作为应用安全的一个环节,您可以在部署应用时设置可运行应用的人员,并为成员分配访问权限角色。应用部署会继承应用设置的一些安全设置。
部署应用的开发者是部署所有者。部署所有权是不可转让的,因此请考虑应该由谁来部署应用。部署所有者拥有应用数据的完整访问权限。
您可能需要使用共享管理员帐号来部署应用,以免部署所有者在离开您的组织时出现问题。如果您使用此方法,请经常更改管理员帐号的密码以防止未经授权的访问。
控制谁可以运行应用部署
默认情况下,组织中的所有具有链接的用户都可以运行应用部署。部署应用时,请指定可以运行应用部署的用户和群组。无法运行应用的用户会收到无权访问应用的消息。您可以在部署后修改这些权限。
如需允许特定用户和群组在您发布应用时运行应用部署,请执行以下操作:
- 在应用制作工具中,打开您的应用。
- 点击 Publish。
- 在 Application access下,选择 Only allow access to specific users。
- 输入用户和群组的电子邮件地址。
- 设置其他部署设置,例如向角色添加用户和群组。
- 点击 Publish。
- 与用户共享网址。如果无权运行应用的用户尝试打开该网址,则应用制作工具会返回错误消息:“Sorry, you don't have access to this application”。
如需在部署应用后更新权限,请进行以下操作:
- 在应用制作工具中,打开您的应用。
- 点击 Settings Deployments。
- 将光标指向部署并点击 Edit。
- 在 Application access下,选择 Only allow access to specific users。
- 输入用户和群组的电子邮件地址。
- 点击 Save。
应用制作工具会自动重新发布部署以更新权限。
向角色添加成员
如果您使用基于角色的访问权限控制,请向角色添加成员。
- 依次打开应用制作工具和您的应用。
- 点击 Settings > Deployments。
- 在表格中,将光标指向要向角色添加成员的部署,然后点击 Edit。
- 在 Users with role access 部分中,输入用户或群组(Google 群组)的电子邮件地址。
- 点击 Save。
应用制作工具会重新发布应用部署。重新发布的部署包括角色成员的更新。
部署安全的最佳做法
- 仅向需要使用该应用的用户授予运行应用的权限。
- 使用群组管理角色成员时,无需修改部署即可更新成员。
- 定期查看角色成员,以确保用户拥有适当的权限。尤其要评估具有 Admin 角色的成员。