Giám sát và hạn chế quyền truy cập vào dữ liệu

Lưu ý quan trọng: Bạn phải có tài khoản Google Workspace Enterprise, Education Standard hoặc Education Plus để giám sát và hạn chế quyền truy cập vào dữ liệu mà người dùng cấp cho Apps Script.

Người dùng Google Workspace cấp quyền truy cập vào các cấp dữ liệu (còn gọi là phạm vi) khi họ chạy tập lệnh hoặc dùng các ứng dụng như tiện ích bổ sung hoặc ứng dụng web. Trang này giải thích cách bạn có thể giám sát hoặc thu hồi phạm vi mà người dùng cấp quyền truy cập trong tài khoản Google Workspace của họ.

Giám sát các sự kiện cấp OAuth theo phạm vi

Để xem những sự kiện mà người dùng cấp quyền truy cập vào một phạm vi hoặc phạm vi cụ thể, hãy làm theo các bước sau:

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn > Bảo mật > Trung tâm bảo mật > Công cụ điều tra.

    Chuyển đến công cụ Điều tra

  2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký OAuth.

  3. Nhấp vào Thêm điều kiện > Thuộc tính rồi chọn Sự kiện.

  4. Nhấp vào Sự kiện rồi chọn Cấp.

  5. Nhấp vào Thêm điều kiện > Thuộc tính rồi chọn Phạm vi.

  6. Đối với Phạm vi, hãy nhập phạm vi mà bạn muốn theo dõi. Để biết danh sách các phạm vi, hãy tham khảo bài viết Các phạm vi OAuth 2.0 cho API Google.

  7. Nhấp vào Tìm kiếm. Danh sách các sự kiện cấp sẽ hiển thị cho các phạm vi mà bạn đã chỉ định.

Thu hồi các lượt cấp OAuth

Lưu ý quan trọng: Sau khi bạn thu hồi quyền truy cập vào một phạm vi, người dùng có thể cấp lại quyền truy cập. Bạn nên thiết lập cảnh báo cho những phạm vi mà bạn không muốn người dùng cấp quyền truy cập để có thể thu hồi quyền truy cập khi cần. Hãy tham khảo bài viết Tạo thông báo về việc cấp OAuth.

Để thu hồi quyền truy cập vào một phạm vi, hãy làm theo các bước Theo dõi sự kiện cấp OAuth theo phạm vi, sau đó chọn các sự kiện bạn muốn thu hồi rồi nhấp vào Thu hồi mã thông báo truy cập của người dùng.

Tạo thông báo về lượt cấp OAuth

Để nhận thông báo khi có người cấp quyền truy cập vào một phạm vi cụ thể, hãy làm theo các bước Theo dõi sự kiện cấp OAuth theo phạm vi, sau đó làm theo các bước sau:

  1. Ở đầu phần tìm kiếm, hãy nhấp vào Tạo quy tắc hoạt động.
  2. Đối với Tên quy tắc, hãy nhập tên cho cảnh báo.
  3. Nhấp vào Tiếp theo: Xem điều kiện. Các điều kiện sẽ tự động được điền từ các thông số tìm kiếm. Bạn có thể chỉnh sửa các hành động này nếu cần, sau đó nhấp vào Tiếp theo: Thêm hành động.
  4. Trong Ngưỡng 1, hãy chọn một khung thời gian và ngưỡng cho quy tắc, rồi đánh dấu vào hộp Gửi đến trung tâm thông báo.
  5. Nhấp vào Thêm người nhận email rồi nhập các địa chỉ email sẽ nhận thông báo. Nhấp vào Xong.
  6. Nhấp vào Tiếp theo: Xem xét.
  7. Xem lại thông tin chi tiết rồi nhấp vào Tạo quy tắc

Để biết thêm thông tin, hãy tham khảo bài viết Tạo và quản lý quy tắc hoạt động.

Hạn chế quyền truy cập vào các phạm vi OAuth rủi ro cao

Bạn có thể hạn chế quyền truy cập vào hầu hết dịch vụ của Google Workspace. Đối với Gmail và Google Drive, bạn có thể hạn chế quyền truy cập vào các phạm vi OAuth rủi ro cao, đồng thời cho phép người dùng cấp quyền truy cập vào các phạm vi OAuth không bị phân loại là rủi ro cao. Nếu một ứng dụng yêu cầu quyền truy cập vào một phạm vi OAuth bị hạn chế, rủi ro cao, và bạn không tin tưởng cụ thể vào ứng dụng đó, thì người dùng không thể cho phép ứng dụng đó.

Để hạn chế quyền truy cập vào các phạm vi OAuth rủi ro cao, hãy tham khảo phần Hạn chế hoặc bỏ hạn chế các dịch vụ của Google.