設定 OAuth 同意畫面並選擇範圍

如果您使用 OAuth 2.0 進行授權,Google 會向使用者顯示同意畫面,包括專案摘要、政策及要求的存取權授權範圍。設定應用程式的 OAuth 同意畫面,定義要對使用者和應用程式審查者顯示的內容,並註冊應用程式以便日後發布。

如要定義授予應用程式的存取層級,您必須找出並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串,內含 Google Workspace 應用程式名稱、該字串存取的資料類型及存取層級。「範圍」是應用程式處理 Google Workspace 資料的要求,包括使用者的 Google 帳戶資料。

應用程式安裝完畢後,系統會要求使用者驗證應用程式使用的範圍。一般而言,您應選擇範圍最明確的範圍,避免要求應用程式不需要的範圍。使用者更容易授予存取權給有明確描述範圍的有限範圍。

凡是使用 OAuth 2.0 的應用程式都需要同意畫面設定,但您只需要列出 Google Workspace 機構外部人員使用的應用程式範圍。

提示:如果您不知道必要的同意畫面資訊,可以在發布前使用預留位置資訊。

基於安全考量,OAuth 2.0 同意畫面設定完成後即無法移除。

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「OAuth 同意畫面」

    前往 OAuth 同意畫面

  2. 選取應用程式的使用者類型,然後按一下「建立」。
  3. 填寫應用程式註冊表單,然後按一下「儲存並繼續」
  4. 如要建立用於 Google Workspace 機構外部的應用程式,請按一下「新增或移除範圍」。選取範圍時,建議您採用下列最佳做法:

    • 請選取提供應用程式所需最低存取權級別的範圍。如需可用範圍清單,請參閱 Google API 的 OAuth 2.0 範圍
    • 查看以下三個部分列出的範圍:非敏感範圍、敏感範圍和受限制的範圍。針對「您的機密範圍」或「您的受限制範圍」區段中列出的任何範圍,請嘗試識別替代非敏感範圍,避免不必要的額外審查。
    • 部分範圍需要經過 Google 進一步審查。對於僅限您的 Google Workspace 機構內部使用的應用程式,同意畫面不會列出範圍,而使用受限製或敏感範圍時,不需要進一步經過 Google 審查。詳情請參閱「範圍類別」一文。
  5. 選取應用程式需要的範圍後,按一下「儲存並繼續」
  6. 如果您將使用者類型設為「外部」,請新增測試使用者:
    1. 在「測試使用者」下方,點選「新增使用者」
    2. 輸入您的電子郵件地址和其他授權的測試使用者,然後按一下「儲存並繼續」
  7. 查看應用程式註冊摘要。如要變更,請按一下「編輯」。如果應用程式註冊作業沒有問題,請按一下「Back to Dashboard」(返回資訊主頁)

範圍類別

部分範圍需要根據授予的層級或存取權類型進行額外的審查和要求。請考量下列範圍類型:

      必須進行基本應用程式驗證 需要額外的應用程式驗證 需要進行安全性評估
  非敏感範圍 (建議) 只授予與特定動作立即相關的有限資料存取權。
敏感範圍 授予使用者個人資料、資源或動作的存取權。
受限制的範圍 授予高度敏感或廣泛的使用者資料或動作的存取權。

後續步驟

為應用程式建立存取憑證