Google 推出了應用程式存取權控制項設定,方便 Google Workspace for Education 管理員控管第三方應用程式存取機構 Google 資料的方式,使用者只要透過 Google Workspace for Education 帳戶登入即可。第三方應用程式開發人員不必採取任何行動,但我們建議參考其他開發人員認為有用的最佳做法。
使用漸進式 OAuth
您可以先使用增量授權,只要求啟動應用程式所需的範圍,然後在需要新權限時要求其他範圍。應用程式內容隨後會向使用者說明要求的原因。
登入時,應用程式會要求基本範圍,例如登入範圍設定檔,以及應用程式運作所需的其他初始範圍。之後,當使用者想執行需要額外範圍的操作時,應用程式會要求這些額外範圍,使用者則只會從同意畫面授權新的範圍。
建構 Google Classroom 外掛程式時,請按照 Google Workspace Marketplace 指南,提供應用程式所需的 OAuth 範圍完整清單。管理員必須瞭解系統要求網域使用者同意哪些範圍,因此這項資訊不可或缺。
確認所有應用程式都已通過 OAuth 驗證
凡是存取 Google API 的應用程式,都必須驗證自身身分和意圖,確保符合 Google API 服務使用者資料政策的規定。如果您維護多個使用 Google API 的應用程式,請確保每個應用程式都已通過驗證。管理員可能會看到與已驗證品牌相關聯的所有 OAuth 用戶端 ID。為避免管理員設定錯誤的 OAuth 用戶端 ID,請為測試和正式環境使用不同的 Google Cloud 專案,並刪除所有未使用的 OAuth 用戶端 ID。
Google Cloud Platform 會透過 OAuth API 驗證程序,確保要求存取機密或受限制範圍的應用程式安全無虞且符合規定。驗證程序有助於保護 Google Cloud 使用者和資料,避免未經授權的存取行為。
如果應用程式要求機密或受限制的範圍,就必須遵守《Google API 服務使用者資料政策》。這項政策要求應用程式保護使用者資料,且只能將資料用於使用者授權的用途。應用程式可能也需要接受獨立安全評估,以驗證是否符合 Google Cloud 的安全規定。
請注意,OAuth API 驗證程序最多可能需要數週才能完成。應用程式通過驗證後,您就能要求所需的私密或受限制範圍。
詳情請參閱 OAuth API 驗證常見問題。
處理多個 OAuth 用戶端 ID
Google Cloud 專案可能有多個 OAuth 用戶端 ID,因此網域管理員可能需要多次設定存取權。
確保 OAuth 用戶端 ID 的準確度
請與開發團隊確認,目前是使用哪些 OAuth 用戶端 ID 整合 Google OAuth。請使用兩個不同的 Google Cloud 專案進行測試和正式發布,協助管理員瞭解要設定哪些 OAuth 用戶端 ID。從正式版專案中刪除所有已淘汰或過期的用戶端 ID。
上傳 CSV
如果您有多個用戶端 ID,建議使用 CSV 大量上傳選項,協助管理員快速設定所有應用程式。
欄位如下:
| 欄位 | 必填 | 附註 |
|---|---|---|
| 應用程式名稱 | 否 | 輸入應用程式名稱。您在 CSV 檔案中對應用程式名稱所做的變更不會套用到管理控制台。 |
| 類型 | 是 | 網頁應用程式、Android 或 iOS。 |
| ID <0x0 | Yes | 如果是網頁應用程式,請輸入核發給該應用程式的 OAuth 用戶端 ID。 如果是 Android 和 iOS 應用程式,請輸入應用程式在 Google Play 或 Apple App Store 中使用的 OAuth 用戶端 ID、套件或軟體包 ID。 |
| 機構單位 | 是 | 由顧客填寫。 輸入正斜線 (「/」),將整個應用程式存取權設定套用至整個網域。如要為特定機構單位套用存取權設定,請在試算表中依序為各個機構單位新增資料欄,然後重複新增「App name」(應用程式名稱)、「Type」(類型) 和「ID」。例如「/org_unit_1/sub_unit_1」。 |
| 存取權 | 是 | 「trusted」(可信任)、「blocked」(已封鎖) 或「limited」(受限制)。 |
OAuth 錯誤
這些新的管理員控制選項會顯示兩則錯誤訊息。
- 錯誤 400:access_not_configured - 應用程式尚未設定,因此 OAuth 連線遭拒時會收到這項錯誤。
- 錯誤 400:admin_policy_enforced - 如果管理員封鎖您的應用程式,系統就會拒絕 OAuth 連線,並顯示這項錯誤。
標示為未滿 18 歲的使用者
管理員可以管理存取權,允許標示為未滿 18 歲的使用者存取未設定的第三方應用程式。如果使用者看到「已封鎖存取權:「[應用程式名稱]」必須通過貴機構管理員的審查」錯誤訊息,則須在錯誤訊息中要求存取權,以便管理員審查第三方應用程式。管理員可以允許或封鎖第三方應用程式。