Ważne: aby monitorować i ograniczać dostęp do danych przyznawany przez użytkowników aplikacji Apps Script, musisz mieć konto Google Workspace Enterprise, Education Standard lub Education Plus.
Użytkownicy Google Workspace przyznają dostęp do poziomów danych (tzw. zakresów), gdy uruchamiają skrypty lub używają aplikacji, takich jak dodatki lub aplikacje internetowe. Na tej stronie dowiesz się, jak monitorować i anulować zakresy, do których użytkownicy przyznają dostęp na swoim koncie Google Workspace.
Monitorowanie zdarzeń uwierzytelniania przez OAuth według zakresu
Aby wyświetlić zdarzenia, w przypadku których użytkownicy przyznają dostęp do określonego zakresu lub zakresów, wykonaj te czynności:
W konsoli administracyjnej Google kliknij Menu > Zabezpieczenia > Centrum bezpieczeństwa > Narzędzie do analizy zagrożeń.
Kliknij Źródło danych i wybierz Zdarzenia z dziennika OAuth.
Kliknij Dodaj warunek > Atrybut i wybierz Zdarzenie.
Kliknij kolejno Zdarzenie i Przyznaj.
Kliknij Dodaj warunek > Atrybut i wybierz Zakres.
W polu Zakres wpisz zakres, który chcesz monitorować. Listę zakresów znajdziesz w artykule Zakresy OAuth 2.0 dla interfejsów API Google.
Kliknij Szukaj. Pojawi się lista zdarzeń uwierzytelnienia dla określonych zakresów.
Cofnij przypisania OAuth
Ważne: po cofnięciu dostępu do zakresu użytkownicy mogą go przyznać ponownie. Zalecamy skonfigurowanie alertów dotyczących zakresów, do których użytkownicy nie powinni przyznawać dostępu. Dzięki temu w razie potrzeby będzie można cofnąć dostęp. Więcej informacji znajdziesz w artykule na temat tworzenia alertu o przyznaniach protokołu OAuth.
Aby unieważnić dostęp do zakresu, wykonaj czynności opisane w artykule Monitorowanie zdarzeń uwierzytelniania przez OAuth według zakresu, a potem wybierz zdarzenia, które chcesz unieważnić, i kliknij Anuluj tokeny dostępu użytkowników.
Tworzenie alertu dotyczącego uwierzytelnienia przez OAuth
Aby otrzymać alert, gdy ktoś przyzna dostęp do określonego zakresu, wykonaj czynności opisane w sekcji Monitorowanie zdarzeń uwierzytelniania przez OAuth według zakresu, a potem wykonaj te czynności:
- U góry wyszukiwania kliknij Utwórz regułę związaną z aktywnością.
- W polu Nazwa reguły wpisz nazwę alertu.
- Kliknij Dalej – wyświetl warunki. Warunki te zostaną wypełnione automatycznie na podstawie parametrów wyszukiwania. W razie potrzeby możesz je edytować, a następnie kliknij Dalej: dodaj działania.
- W Próg 1 wybierz przedział czasu i próg reguły, a następnie zaznacz pole Wyślij do Centrum alertów.
- Kliknij Dodaj odbiorców e-maili i wpisz adresy e-mail, na które mają być wysyłane alerty. Kliknij Gotowe.
- Kliknij Dalej – sprawdź.
- Sprawdź szczegóły i kliknij Utwórz regułę.
Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.
Ogranicz dostęp do zakresów OAuth wysokiego ryzyka
Możesz ograniczyć dostęp do większości usług Google Workspace. W przypadku Gmaila i Dysku Google możesz ograniczyć dostęp do zakresów OAuth wysokiego ryzyka, a jednocześnie zezwolić użytkownikom na przyznawanie dostępu do zakresów OAuth, które nie są sklasyfikowane jako zakresy o wysokim ryzyku. Jeśli aplikacja prosi o dostęp do ograniczonego zakresu OAuth wysokiego ryzyka, a nie oznaczysz jej jako zaufanej, użytkownicy nie będą mogli jej autoryzować.
Aby dowiedzieć się, jak ograniczyć dostęp do zakresów OAuth wysokiego ryzyka, przeczytaj artykuł o ograniczaniu usług Google i usuwaniu ograniczeń.