Se usó la API de Cloud Translation para traducir esta página.

Verificación del cliente de OAuth

Los clientes de Google OAuth que solicitan ciertos permisos de OAuth sensibles están sujetos a la verificación de Google.

Si no verificas el cliente de OAuth de tu proyecto de secuencia de comandos, los usuarios ajenos a tu dominio verán una pantalla de app no verificada cuando intenten autorizar la secuencia de comandos. Un flujo de autorización no verificado permite a estos usuarios autorizar apps no verificadas y usarlas, pero solo después de confirmar que comprenden los riesgos. También se limita la cantidad total de usuarios de apps sin verificar.

Para obtener más información, consulta los siguientes artículos:

**Figura 1**: Pantalla de app sin verificar

Flujo de autorización de apps no verificado — **Figura 2**: Flujo de autorización de app no verificado

Este cambio se aplica a los clientes web de OAuth de Google, incluidos los que se usan en todos los proyectos de Apps Script. Si verificas tu app con Google, puedes quitar la pantalla de la app sin verificar de tu flujo de autorización y darles la confianza a los usuarios de que la app no es maliciosa.

Apps sin verificar

Es posible que los complementos, las apps web y otras implementaciones (como las apps que usan la API de Apps Script) requieran verificación.

Aplicabilidad

Si la app usa permisos de OAuth sensibles, es posible que la pantalla de la app no verificada aparezca como parte del flujo de autorización. Su presencia (y el flujo de autorización de apps no verificado resultante) depende de la cuenta desde la que se publica la app y de la que intenta usarla. Por ejemplo, las apps publicadas en una organización específica de Google Workspace no generan el flujo de autorización de apps no verificada para ese dominio, incluso si la app no está verificada.

En la siguiente tabla, se ilustran las situaciones que dan como resultado el flujo de autorización de apps no verificado:

	Se verificó el cliente	El publicador es una cuenta de Google Workspace del cliente A	La secuencia de comandos está en una unidad compartida del cliente A	El publicador es una cuenta de Gmail
El usuario es una cuenta de Google Workspace del cliente A	Flujo de autenticación normal	Flujo de autenticación normal	Flujo de autenticación normal	*Flujo de autenticación sin verificar*
El usuario es una cuenta de Google Workspace que no pertenece al cliente A	Flujo de autenticación normal	*Flujo de autenticación sin verificar*	*Flujo de autenticación sin verificar*	*Flujo de autenticación sin verificar*
El usuario es una cuenta de Gmail¹	Flujo de autenticación normal	*Flujo de autenticación sin verificar*	*Flujo de autenticación sin verificar*	*Flujo de autenticación sin verificar*

¹Cualquier cuenta de Gmail, incluida la cuenta que se use para publicar la app

Límite de usuarios

Se limita la cantidad de usuarios que pueden autorizar una app mediante el flujo de apps no verificado para limitar el posible abuso. Para obtener más información, consulta Límites de usuarios de la aplicación de OAuth.

Cómo solicitar la verificación

Puedes solicitar una verificación del cliente de OAuth que usa tu app y el proyecto de Cloud Platform (GCP) asociado. Una vez que se verifique tu app, los usuarios ya no verán la pantalla de la app sin verificar. Además, tu app ya no estará sujeta al límite de usuarios.

Requisitos

Si deseas enviar tu cliente de OAuth para verificación, debes cumplir con los siguientes requisitos:

Debes ser propietario de un sitio web en un dominio. El sitio debe alojar páginas de acceso público que describan tu app y su política de privacidad. También debes verificar que eres el propietario del sitio con Google.

Nota: No necesitas publicar la app desde una cuenta de este dominio, pero el propietario del dominio debe ser editor o propietario del proyecto de secuencia de comandos.
El proyecto de Google Cloud que use tu proyecto de secuencia de comandos debe ser un proyecto estándar de Google Cloud al que tengas acceso de edición. Si tu secuencia de comandos usa el proyecto predeterminado de Google Cloud, debes cambiar a un proyecto estándar de Google Cloud.

Además, debes contar con los siguientes elementos obligatorios:

Nombre de la aplicación. Es el nombre de la app, que se muestra en la pantalla de consentimiento. Debe coincidir con el nombre que se usa para la app en otras ubicaciones, como la ficha de Google Workspace Marketplace para las apps publicadas.
Logotipo de la aplicación. Una imagen del logotipo de la app en formato JPEG, PNG o BMP para usar en la pantalla de consentimiento El tamaño del archivo debe ser de 1 MB como máximo.
Correo electrónico de asistencia. Este es un correo electrónico que se muestra en la pantalla de consentimiento para que los usuarios se comuniquen si necesitan asistencia para la app. Puede ser tu dirección de correo electrónico o un Grupo de Google del que seas propietario o administrador.
Alcances. Es la lista de todos los alcances que usa tu app. Puedes ver tus alcances en el editor de Apps Script.
Dominios autorizados: Esta es una lista de dominios que contienen información sobre tu app. Todos los vínculos de tu aplicación (como la página de la política de privacidad obligatoria) deben estar alojados en dominios autorizados.
URL de la página principal de la aplicación. Es la ubicación de una página principal que describe tu app. Esta ubicación debe alojarse en un dominio autorizado.
URL de la Política de Privacidad de la Aplicación. Es la ubicación de una página que describe la política de privacidad de tu app. Esta ubicación debe estar alojada en un dominio autorizado.

Además de los recursos obligatorios mencionados anteriormente, puedes proporcionar de manera opcional una URL de las Condiciones del Servicio de la aplicación que dirija a una página en la que se describan las Condiciones del Servicio de la app. Si se proporciona, esta ubicación debe estar en un dominio autorizado.

Pasos

Si aún no lo hiciste, verifica la propiedad de todos los dominios autorizados que usas para alojar la política de privacidad del proyecto de secuencia de comandos y otra información. Los propietarios verificados de los dominios deben ser editores o el propietario del proyecto de secuencia de comandos.
En el proyecto Apps Script, haz clic en Descripción general . En Permisos de OAuth del proyecto, copia los permisos que usa tu proyecto de secuencia de comandos.
Completa la pantalla de consentimiento de OAuth para el proyecto de Google Cloud de tu aplicación con los recursos de texto y URL que recopilaste.
1. Enumera los dominios autorizados en los que se aloja la información de tu app (como su política de privacidad).
2. Para agregar los permisos de tu aplicación, haz clic en Add or Remove Scopes. El diálogo resultante intenta detectar automáticamente los permisos de las APIs que habilitaste en la consola de Google Cloud (como los servicios avanzados). Para seleccionarlos, marca las casillas correspondientes.
  
  Esta lista detectada automáticamente no siempre incluye los permisos que usan los servicios integrados de Apps Script. Debes ingresar estos permisos en Agregar permisos de forma manual.
  
  Cuando hayas terminado, haz clic en Actualizar.
Cuando hayas ingresado toda la información requerida, haz clic en Guardar.
Haz clic en Enviar a verificación para iniciar una solicitud de verificación.

La mayoría de las solicitudes de verificación reciben una respuesta en un plazo de 24 a 72 horas. Puedes comprobar el Estado de verificación en la parte superior del formulario de la pantalla de consentimiento de OAuth. Cuando se confirme la verificación de tu cliente de OAuth, se verificará tu app.