Google đã ra mắt chế độ kiểm soát quyền truy cập vào ứng dụng để giúp quản trị viên Google Workspace for Education dễ dàng kiểm soát cách các ứng dụng bên thứ ba truy cập dữ liệu của tổ chức trên Google khi người dùng đăng nhập bằng tài khoản Google Workspace for Education. Mặc dù các nhà phát triển ứng dụng bên thứ ba không cần thực hiện bất kỳ hành động nào, nhưng dưới đây là một số phương pháp hay nhất mà các nhà phát triển khác cho là hữu ích.
Sử dụng OAuth gia tăng
Bạn có thể sử dụng uỷ quyền gia tăng để ban đầu chỉ yêu cầu các phạm vi cần thiết để khởi động ứng dụng, sau đó yêu cầu các phạm vi bổ sung khi cần có quyền mới. Ngữ cảnh ứng dụng sẽ xác định lý do của yêu cầu đối với người dùng.
Khi đăng nhập, ứng dụng của bạn sẽ yêu cầu các phạm vi cơ bản như phạm vi đăng nhập hồ sơ và các phạm vi ban đầu khác mà ứng dụng của bạn cần để hoạt động. Sau đó, khi người dùng muốn thực hiện một hành động yêu cầu các phạm vi bổ sung, ứng dụng của bạn sẽ yêu cầu các phạm vi bổ sung đó và người dùng chỉ uỷ quyền các phạm vi mới trên màn hình đồng ý.
Khi tạo tiện ích bổ sung Google Lớp học, bạn nên tuân theo hướng dẫn của Google Workspace Marketplace về việc cung cấp danh sách đầy đủ các phạm vi OAuth mà ứng dụng của bạn yêu cầu. Điều này là cần thiết để quản trị viên hiểu được những phạm vi mà người dùng miền được yêu cầu đồng ý.
Đảm bảo tất cả ứng dụng đều được xác minh bằng OAuth
Tất cả ứng dụng truy cập vào các API của Google đều phải xác minh rằng chúng trình bày chính xác danh tính và ý định của mình theo quy định của Chính sách dữ liệu người dùng của Dịch vụ API của Google. Nếu bạn duy trì nhiều ứng dụng sử dụng Google API, hãy đảm bảo rằng mỗi ứng dụng đều đã được xác minh. Quản trị viên có thể thấy tất cả mã ứng dụng OAuth được liên kết với thương hiệu đã xác minh của bạn. Để giúp quản trị viên tránh định cấu hình mã ứng dụng OAuth không chính xác, hãy sử dụng các dự án riêng biệt trên Google Cloud cho thử nghiệm và sản xuất, đồng thời xoá tất cả mã ứng dụng OAuth không được sử dụng.
Xác minh OAuth API là một quy trình mà Google Cloud Platform sử dụng để đảm bảo rằng các ứng dụng yêu cầu phạm vi nhạy cảm hoặc hạn chế đều an toàn và tuân thủ. Quy trình xác minh giúp bảo vệ người dùng và dữ liệu trên Google Cloud khỏi hành vi truy cập trái phép.
Ứng dụng yêu cầu các phạm vi nhạy cảm hoặc bị hạn chế phải tuân thủ Chính sách dữ liệu người dùng của các dịch vụ API của Google. Chính sách này yêu cầu các ứng dụng phải bảo vệ dữ liệu người dùng và chỉ sử dụng dữ liệu cho những mục đích mà người dùng đã cho phép. Các ứng dụng cũng có thể cần trải qua một quy trình đánh giá bảo mật độc lập để xác minh rằng chúng đáp ứng các yêu cầu bảo mật của Google Cloud.
Xin lưu ý rằng quy trình xác minh OAuth API có thể mất đến vài tuần để hoàn tất. Sau khi ứng dụng của bạn được xác minh, bạn có thể yêu cầu các phạm vi nhạy cảm hoặc bị hạn chế mà bạn cần.
Hãy tham khảo Câu hỏi thường gặp về quy trình xác minh API OAuth để biết thêm thông tin.
Xử lý nhiều mã ứng dụng OAuth
Một dự án trên Google Cloud có thể có nhiều mã ứng dụng OAuth. Điều này có thể yêu cầu quản trị viên miền định cấu hình quyền truy cập của bạn nhiều lần.
Đảm bảo tính chính xác của mã ứng dụng OAuth
Hãy trao đổi với nhóm phát triển để biết những mã ứng dụng khách OAuth đang được dùng để tích hợp với Google OAuth. Sử dụng hai dự án khác nhau trên Google Cloud cho kiểm thử và phát hành công khai để giúp quản trị viên hiểu rõ cần định cấu hình mã ứng dụng OAuth nào. Xoá mọi mã ứng dụng khách không dùng nữa hoặc đã hết hạn khỏi các dự án phát hành công khai.
Tải tệp CSV lên
Nếu có nhiều mã ứng dụng khách, bạn nên tận dụng lựa chọn tải lên hàng loạt qua tệp CSV để giúp quản trị viên nhanh chóng định cấu hình tất cả ứng dụng của bạn.
Các trường này là:
| Trường | Bắt buộc | Ghi chú |
|---|---|---|
| Tên ứng dụng | Không | Nhập tên của ứng dụng. Những thay đổi mà bạn thực hiện đối với tên ứng dụng trong tệp CSV sẽ không được cập nhật trong bảng điều khiển Quản trị. |
| Loại | Có | Một trong các ứng dụng web, Android hoặc iOS. |
| Giấy tờ tuỳ thân | Có | Đối với ứng dụng web, hãy nhập mã ứng dụng OAuth được cấp cho ứng dụng. Đối với ứng dụng Android và iOS, hãy nhập mã ứng dụng khách OAuth hoặc mã gói hoặc mã nhận dạng gói mà ứng dụng sử dụng trong Google Play hoặc Apple App Store. |
| Đơn vị tổ chức | Có | Khách hàng cần điền thông tin này. Nhập dấu gạch chéo lên ("/") để áp dụng chế độ cài đặt quyền truy cập vào ứng dụng cho toàn bộ miền của bạn. Để áp dụng chế độ cài đặt quyền truy cập cho các đơn vị tổ chức cụ thể, hãy thêm một hàng vào bảng tính cho từng đơn vị tổ chức, lặp lại Tên ứng dụng, Loại và Mã nhận dạng. (ví dụ: "/org_unit_1/sub_unit_1"). |
| Quyền truy cập | Có | Một trong các trạng thái đáng tin cậy, bị chặn hoặc bị giới hạn. |
Lỗi OAuth
Hai thông báo lỗi đã được giới thiệu cùng với các chế độ kiểm soát mới dành cho quản trị viên này.
- Lỗi 400: access_not_configured – nhận được khi một kết nối OAuth bị từ chối vì ứng dụng của bạn chưa được định cấu hình.
- Lỗi 400: admin_policy_enforced – nhận được khi một kết nối OAuth bị từ chối vì quản trị viên đã chặn ứng dụng của bạn.
Người dùng được xác định là dưới 18 tuổi
Quản trị viên có thể quản lý quyền truy cập vào các ứng dụng bên thứ ba chưa được định cấu hình đối với người dùng được chỉ định là dưới 18 tuổi. Nếu gặp lỗi "Quyền truy cập bị chặn: Quản trị viên của tổ chức cần xem xét [tên ứng dụng]", thì người dùng phải yêu cầu quyền truy cập trong thông báo lỗi. Việc này cho phép quản trị viên của họ xem xét ứng dụng bên thứ ba. Quản trị viên có thể quyết định cho phép hay chặn các ứng dụng bên thứ ba.