تتوفّر الآن إضافات Google Classroom بشكل عام للمطوّرين. يُرجى الاطّلاع على مستندات الإضافات للحصول على مزيد من المعلومات.

تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

أفضل الممارسات للمطوّرين بعد إجراء التحسينات على عناصر التحكّم في وصول التطبيقات التابعة لجهات خارجية إلى Google Workspace for Education

طرحت Google إعدادات للتحكُّم في الوصول إلى التطبيقات لنسهّل على مشرفي Google Workspace for Education التحكّم في كيفية وصول التطبيقات التابعة لجهات خارجية إلى بيانات مؤسساتهم على Google عندما يسجِّل المستخدمون دخولهم باستخدام حساباتهم على Google Workspace for Education. على الرغم من عدم وجود إجراءات مطلوبة من مطوّري التطبيقات التابعين لجهات خارجية، في ما يلي بعض أفضل الممارسات التي وجدها مطوّرون آخرون مفيدة.

استخدام بروتوكول OAuth المتزايد

يمكنك استخدام التفويض المتزايد لطلب النطاقات المطلوبة لبدء تطبيقك فقط في البداية، ثم طلب نطاقات إضافية عند الحاجة إلى أذونات جديدة. بعد ذلك، يحدِّد سياق التطبيق سبب الطلب للمستخدم.

عند تسجيل الدخول، يطلب تطبيقك نطاقات أساسية، مثل ملف تعريف نطاق تسجيل الدخول و النطاقات الأولية الأخرى التي يتطلبها تطبيقك للعمل. في وقت لاحق، عندما يريد المستخدم تنفيذ إجراء يتطلّب نطاقات إضافية، يطلب تطبيقك تلك النطاقات الإضافية ويفوّض المستخدم النطاقات الجديدة فقط من شاشة الموافقة.

عند إنشاء إضافة Google Classroom، عليك اتّباع إرشادات Google Workspace Marketplace لتقديم قائمة كاملة بحدود OAuth التي يتطلبها تطبيقك. ويُعدّ ذلك ضروريًا حتى يفهم المشرف النطاقات التي يُطلب من مستخدم النطاق الموافقة عليها.

التأكّد من أنّ جميع التطبيقات قد تم التحقّق منها باستخدام بروتوكول OAuth

على جميع التطبيقات التي تصل إلى Google APIs التحقّق من أنّها تمثّل هويتها ونيّتها بدقة على النحو المحدّد في سياسة بيانات المستخدمين في خدمات واجهة برمجة التطبيقات من Google. إذا كنت تدير تطبيقات متعددة تستخدم واجهات برمجة تطبيقات Google، تأكَّد من أنّه تم إثبات ملكية كل تطبيق. يمكن للمشرفين الاطّلاع على جميع معرّفات عملاء OAuth المرتبطة بعلامتك التجارية التي تم إثبات ملكيتها. لمساعدة المشرفين في تجنُّب ضبط معرّفات خاطئة لمعرّفات عملاء OAuth، استخدِم مشاريع Google Cloud منفصلة للاختبار والإصدار العلني وحذف جميع معرّفات عملاء OAuth غير المستخدَمة.

عملية التحقّق من OAuth API هي عملية تستخدمها Google Cloud Platform لضمان أنّ التطبيقات التي تطلب نطاقات حساسة أو مشروطة آمنة وممتثلة للسياسات. تساعد عملية إثبات الهوية في حماية مستخدمي Google Cloud وبياناتهم من الوصول غير المصرّح به.

يجب أن تمتثل التطبيقات التي تطلب نطاقات حساسة أو مشروطة لسياسة بيانات المستخدمين في "خدمات Google API". تتطلّب هذه السياسة من التطبيقات حماية بيانات المستخدمين وعدم استخدامها إلا للأغراض التي سمح بها المستخدم. وقد تحتاج التطبيقات أيضًا إلى الخضوع لتقييم أمان مستقل للتحقّق من استيفائها لمتطلبات الأمان في Google Cloud.

يُرجى العِلم أنّه يمكن أن تستغرق عملية إثبات الملكية في OAuth API عدة أسابيع. بعد إثبات ملكية تطبيقك، يمكنك طلب النطاقات الحسّاسة أو المحظورة التي تحتاج إليها.

يمكنك الرجوع إلى الأسئلة الشائعة حول إثبات الملكية من خلال واجهة برمجة تطبيقات OAuth للحصول على مزيد من التفاصيل.

التعامل مع معرّفات عملاء OAuth متعددة

قد يتضمّن مشروع Google Cloud أرقام تعريف متعددة لعملاء OAuth، ما قد يتطلّب من أحد مشرفي النطاق ضبط إذن الوصول عدة مرات.

التأكّد من دقة معرّفات عملاء OAuth

تحقَّق من فريق التطوير لمعرفة معرّفات عملاء OAuth التي يتم استخدامها لدمجها مع Google OAuth. استخدِم مشروعَين مختلفَين على Google Cloud لالاختبار والإنتاج لمساعدة المشرفين في معرفة أرقام تعريف العميل المُستخدَمة في OAuth التي يجب ضبطها. احذف أي معرّفات عملاء متوقِّفة أو قديمة من مشاريع الإنتاج.

تحميل ملف CSV

إذا كان لديك أرقام تعريف عملاء متعددة، ننصحك بالاستفادة من خيار التحميل المجمّع لملفات CSV لمساعدة المشرفين على ضبط إعدادات جميع تطبيقاتك بسرعة.

الحقول هي:

الحقل	مطلوب	ملاحظات
اسم التطبيق	لا	أدخِل اسم التطبيق. لا يتم تطبيق التغييرات التي تجريها على اسم التطبيق في ملف CSV في "وحدة تحكّم المشرف".
النوع	نعم	أحد تطبيقات الويب أو Android أو iOS
Id	نعم	بالنسبة إلى تطبيقات الويب، أدخِل معرِّف عميل OAuth الذي تم إصداره للتطبيق. بالنسبة إلى تطبيقات Android وiOS، أدخِل معرِّف عميل OAuth أو الحزمة أو معرّف الحزمة التي يستخدمها التطبيق في Google Play أو Apple App Store.
الوحدة التنظيمية	نعم	يملؤها العميل. أدخِل شرطة مائلة للأمام ('/') لتطبيق إعدادات الوصول إلى التطبيق على نطاقك بالكامل. لتطبيق إعدادات الوصول على وحدات تنظيمية معيّنة، أضِف صفًا إلى جدول البيانات لكل وحدة تنظيمية، مع تكرار اسم التطبيق ونوعه ورقم تعريفه. (على سبيل المثال، "‎/org_unit_1/sub_unit_1")
إذن الوصول	نعم	أحد الخيارات التالية: موثوق به أو محظور أو محدود

أخطاء OAuth

تم طرح رسالتَي خطأ لعناصر تحكّم المشرف الجديدة هذه.

الخطأ 400: access_not_enabled - يتم تلقّيه عند رفض اتصال OAuth بسبب عدم إعداد تطبيقك.
الخطأ 400: admin_policy_enforced: يتم تلقّيه عند رفض اتصال OAuth لأنّ المشرف قد حظر تطبيقك.

المستخدمون الذين تقلّ أعمارهم عن 18 عامًا

يمكن للمشرفين إدارة الوصول إلى التطبيقات التابعة لجهات خارجية التي لم يتم ضبطها للمستخدمين الذين تقلّ أعمارهم عن 18 عامًا. إذا ظهرت للمستخدم رسالة الخطأ "تم حظر إمكانية الوصول: على مشرف مؤسستك مراجعة [اسم التطبيق]"، عليه طلب الوصول من داخل رسالة الخطأ. يتيح ذلك لمشرف الحساب مراجعة التطبيق التابع لجهة خارجية. يمكن للمشرفين تحديد ما إذا كانوا يريدون السماح باستخدام التطبيقات التابعة لجهات خارجية أو حظرها.