Weryfikacja klienta OAuth

Klienty Google OAuth, które żądają określonych poufnych zakresów OAuth, podlegają weryfikacji przez Google.

Jeśli nie zweryfikujesz klienta OAuth projektu skryptu, użytkownicy spoza domeny zobaczą ekran niezweryfikowanej aplikacji podczas próby autoryzacji skryptu. Proces niezweryfikowanej autoryzacji pozwala tym użytkownikom autoryzować niezweryfikowane aplikacje i korzystać z nich, ale dopiero po potwierdzeniu, że zdają sobie sprawę z ryzyka. Obowiązuje też ograniczenie łącznej liczby niezweryfikowanych użytkowników aplikacji.

Więcej informacji można znaleźć w następujących artykułach:

 

Ekran niezweryfikowanej aplikacji
Rysunek 1. Ekran niezweryfikowanej aplikacji
Proces autoryzacji aplikacji bez weryfikacji
Rysunek 2. Niezweryfikowany proces autoryzacji aplikacji

 

Ta zmiana dotyczy klientów internetowych Google OAuth, w tym tych używanych przez wszystkie projekty Apps Script. Weryfikując aplikację w Google, możesz usunąć jej ekran z procesu autoryzacji i zapewnić użytkownikom, że Twoja aplikacja nie jest szkodliwa.

Niezweryfikowane aplikacje

Dodatki, aplikacje internetowe i inne wdrożenia (np. aplikacje korzystające z interfejsu Apps Script API) mogą wymagać weryfikacji.

Obowiązywanie

Jeśli aplikacja używa poufnych zakresów OAuth, w procesie autoryzacji może pojawić się ekran niezweryfikowanej aplikacji. Jej obecność (i wynik związany z niezweryfikowanym procesem autoryzacji aplikacji) zależy od konta, z którego została opublikowana, i konta próbującego z niej korzystać. Na przykład aplikacje opublikowane w konkretnej organizacji Google Workspace nie powodują przeprowadzenia niezweryfikowanej autoryzacji aplikacji na kontach w tej domenie, nawet jeśli aplikacja nie została zweryfikowana.

W tabeli poniżej pokazujemy, jakie sytuacje mogą wystąpić w procesie autoryzacji aplikacji niezweryfikowanej:

Klient jest zweryfikowany Wydawca to konto Google Workspace klienta A Skrypt znajduje się na dysku współdzielonym klienta A Wydawca to konto Gmail
Użytkownik to konto Google Workspace klienta A Normalny przepływ uwierzytelniania Normalny przepływ uwierzytelniania Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik jest kontem Google Workspace, które nie należy do klienta A. Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik konta Gmail1 Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania

1Dowolne konto Gmail, w tym konto użyte do opublikowania aplikacji.

Limit liczby użytkowników

Liczba użytkowników, którzy mogą autoryzować aplikację w ramach procesu niezweryfikowanego, jest ograniczona, aby ograniczyć liczbę potencjalnych nadużyć. Więcej informacji znajdziesz w artykule Limity użytkowników aplikacji OAuth.

Wysyłanie prośby o weryfikację

Możesz poprosić o weryfikację klienta OAuth używanego przez Twoją aplikację i powiązany z nim projekt Cloud Platform (GCP). Gdy Twoja aplikacja zostanie zweryfikowana, użytkownicy nie będą już widzieć ekranu z informacją o niezweryfikowanej aplikacji. Oprócz tego aplikacja nie będzie już objęta limitem użytkowników.

Wymagania

Aby przesłać klienta OAuth do weryfikacji, musisz spełniać te wymagania:

  1. Musisz być właścicielem witryny w domenie. W witrynie muszą znajdować się dostępne publicznie strony z opisem aplikacji i jej polityką prywatności. Musisz też potwierdzić w Google, że jesteś właścicielem witryny.

  2. Projekt Google Cloud, którego używasz w skrypcie, musi być standardowym projektem Google Cloud, do którego masz uprawnienia do edycji. Jeśli skrypt używa swojego domyślnego projektu Google Cloud, musisz przełączyć się na standardowy projekt Google Cloud.

Dodatkowo musisz mieć te wymagane komponenty:

  • Nazwa aplikacji. Nazwa aplikacji wyświetlana na ekranie zgody. Powinna być taka sama jak nazwa aplikacji w innych lokalizacjach, na przykład w Google Workspace Marketplace w przypadku opublikowanych aplikacji.
  • Logo aplikacji. Obraz logo aplikacji w formacie JPEG, PNG lub BMP do wykorzystania na ekranie zgody. Rozmiar pliku nie może przekraczać 1 MB.
  • Adres e-mail zespołu pomocy Adres e-mail wyświetlany na ekranie zgody, aby użytkownicy mogli się z nim skontaktować w razie potrzeby. Może to być Twój adres e-mail lub grupa dyskusyjna Google, której jesteś właścicielem albo którą zarządzasz.
  • Zakresy. Lista wszystkich zakresów używanych przez aplikację. Zakresy możesz wyświetlać w edytorze Apps Script.
  • Autoryzowane domeny. To jest lista domen zawierających informacje o Twojej aplikacji. Wszystkie linki aplikacji (np. wymagana strona polityki prywatności) muszą być hostowane w autoryzowanych domenach.
  • Adres URL strony głównej aplikacji. Lokalizacja strony głównej opisującej Twoją aplikację. Musi być hostowana w autoryzowanej domenie.
  • Adres URL polityki prywatności aplikacji. Lokalizacja strony z opisem polityki prywatności aplikacji. Ta lokalizacja musi być hostowana w autoryzowanej domenie.

Oprócz wymaganych wymienionych powyżej zasobów możesz opcjonalnie udostępnić adres URL warunków korzystania z usługi, który prowadzi do strony z opisem warunków korzystania z aplikacji. Jeśli ta lokalizacja została podana, musi znajdować się w autoryzowanej domenie.

Kroki

  1. Zweryfikuj własność wszystkich autoryzowanych domen, których używasz do hostowania polityki prywatności projektu skryptu i innych informacji (jeśli nie zostało to jeszcze zrobione). Zweryfikowani właściciele domen muszą być edytującymi lub właścicielem projektu skryptu.
  2. W projekcie Apps Script kliknij Overview (Przegląd) . W sekcji Zakresy protokołu OAuth projektu skopiuj zakresy używane w projekcie skryptu.
  3. Wypełnij ekran zgody OAuth dla projektu Google Cloud aplikacji, używając zebranych zasobów tekstowych i URL.

    1. Podaj Autoryzowane domeny, w których są hostowane informacje o Twojej aplikacji (np. jej polityka prywatności).
    2. Aby dodać zakresy aplikacji, kliknij Dodaj lub usuń zakresy. W wyświetlonym oknie spróbuje automatycznie wykryć zakresy interfejsów API włączonych w konsoli Google Cloud (takich jak usługi zaawansowane). Możesz wybrać zakresy z tej listy, zaznaczając odpowiednie pola.

      Ta automatycznie wykryta lista nie zawsze obejmuje zakresy używane przez usługi wbudowane Apps Script. Zakresy należy wpisać w sekcji Ręczne dodawanie zakresów.

      Gdy skończysz, kliknij Aktualizuj.

  4. Po wpisaniu wszystkich wymaganych informacji kliknij Zapisz.

  5. Kliknij Prześlij do weryfikacji, aby rozpocząć proces weryfikacji.

Na większość próśb o weryfikację odpowiada w ciągu 24–72 godzin. Stan weryfikacji możesz sprawdzić u góry formularza zgody OAuth. Po potwierdzeniu weryfikacji klienta OAuth aplikacja zostanie zweryfikowana.