Google đã ra mắt chế độ kiểm soát quyền truy cập vào ứng dụng để giúp quản trị viên Google Workspace for Education dễ dàng kiểm soát cách các ứng dụng bên thứ ba truy cập vào dữ liệu Google của tổ chức khi người dùng đăng nhập bằng tài khoản Google Workspace for Education. Mặc dù nhà phát triển ứng dụng bên thứ ba không cần thực hiện hành động nào, nhưng dưới đây là một số phương pháp hay nhất mà các nhà phát triển khác thấy hữu ích.
Sử dụng OAuth tăng dần
Bạn có thể sử dụng tính năng uỷ quyền tăng dần để ban đầu chỉ yêu cầu các phạm vi cần thiết để khởi động ứng dụng, sau đó yêu cầu thêm các phạm vi khi cần có quyền mới. Sau đó, bối cảnh ứng dụng sẽ xác định lý do yêu cầu cho người dùng.
Khi đăng nhập, ứng dụng của bạn sẽ yêu cầu các phạm vi cơ bản như phạm vi đăng nhập và các phạm vi ban đầu khác mà ứng dụng cần để hoạt động. Sau đó, khi người dùng muốn thực hiện một hành động yêu cầu thêm phạm vi, ứng dụng của bạn sẽ yêu cầu các phạm vi bổ sung đó và người dùng chỉ uỷ quyền cho các phạm vi mới trên màn hình đồng ý.
Khi xây dựng tiện ích bổ sung cho Google Lớp học, bạn nên tuân theo hướng dẫn củaGoogle Workspace Marketplace về việc cung cấp danh sách đầy đủ các phạm vi OAuth mà ứng dụng của bạn yêu cầu. Điều này là cần thiết để quản trị viên hiểu được những phạm vi mà người dùng miền được yêu cầu đồng ý.
Đảm bảo tất cả ứng dụng đều được xác minh OAuth
Tất cả ứng dụng truy cập vào API của Google đều phải xác minh rằng chúng thể hiện chính xác danh tính và ý định của mình như được chỉ định trong Chính sách dữ liệu người dùng của các dịch vụ API của Google. Nếu bạn duy trì nhiều ứng dụng sử dụng API của Google, hãy đảm bảo rằng mỗi ứng dụng đều đã được xác minh. Quản trị viên có thể thấy tất cả mã ứng dụng OAuth được liên kết với thương hiệu đã xác minh của bạn. Để giúp quản trị viên tránh định cấu hình sai mã ứng dụng OAuth, hãy sử dụng các dự án riêng biệt trên Google Cloud cho quá trình thử nghiệm và sản xuất và xoá tất cả mã ứng dụng OAuth không được sử dụng.
Quy trình xác minh API OAuth là một quy trình mà Google Cloud Platform sử dụng để đảm bảo rằng các ứng dụng yêu cầu phạm vi nhạy cảm hoặc hạn chế đều an toàn và tuân thủ. Quy trình xác minh giúp bảo vệ người dùng và dữ liệu của Google Cloud khỏi bị truy cập trái phép.
Các ứng dụng yêu cầu phạm vi nhạy cảm hoặc hạn chế phải tuân thủ Chính sách dữ liệu người dùng của các dịch vụ API của Google. Chính sách này yêu cầu các ứng dụng bảo vệ dữ liệu người dùng và chỉ sử dụng dữ liệu cho những mục đích mà người dùng đã uỷ quyền. Các ứng dụng cũng có thể cần trải qua một quy trình đánh giá bảo mật độc lập để xác minh rằng chúng đáp ứng các yêu cầu bảo mật của Google Cloud.
Xin lưu ý rằng quy trình xác minh API OAuth có thể mất đến vài tuần để hoàn tất. Sau khi ứng dụng của bạn được xác minh, bạn có thể yêu cầu các phạm vi nhạy cảm hoặc hạn chế mà bạn cần.
Hãy tham khảo Câu hỏi thường gặp về quy trình xác minh API OAuth để biết thêm thông tin.
Xử lý nhiều mã ứng dụng OAuth
Một dự án trên Google Cloud có thể có nhiều mã ứng dụng OAuth, có thể yêu cầu quản trị viên miền định cấu hình quyền truy cập của bạn nhiều lần.
Đảm bảo tính chính xác của mã ứng dụng khách OAuth
Hãy kiểm tra với nhóm phát triển để hiểu rõ những mã ứng dụng OAuth đang được sử dụng để tích hợp với Google OAuth. Sử dụng hai dự án riêng biệt trên Google Cloud cho quá trình thử nghiệm và sản xuất để giúp quản trị viên hiểu rõ những mã ứng dụng OAuth cần định cấu hình. Xoá mọi mã ứng dụng đã ngừng hoạt động hoặc lỗi thời khỏi các dự án sản xuất.
Tải tệp CSV lên
Nếu bạn có nhiều mã ứng dụng, chúng tôi khuyên bạn nên tận dụng tuỳ chọn tải hàng loạt tệp CSV lên để giúp quản trị viên nhanh chóng định cấu hình tất cả ứng dụng của bạn.
Các trường là:
| Trường | Bắt buộc | Ghi chú |
|---|---|---|
| Tên ứng dụng | Không | Nhập tên của ứng dụng. Những thay đổi mà bạn thực hiện đối với tên ứng dụng trong tệp CSV sẽ không được cập nhật trong Bảng điều khiển dành cho quản trị viên. |
| Loại | Có | Một trong các loại ứng dụng web, Android hoặc iOS. |
| Giấy tờ tuỳ thân | Có | Đối với ứng dụng web, hãy nhập mã ứng dụng OAuth được cấp cho ứng dụng. Đối với ứng dụng Android và iOS, hãy nhập mã ứng dụng khách OAuth hoặc mã gói/mã nhận dạng gói ứng dụng mà ứng dụng sử dụng trong Google Play hoặc Apple App Store. |
| Đơn vị tổ chức | Có | Khách hàng sẽ điền thông tin này. Nhập dấu gạch chéo lên ("/") để áp dụng chế độ cài đặt quyền truy cập vào ứng dụng cho toàn bộ miền của bạn. Để áp dụng chế độ cài đặt quyền truy cập cho các đơn vị tổ chức cụ thể, hãy thêm một hàng vào bảng tính cho từng đơn vị tổ chức, lặp lại Tên ứng dụng, Loại và Mã. (ví dụ: "/org_unit_1/sub_unit_1"). |
| Quyền truy cập | Có | Một trong các loại đáng tin cậy, bị chặn hoặc bị giới hạn. |
Lỗi OAuth
Chúng tôi đã giới thiệu hai thông báo lỗi với các chế độ kiểm soát mới này dành cho quản trị viên.
- Lỗi 400: access_not_configured – nhận được khi kết nối OAuth bị từ chối vì ứng dụng của bạn chưa được định cấu hình.
- Lỗi 400: admin_policy_enforced – nhận được khi kết nối OAuth bị từ chối vì quản trị viên đã chặn ứng dụng của bạn.
Người dùng được chỉ định là dưới 18 tuổi
Quản trị viên có thể quản lý quyền truy cập vào những ứng dụng bên thứ ba chưa được định cấu hình cho người dùng được chỉ định là dưới 18 tuổi. Nếu gặp lỗi "Quyền truy cập bị chặn: Quản trị viên của tổ chức cần xem lại [tên ứng dụng]," thì người dùng phải yêu cầu quyền truy cập trong thông báo lỗi. Việc này cho phép quản trị viên xem xét ứng dụng bên thứ ba. Quản trị viên có thể quyết định cho phép hay chặn các ứng dụng bên thứ ba.