel kapsamların yanı sıra uygulamanızın çalışması için gereken diğer ilk kapsamları ister. Daha sonra kullanıcı, ek kapsam gerektiren bir işlem gerçekleştirmek istediğinde uygulamanız bu ek kapsamları ister ve kullanıcı, izin ekranından yalnızca yeni kapsamları yetkilendirir.
Google Classroom eklentisi oluştururken uygulamanızın gerektirdiği OAuth kapsamlarının tam listesini sağlama konusunda Google Workspace Marketplace rehberliğine uymanız gerekir. Bu, bir yöneticinin, alan kullanıcısından hangi kapsamlar için izin istendiğini anlaması için gereklidir.
Tüm uygulamaların OAuth ile doğrulandığından emin olun.
Google API'lerine erişen tüm uygulamalar, Google'ın API Hizmetleri Kullanıcı Verileri Politikası'nda belirtildiği şekilde kimliklerini ve amaçlarını doğru şekilde temsil ettiklerini doğrulamalıdır. Google API'lerini kullanan birden fazla uygulamanız varsa her uygulamanın doğrulandığından emin olun. Yöneticiler, doğrulanmış markanızla ilişkili tüm OAuth istemci kimliklerini görebilir. Yöneticilerin yanlış OAuth istemci kimlikleri yapılandırmasını önlemek için test ve üretim için ayrı Google Cloud projeleri kullanın ve kullanılmayan tüm OAuth istemci kimliklerini silin.
OAuth API doğrulaması, Google Cloud Platform'un hassas veya kısıtlanmış kapsamlar isteyen uygulamaların güvenli ve uyumlu olmasını sağlamak için kullandığı bir süreçtir. Doğrulama süreci, Google Cloud kullanıcılarını ve verilerini yetkisiz erişime karşı korumaya yardımcı olur.
Hassas veya kısıtlanmış kapsamlar isteyen uygulamalar, Google API Hizmetleri Kullanıcı Verileri Politikası'na uygun olmalıdır. Bu politika, uygulamaların kullanıcı verilerini korumasını ve verileri yalnızca kullanıcının yetkilendirdiği amaçlar için kullanmasını zorunlu kılar. Uygulamaların, Google Cloud'un güvenlik şartlarını karşıladığını doğrulamak için bağımsız bir güvenlik değerlendirmesinden geçmesi de gerekebilir.
OAuth API doğrulama sürecinin tamamlanmasının birkaç hafta sürebileceğini unutmayın. Uygulamanız doğrulandıktan sonra ihtiyacınız olan hassas veya kısıtlanmış kapsamları isteyebilirsiniz.
Daha fazla bilgi için OAuth API doğrulamasıyla ilgili SSS başlıklı makaleyi inceleyin.
Birden fazla OAuth istemci kimliğini işleme
Bir Google Cloud projesinde birden fazla OAuth istemci kimliği olabilir. Bu durumda, alan yöneticisinin erişiminizi birkaç kez yapılandırması gerekebilir.
OAuth istemci kimliklerinin doğruluğunu sağlama
Google OAuth ile entegrasyon için hangi OAuth istemci kimliklerinin kullanıldığını öğrenmek üzere geliştirme ekibinizle iletişime geçin. Yöneticilerin hangi OAuth istemci kimliklerinin yapılandırılacağını anlamasına yardımcı olmak için test ve üretim amacıyla iki farklı Google Cloud projesi kullanın. Kullanımdan kaldırılan veya güncel olmayan istemci kimliklerini üretim projelerinizden silin.
CSV yükleme
Birden fazla istemci kimliğiniz varsa yöneticilerin tüm uygulamalarınızı hızlı bir şekilde yapılandırmasına yardımcı olmak için CSV toplu yükleme seçeneğini kullanmanızı öneririz.
Alanlar şunlardır:
| Alan | Zorunlu | Notlar |
|---|---|---|
| Uygulama Adı | Hayır | Uygulamanın adını girin. CSV dosyasındaki uygulama adında yaptığınız değişiklikler Yönetici Konsolu'nda güncellenmez. |
| Tür | Evet | Web uygulaması, Android veya iOS'ten biri. |
| Kimlik | Evet | Web uygulamaları söz konusuysa uygulamaya verilen OAuth istemci kimliğini girin. Android ve iOS uygulamaları söz konusuysa OAuth istemci kimliğini ya da uygulamanın Google Play veya Apple App Store'da kullandığı paket ya da paket kimliğini girin. |
| Kuruluş Birimi | Evet | Müşteri tarafından doldurulur. Uygulama erişim ayarını alanınızın tamamına uygulamak için öne eğik çizgi ("/") girin. Erişim ayarlarını belirli kuruluş birimlerine uygulamak için her kuruluş biriminin e-tablosuna App Name (Uygulama Adı), Type (Tür), Id (Kimlik) sütunlarındaki bilgileri tekrar eden bir satır ekleyin. (örneğin, "/org_unit_1/sub_unit_1"). |
| Erişim | Evet | trusted (güvenilir), blocked (engellenmiş) veya limited (sınırlı) değerlerinden biri. |
OAuth hataları
Bu yeni yönetici kontrolleriyle birlikte iki hata mesajı kullanıma sunuldu.
- Hata 400: access_not_configured: Uygulamanız yapılandırılmadığı için bir OAuth bağlantısı reddedildiğinde alınır.
- 400 hatası: admin_policy_enforced - Yönetici, uygulamanızı engellediği için OAuth bağlantısı reddedildiğinde alınır.
18 yaşından küçük olarak tanımlanan kullanıcılar
Yöneticiler, 18 yaşından küçük olarak tanımlanan kullanıcılar için yapılandırılmamış üçüncü taraf uygulamalarına erişimi yönetebilir. Bir kullanıcı "Erişim engellendi: Kuruluşunuzun yöneticisinin, [uygulama adı] uygulamasını incelemesi gerekiyor" hatasıyla karşılaşırsa hata mesajının içinden erişim isteğinde bulunması gerekir. Böylece yöneticileri üçüncü taraf uygulamasını inceleyebilir. Yöneticiler, üçüncü taraf uygulamalarına izin vermeye ya da bu uygulamaları engellemeye karar verebilir.