Weryfikacja klienta OAuth

Klienci OAuth Google, którzy żądają określonych poufnych zakresów OAuth, podlegają weryfikacji przez Google.

Jeśli nie zweryfikujesz klienta OAuth projektu skryptu, użytkownicy spoza Twojej domeny zobaczą ekran niezweryfikowanej aplikacji, gdy spróbują autoryzować skrypt. Niezweryfikowany proces autoryzacji umożliwia tym użytkownikom autoryzowanie niezweryfikowanych aplikacji i korzystanie z nich, ale tylko po potwierdzeniu, że rozumieją związane z tym ryzyko. Łączna liczba niezweryfikowanych użytkowników aplikacji jest również ograniczona.

Więcej informacji można znaleźć w następujących artykułach:

 

Ekran niezweryfikowanej aplikacji
Rysunek 1. Ekran niezweryfikowanej aplikacji
Proces autoryzacji niezweryfikowanej aplikacji
Rysunek 2. Proces autoryzacji niezweryfikowanej aplikacji

 

Ta zmiana dotyczy klientów internetowych Google OAuth, w tym tych, których używają wszystkie projekty Apps Script. Przekazując aplikację do weryfikacji w Google, możesz usunąć ekran niezweryfikowanej aplikacji z procesu autoryzacji i zapewnić użytkownikom, że aplikacja nie jest szkodliwa.

Niezweryfikowane aplikacje

W przypadku dodatków, aplikacji internetowych i innych wdrożeń (np. aplikacji korzystających z interfejsu Apps Script API) może być konieczna weryfikacja.

Obowiązywanie

Jeśli aplikacja używa zakresów OAuth wrażliwych, w ramach procesu autoryzacji może się wyświetlić ekran niezweryfikowanej aplikacji. Jego obecność (i wynikający z tego proces autoryzacji niezweryfikowanej aplikacji) zależy od tego, z którego konta została opublikowana aplikacja i które konto próbuje z niej korzystać. Na przykład aplikacje opublikowane w konkretnej organizacji Google Workspace nie powodują procesu autoryzacji niezweryfikowanej aplikacji na kontach w tej domenie, nawet jeśli aplikacja nie została zweryfikowana.

W tabeli poniżej wyjaśniamy, w jakich sytuacjach uruchamia się proces autoryzacji aplikacji bez weryfikacji:

Klient jest zweryfikowany Wydawca to konto Google Workspace klienta A Skrypt znajduje się na dysku współdzielonym klienta A. wydawca jest kontem Gmail,
Użytkownik jest użytkownikiem konta Google Workspace klienta A Normalny proces uwierzytelniania Normalny proces uwierzytelniania Normalny proces uwierzytelniania Proces uwierzytelniania bez weryfikacji
Użytkownik ma konto Google Workspace nie należące do klienta A. Normalny proces uwierzytelniania Proces uwierzytelniania bez weryfikacji Proces uwierzytelniania bez weryfikacji Proces uwierzytelniania bez weryfikacji
Użytkownik ma konto Gmail1 Normalny proces uwierzytelniania Proces uwierzytelniania bez weryfikacji Proces uwierzytelniania bez weryfikacji Proces uwierzytelniania bez weryfikacji

1 Dowolny adres Gmail, w tym konto użyte do opublikowania aplikacji.

Limit liczby użytkowników

Aby ograniczyć możliwość nadużyć, liczba użytkowników, którzy mogą autoryzować aplikację w ramach procesu niezweryfikowanej aplikacji, jest ograniczona. Więcej informacji znajdziesz w artykule Ograniczenia dotyczące użytkowników aplikacji OAuth.

Prośba o weryfikację

Możesz poprosić o weryfikację klienta OAuth używanego przez Twoją aplikację i powiązanego z nią projektu Google Cloud Platform (GCP). Gdy aplikacja zostanie zweryfikowana, użytkownicy nie będą już widzieć ekranu niezweryfikowanej aplikacji. Aplikacja nie będzie też już podlegać limitowi użytkowników.

Wymagania

Aby przesłać klienta OAuth do weryfikacji, musisz spełnić te wymagania:

  1. Musisz być właścicielem witryny w domenie. Witryna musi zawierać publicznie dostępne strony z informacjami o aplikacji i polityką prywatności. Musisz też potwierdzić w Google swoje prawo własności do witryny.

  2. Projekt Google Cloud, którego używa Twój projekt skryptu, musi być standardowym projektem Google Cloud, do którego masz uprawnienia do edycji. Jeśli Twój skrypt używa domyślnego projektu Google Cloud, musisz przełączyć się na standardowy projekt Google Cloud.

Dodatkowo musisz mieć te wymagane zasoby:

  • Nazwa aplikacji. Nazwa aplikacji wyświetlana na ekranie zgody. Powinna ona być zgodna z nazwą używaną w innych miejscach, takich jak lista opublikowanych aplikacji w Google Workspace Marketplace.
  • Logo aplikacji. Logo aplikacji w formacie JPEG, PNG lub BMP do użycia na ekranie zgody. Rozmiar pliku nie może przekraczać 1 MB.
  • Adres e-mail do zespołu pomocy. Jest to adres e-mail wyświetlany na ekranie zgody, pod którym użytkownicy mogą się skontaktować, jeśli potrzebują pomocy dotyczącej aplikacji. Może to być Twój adres e-mail lub grupa dyskusyjna Google, której jesteś właścicielem lub którą zarządzasz.
  • Zakresy. Lista wszystkich zakresów używanych przez Twoją aplikację. Zakresy uprawnień możesz wyświetlić w edytorze Apps Script.
  • Autoryzowane domeny. Oto lista domen zawierających informacje o aplikacji. Wszystkie linki do aplikacji (np. do wymaganej strony polityki prywatności) muszą być hostowane w autoryzowanych domenach.
  • URL strony głównej aplikacji. Lokalizacja strony głównej opisującej aplikację. Ta lokalizacja musi być hostowana w autoryzowanej domenie.
  • Adres URL polityki prywatności aplikacji. Lokalizacja strony z opisem polityki prywatności aplikacji. Ta lokalizacja musi być hostowana w autoryzowanej domenie.

Oprócz wymaganych zasobów wymienionych powyżej możesz opcjonalnie podać adres URL warunków korzystania z aplikacji, który wskazuje na stronę z opisem warunków korzystania z aplikacji. Jeśli została podana, lokalizacja musi znajdować się w autoryzowanej domenie.

Kroki

  1. Jeśli jeszcze tego nie zrobiono, potwierdź własność wszystkich autoryzowanych domen, które są używane do hostowania polityki prywatności i innych informacji projektu skryptu. Zweryfikowani właściciele domen muszą być edytorami lub właścicielami projektu skryptu.
  2. W projekcie Apps Script kliknij Informacje ogólne . W sekcji Zakresy protokołu OAuth projektu skopiuj zakresy, których używa projekt skryptu.
  3. Wypełnij ekran zgody OAuth w projekcie Google Cloud Twojej aplikacji, używając zebranych zasobów tekstowych i adresów URL.

    1. Wymień autoryzowane domeny, w których są hostowane informacje o aplikacji (np. polityka prywatności).
    2. Aby dodać zakresy aplikacji, kliknij Dodaj lub usuń zakresy. W wynikającym oknie nastąpi automatyczne wykrywanie zakresów interfejsów API włączonych w konsoli Google Cloud (np. usług zaawansowanych). Możesz wybrać zakresy z tej listy, zaznaczając odpowiednie pola.

      Ta lista automatycznie wykrywana nie zawsze zawiera zakresy używane przez wbudowane usługi Apps Script. Musisz je wpisać w sekcji Ręczne dodawanie zakresów.

      Gdy skończysz, kliknij Aktualizuj.

  4. Po wpisaniu wszystkich wymaganych informacji kliknij Zapisz.

  5. Aby rozpocząć proces weryfikacji, kliknij Prześlij do weryfikacji.

Większość próśb o weryfikację jest rozpatrywanych w ciągu 24–72 godzin. Stan weryfikacji możesz sprawdzić u góry formularza zgody OAuth. Gdy weryfikacja klienta OAuth zostanie potwierdzona, aplikacja zostanie zweryfikowana.