設定 OAuth 同意畫面並選擇範圍

如果您使用 OAuth 2.0 進行授權,Google 會向使用者顯示同意畫面,內容包括專案摘要、政策,以及要求的授權存取範圍。設定應用程式的 OAuth 同意畫面,即可定義向使用者和應用程式審查人員顯示的內容,並註冊應用程式,以便日後發布。

如要定義授予應用程式的存取權層級,您必須識別並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串,其中包含 Google Workspace 應用程式名稱、應用程式存取的資料類型,以及存取層級。「範圍」是指應用程式要求處理 Google Workspace 資料的權限,包括使用者的 Google 帳戶資料。

安裝應用程式時,系統會要求使用者驗證應用程式使用的範圍。一般來說,您應盡可能選擇最狹隘的範圍,並避免要求應用程式不需要的範圍。使用者更願意授予明確說明的有限範圍存取權。

所有使用 OAuth 2.0 的應用程式都需要同意畫面設定,但您只需要列出 Google Workspace 機構外部使用者使用的應用程式範圍。

提示:如果您不知道必要的同意聲明畫面資訊,可以在發布前使用預留位置資訊。

基於安全考量,您無法在設定 OAuth 2.0 同意畫面後將其移除。

  1. 在 Google Cloud 控制台中,依序前往「選單」 >>「品牌」

    前往「品牌」

  2. 如果您已設定 ,則可以在「品牌」、「目標對象」和「資料存取」中設定下列 OAuth 同意畫面設定。 如果畫面上顯示「尚未設定」 ,請按一下「開始使用」
    1. 在「App Information」(應用程式資訊) 下方的「App name」(應用程式名稱) 中,輸入「App name」(應用程式名稱)
    2. 在「使用者支援電子郵件」中,選擇使用者有同意聲明相關問題時可與您聯絡的支援電子郵件地址。
    3. 點選 [下一步]
    4. 在「目標對象」下方,選取應用程式的使用者類型。
    5. 點選 [下一步]
    6. 在「聯絡資訊」下方,輸入電子郵件地址,以便在專案有任何異動時通知您。
    7. 點選 [下一步]
    8. 在「Finish」下方,詳閱「Google API 服務使用者資料政策」,如果同意,請選取「I agree to the Google API Services: User Data Policy」
    9. 按一下 [繼續]。
    10. 按一下 [建立]。
    11. 如果您選取的使用者類型為「外部」,請新增測試使用者:
      1. 按一下「目標對象」
      2. 在「測試使用者」下方,點選「新增使用者」
      3. 輸入您的電子郵件地址和其他授權測試使用者,然後按一下「儲存」

  3. 如果您要建立的應用程式是用於 Google Workspace 機構以外的環境,請依序點選「資料存取」>「新增或移除範圍」。選擇範圍時,建議您採取下列最佳做法:

    • 選取提供應用程式所需最低存取權限的範圍。如需可用範圍的清單,請參閱「Google API 適用的 OAuth 2.0 範圍」。
    • 請查看每個部分列出的範圍:非機密範圍、機密範圍和受限制範圍。針對「您的機密範圍」或「您的受限制範圍」部分列出的任何範圍,請盡量找出替代的非機密範圍,以免需要進行額外審查。
    • 部分權限需要 Google 額外審查。如果應用程式僅供貴機構的 Google Workspace 使用者在內部使用,同意畫面上不會列出範圍,且使用受限制或敏感範圍時,Google 也不需要進一步審查。詳情請參閱「範圍類別」。
  4. 選取應用程式所需的權限範圍後,按一下「儲存」

如要進一步瞭解如何設定 OAuth 同意聲明,請參閱「開始使用 」。

範圍類別

部分範圍會因授予的存取層級或類型而需要額外審查及規定。請考慮下列類型的範圍:

      必須進行基本應用程式驗證 需要額外應用程式驗證 需要安全性評估
  非機密範圍 (建議) 只授予與特定動作直接相關的有限資料存取權。
機密範圍 授予存取個人使用者資料、資源或動作的權限。
受限制的範圍 授予存取高度機密或大量使用者資料或動作的權限。

下一步

為應用程式建立存取憑證