Verifica client OAuth

I client OAuth di Google che richiedono determinati ambiti OAuth sensibili sono soggetti alla verifica da parte di Google.

Se non esegui la verifica del client OAuth del tuo progetto di script, gli utenti esterni al tuo dominio vedranno una schermata di app non verificata quando tentano di autorizzare il tuo script. Un flusso di autorizzazione non verificata consente a questi utenti di autorizzare le app non verificate e di utilizzarle, ma solo dopo aver confermato di aver compreso i rischi. È limitato anche il numero totale di utenti di app non verificate.

Per ulteriori informazioni, leggi i seguenti articoli:

 

Schermata app non verificata
Figura 1: schermata dell'app non verificata
Flusso di autorizzazione delle app non verificate
Figura 2: flusso di autorizzazione delle app non verificata

 

Questa modifica si applica ai client web di Google OAuth, inclusi quelli utilizzati da tutti i progetti Apps Script. Se verifichi l'app con Google, puoi rimuovere la schermata dell'app non verificata dal flusso di autorizzazione e dare agli utenti la certezza che l'app non sia dannosa.

App non verificate

I componenti aggiuntivi, le app web e altri deployment (come le app che utilizzano l'API Apps Script) potrebbero richiedere la verifica.

Applicabilità

Se l'app utilizza ambiti OAuth sensibili, la schermata dell'app non verificata potrebbe essere visualizzata come parte del flusso di autorizzazione. La sua presenza (e il flusso di autorizzazione dell'app risultante)

La seguente tabella illustra le situazioni in cui si verifica il flusso di autorizzazione dell'app non verificata:

Cliente verificato Il publisher è un account Google Workspace del cliente A Lo script si trova su un Drive condiviso del cliente A Il publisher è un account Gmail
L'utente è un account Google Workspace del cliente A Flusso di autenticazione normale Flusso di autenticazione normale Flusso di autenticazione normale Flusso di autenticazione non verificato
L'utente è un account Google Workspace non del cliente A Flusso di autenticazione normale Flusso di autenticazione non verificato Flusso di autenticazione non verificato Flusso di autenticazione non verificato
L'utente è un account Gmail1 Flusso di autenticazione normale Flusso di autenticazione non verificato Flusso di autenticazione non verificato Flusso di autenticazione non verificato

1Qualsiasi account Gmail, incluso l'account usato per pubblicare l'app.

Limite di utenti

Il numero di utenti che possono autorizzare un'app tramite il flusso dell'app non verificata è limitato a possibili abusi. Per i dettagli, consulta i limiti relativi agli utenti delle applicazioni OAuth.

Richiedere la verifica

Puoi richiedere una verifica del client OAuth utilizzato dalla tua app e dal progetto Cloud Platform (GCP) associato. Una volta verificata l'app, gli utenti non vedranno più la schermata dell'app non verificata. Inoltre, la tua app non sarà più soggetta al limite di utenti.

Requisiti

Per inviare il tuo client OAuth per la verifica, devi soddisfare i seguenti requisiti:

  1. Devi essere proprietario di un sito web su un dominio. Il sito deve ospitare pagine accessibili pubblicamente che descrivono la tua app e le relative norme sulla privacy. Devi anche verificare la proprietà del sito con Google.

  2. Il progetto GCP utilizzato dal progetto di script deve essere un progetto GCP standard per il quale disponi dell'accesso in modifica. Se il tuo script utilizza il progetto GCP predefinito, devi passare a un progetto GCP standard.

Inoltre, devi disporre dei seguenti asset obbligatori:

  • Nome applicazione. Il nome dell'app, visualizzato nella schermata per il consenso. Deve corrispondere al nome utilizzato per l'app in altre località, ad esempio nella scheda del Google Workspace Marketplace per le app pubblicate.
  • Logo dell'applicazione. Un'immagine del logo dell'app in formato JPEG, PNG o BMP da utilizzare nella schermata per il consenso. Le dimensioni del file devono essere al massimo 1 MB.
  • Email dell'assistenza. Questa è un'email visualizzata nella schermata per il consenso che gli utenti possono contattare se hanno bisogno di assistenza per l'app. Può essere il tuo indirizzo email o un gruppo Google di tua proprietà o che gestisci.
  • Ambiti. L'elenco di tutti gli ambiti utilizzati dalla tua app. Puoi visualizzare i tuoi ambiti nell'editor di Apps Script.
  • Domini autorizzati. Questo è un elenco di domini contenenti informazioni sulla tua applicazione. Tutti i link della tua applicazione (come la relativa pagina delle norme sulla privacy obbligatoria) devono essere ospitati su domini autorizzati.
  • URL della home page dell'applicazione. La posizione di una home page che descrive la tua app. La posizione deve essere ospitata su un dominio autorizzato.
  • URL delle norme sulla privacy dell'applicazione. La posizione di una pagina che descrive le norme sulla privacy della tua app. Questa località deve essere ospitata su un dominio autorizzato.

Oltre agli asset obbligatori riportati sopra, puoi fornire l'URL dei Termini di servizio dell'applicazione che rimanda a una pagina che descrive i Termini di servizio della tua app. Se fornita, questa località deve essere in un dominio autorizzato.

Procedura

  1. Se non lo hai già fatto, verifica la proprietà di tutti i domini autorizzati che utilizzi per ospitare le norme sulla privacy del tuo progetto di script e altre informazioni. I proprietari verificati dei domini devono essere editor o proprietari del progetto di script.
  2. Nel progetto Apps Script, a sinistra, fai clic su Panoramica . In Ambiti OAuth del progetto, copia tutti gli ambiti utilizzati dal progetto di script.
  3. Completa la schermata di consenso OAuth per il progetto GCP dell'applicazione utilizzando gli asset di testo e URL che hai raccolto. 1. Assicurati di elencare tutti i domini autorizzati in cui sono ospitate le informazioni della tua app (ad esempio, le relative norme sulla privacy). 1. Per aggiungere gli ambiti dell'applicazione, fai clic sul pulsante Aggiungi ambito. La finestra di dialogo visualizzata tenta di rilevare automaticamente gli ambiti per le API abilitate in Cloud Platform (ad esempio servizi avanzati). Puoi selezionare ambiti da questo elenco selezionando le caselle di controllo corrispondenti.

       This autodetected list doesn't always include scopes used by
       Apps Script [built-in services](/apps-script/guides/services/).
       You must enter these scopes manually by clicking the **manually paste**
       link and then entering the scopes in the resulting checkbox.
    
       When you are done selecting or entering scopes, click **Add**.
    
  4. Dopo aver inserito tutte le informazioni richieste, fai clic su Salva.

  5. Fai clic su Invia per la verifica per avviare una richiesta di verifica.

La maggior parte delle richieste di verifica riceve una risposta entro 24-72 ore. Puoi controllare lo Stato di verifica nella parte superiore del modulo della schermata per il consenso OAuth. Quando la verifica del client OAuth viene confermata, la tua app viene verificata.