Для мониторинга и ограничения доступа к данным, предоставляемого пользователями Apps Script, вам потребуется учетная запись Google Workspace Enterprise, Education Standard или Education Plus.
Пользователи Google Workspace предоставляют доступ к определенным уровням данных, известным как области действия (scopes), при запуске скриптов или использовании таких приложений, как дополнения или веб-приложения. На этой странице описано, как отслеживать или отзывать области действия, к которым пользователи предоставляют доступ в своей учетной записи Google Workspace.
Отслеживайте события предоставления прав OAuth по области действия.
Чтобы просмотреть события, в которых пользователи предоставляют доступ к определенной области или областям, выполните следующие действия:
В консоли администратора Google перейдите в > Безопасность > Центр безопасности > Инструмент расследования .
Нажмите «Источник данных» и выберите «События журнала OAuth» .
Нажмите «Добавить условие» > «Атрибут» и выберите «Событие» .
Нажмите «Событие» и выберите «Предоставить» .
Нажмите «Добавить условие» > «Атрибут» и выберите «Область действия» .
В поле «Область действия» укажите область, которую вы хотите отслеживать. Список областей действия см. в разделе «Области действия OAuth 2.0 для API Google» .
Нажмите «Поиск» . Отобразится список грантовых мероприятий в указанных вами областях.
Отозвать разрешения OAuth
Важно : После отзыва доступа к области действия пользователи могут повторно предоставить доступ. Настройте оповещения для областей действия, к которым вы не хотите предоставлять доступ пользователям, чтобы при необходимости отзывать доступ. См. раздел «Создание оповещения для предоставления доступа OAuth» .
Чтобы отозвать доступ к области действия, выполните действия, описанные в разделе «Мониторинг событий предоставления доступа OAuth по области действия» , затем выберите события, доступ к которым вы хотите отозвать, и нажмите «Отозвать токены доступа для пользователей» .
Создать оповещение о предоставлении OAuth-прав
Чтобы получать оповещения о предоставлении доступа к определенной области, выполните действия, описанные в разделе «Мониторинг событий предоставления доступа OAuth по областям» , а затем выполните следующие действия:
- В верхней части окна поиска нажмите «Создать правило действия» .
- В поле «Имя правила» введите имя для оповещения.
- Нажмите «Далее: Просмотреть условия» . Условия автоматически заполняются на основе параметров поиска. При необходимости отредактируйте их, затем нажмите «Далее: Добавить действия» .
- В поле «Порог 1» выберите временной интервал и пороговое значение для правила и установите флажок «Отправить в центр оповещений» .
- Нажмите «Добавить получателей электронной почты» и введите адреса электронной почты, на которые должны приходить уведомления. Нажмите «Готово» .
- Нажмите «Далее: Обзор» .
- Просмотрите подробности и нажмите «Создать правило» .
Для получения более подробной информации см. раздел «Создание и управление правилами действий» .
Ограничьте доступ к областям действия OAuth с высоким риском.
Вы можете ограничить доступ к большинству сервисов Google Workspace. Для Gmail и Google Drive ограничьте доступ к областям OAuth с высоким риском, разрешив при этом пользователям предоставлять доступ к областям OAuth, которые не классифицируются как высокорискованные. Если приложение запрашивает доступ к ограниченной области OAuth с высоким риском, и вы не подтвердили доверие к этому приложению, пользователи не смогут его авторизовать.
Чтобы ограничить доступ к высокорискованным областям действия OAuth, см. раздел «Ограничение или снятие ограничений с сервисов Google» .