Verifica client OAuth

I client OAuth di Google che richiedono determinati ambiti OAuth sensibili sono sottoposti a verifica da parte di Google.

Se non verifichi il client OAuth del progetto di script, gli utenti esterni al tuo dominio vedranno una schermata di app non verificata quando tentano di autorizzare lo script. Un flusso di autorizzazione non verificato consente a questi utenti di autorizzare e utilizzare app non verificate, ma solo dopo aver confermato di aver compreso i rischi. Anche il numero totale di utenti di app non verificate è limitato.

Per ulteriori informazioni, leggi i seguenti articoli:

 

Schermata App non verificata
Figura 1: schermata dell'app non verificata
Flusso di autorizzazione delle app non verificate
Figura 2: flusso di autorizzazione per app non verificata

 

Questa modifica si applica ai client web OAuth di Google, inclusi quelli utilizzati da tutti i progetti Apps Script. Verificando la tua app con Google, puoi rimuovere la schermata dell'app non verificata dal flusso di autorizzazione e convincere gli utenti che la tua app non è dannosa.

App non verificate

I componenti aggiuntivi, le app web e altri implementazioni (ad esempio le app che utilizzano l'API Apps Script) potrebbero richiedere la verifica.

Applicabilità

Se l'app utilizza ambiti OAuth sensibili, la schermata dell'app non verificata potrebbe essere visualizzata nel flusso di autorizzazione. La sua presenza (e il conseguente flusso di autorizzazione dell'app non verificato) dipende dall'account da cui viene pubblicata l'app e dall'account che sta tentando di utilizzarla. Ad esempio, le app pubblicate in un'organizzazione Google Workspace specifica non generano il flusso di autorizzazione dell'app non verificato per gli account in quel dominio, anche se l'app non è stata verificata.

La tabella seguente illustra le situazioni che determinano il flusso di autorizzazione per le app non verificate:

Il cliente è verificato Il publisher è un account Google Workspace del cliente A Lo script si trova in un Drive condiviso del cliente A Il publisher è un account Gmail
L'utente è un account Google Workspace del cliente A Flusso di autenticazione normale Flusso di autenticazione normale Flusso di autenticazione normale Flusso di autenticazione non verificato
L'utente è un account Google Workspace non del cliente A Flusso di autenticazione normale Flusso di autenticazione non verificato Flusso di autenticazione non verificato Flusso di autenticazione non verificato
L'utente è un account Gmail1 Flusso di autenticazione normale Flusso di autenticazione non verificato Flusso di autenticazione non verificato Flusso di autenticazione non verificato

1Qualsiasi account Gmail, incluso quello utilizzato per pubblicare l'app.

Tetto massimo di utenti

Il numero di utenti che possono autorizzare un'app tramite il flusso di app non verificate è limitato per limitare i possibili abusi. Per maggiori dettagli, consulta la sezione Limiti di utenti per le applicazioni OAuth.

Richiesta di verifica

Puoi richiedere una verifica del client OAuth utilizzato dalla tua app e del relativo progetto Cloud (Google Cloud) associato. Una volta verificata l'app, gli utenti non vedranno più la schermata dell'app non verificata. Inoltre, la tua app non sarà più soggetta al limite di utenti.

Requisiti

Per inviare il tuo client OAuth per la verifica, devi soddisfare i seguenti requisiti:

  1. Devi possedere un sito web su un dominio. Il sito deve ospitare pagine pubblicamente accessibili che descrivono la tua app e le sue norme sulla privacy. Devi anche verificare la proprietà del sito con Google.

  2. Il progetto Google Cloud utilizzato dal progetto di script deve essere un progetto Google Cloud standard per il quale disponi dell'accesso in modifica. Se lo script utilizza il progetto Google Cloud predefinito, devi passare a un progetto Google Cloud standard.

Inoltre, devi disporre dei seguenti asset obbligatori:

  • Nome applicazione. Il nome dell'app, visualizzato nella schermata di consenso. Deve corrispondere al nome utilizzato per l'app in altre posizioni, ad esempio nella scheda di Google Workspace Marketplace per le app pubblicate.
  • Logo dell'applicazione. Un'immagine del logo dell'app in formato JPEG, PNG o BMP da utilizzare nella schermata del consenso. Le dimensioni del file devono essere inferiori o uguali a 1 MB.
  • Indirizzo email dell'assistenza. Si tratta di un'email visualizzata nella schermata del consenso che gli utenti possono contattare se hanno bisogno di assistenza per l'app. Può essere il tuo indirizzo email o un gruppo Google di tua proprietà o che gestisci.
  • Ambiti. L'elenco di tutti gli ambiti utilizzati dalla tua app. Puoi visualizzare i tuoi ambiti nell'editor di Apps Script.
  • Domini autorizzati. Si tratta di un elenco di domini contenenti informazioni sulla tua app. Tutti i link dell'applicazione (ad esempio la pagina delle norme sulla privacy obbligatoria) devono essere ospitati su domini autorizzati.
  • URL della home page dell'applicazione. La posizione di una home page che descrive la tua app. Questa posizione deve essere ospitata su un dominio autorizzato.
  • URL delle norme sulla privacy dell'applicazione. La posizione di una pagina che descrive le norme sulla privacy della tua app. Questa località deve essere ospitata su un dominio autorizzato.

Oltre agli asset obbligatori sopra indicati, facoltativamente puoi fornire un URL dei Termini di servizio dell'applicazione che rimandi a una pagina che descrive i Termini di servizio della tua app. Se specificata, questa località deve trovarsi in un dominio autorizzato.

Passaggi

  1. Se non l'hai ancora fatto, verifica la proprietà di tutti i domini autorizzati che utilizzi per ospitare le norme sulla privacy e altre informazioni del tuo progetto di script. I proprietari verificati dei domini devono essere editor o il proprietario del progetto sceneggiatura.
  2. Nel progetto Apps Script, fai clic su Panoramica . In Ambiti OAuth del progetto, copia gli ambiti utilizzati dal progetto di script.
  3. Completa la schermata per il consenso OAuth per il progetto Google Cloud della tua applicazione utilizzando gli asset di testo e URL raccolti.

    1. Elenca i domini autorizzati in cui sono ospitate le informazioni della tua app (ad esempio le norme sulla privacy).
    2. Per aggiungere gli ambiti dell'applicazione, fai clic su Aggiungi o rimuovi ambiti. La finestra di dialogo risultante tenta di rilevare automaticamente gli ambiti per le API che hai attivato nella console Google Cloud (ad esempio servizi avanzati). Puoi selezionare gli ambiti da questo elenco selezionando le caselle corrispondenti.

      Questo elenco rilevato automaticamente non include sempre gli ambiti utilizzati dai servizi integrati di Apps Script. Devi inserire questi ambiti in Aggiungi ambiti manualmente.

      Al termine, fai clic su Aggiorna.

  4. Dopo aver inserito tutte le informazioni richieste, fai clic su Salva.

  5. Fai clic su Invia per la verifica per avviare una richiesta di verifica.

La maggior parte delle richieste di verifica riceve una risposta entro 24-72 ore. Puoi controllare lo stato della verifica nella parte superiore del modulo della schermata del consenso OAuth. Quando la verifica del client OAuth è confermata, l'app viene verificata.