طرحت Google إعدادات للتحكُّم في الوصول إلى التطبيقات لتسهيل استخدام Google Workspace for Education. للمشرفين للتحكم في كيفية وصول تطبيقات الجهات الخارجية إلى مؤسساتهم بيانات Google عندما يسجّل المستخدمون الدخول باستخدام حساباتهم على Google Workspace for Education وعلى الرغم من عدم وجود الإجراءات المطلوبة من مطوّري التطبيقات التابعة لجهات خارجية، إليك بعض أفضل الممارسات: وجد مطورون آخرون مفيدًا.
استخدام بروتوكول OAuth التدريجي
يمكنك استخدام تفويض متزايد لطلب النطاقات فقط في البداية. المطلوبة لبدء تطبيقك، ثم طلب نطاقات إضافية كأذونات جديدة مطلوبة. يحدد سياق التطبيق بعد ذلك سبب طلب المستخدم.
عند تسجيل الدخول، يطلب تطبيقك نطاقات أساسية مثل الملف الشخصي لنطاق تسجيل الدخول أو النطاقات الأولية الأخرى التي يتطلبها تطبيقك للتشغيل. لاحقًا، عندما يريد المستخدم لتنفيذ إجراء يتطلب نطاقات إضافية، يطلب تطبيقك هذه النطاقات النطاقات الإضافية ويفوّض المستخدم النطاقات الجديدة فقط من عملية موافقة الشاشة.
عند إنشاء إضافة Google Classroom، عليك اتّباع إرشادات Google Workspace Marketplace لتقديم قائمة كاملة نطاقات OAuth التي يتطلبها تطبيقك ويعد ذلك ضروريًا حتى يكون المشرف يفهم النطاقات التي يُطلب من مستخدم النطاق الموافقة عليها.
التأكّد من أنّ جميع التطبيقات تم التحقّق من صحتها من خلال بروتوكول OAuth
على جميع التطبيقات التي يمكنها الوصول إلى Google APIs إثبات أنّها تمثّل بدقة هويتهم وغرضهم على النحو المحدّد في بيانات مستخدمي خدمات واجهات برمجة التطبيقات من Google السياسة. في حال صيانة عدة تطبيقات تستخدم واجهات Google APIs، تأكَّد من أنّ كل منها تم التحقق من تطبيق. يمكن للمشرفين الاطّلاع على جميع معرِّفات عملاء OAuth المرتبطة. بعلامتك التجارية التي تم إثبات ملكيتها لمساعدة المشرفين على تجنب ضبط الإعدادات غير الصحيحة معرِّفات عملاء OAuth، عليك استخدام مشاريع منفصلة على Google Cloud من أجل الاختبار والإنتاج. واحذف جميع معرِّفات عملاء OAuth غير المستخدَمة.
التحقق من واجهة برمجة التطبيقات OAuth هو عملية تستخدمها Google Cloud Platform لضمان أن التطبيقات التي تطلب نطاقات حساسة أو محدودة تكون آمنة ومتوافقة. تساعد عملية التحقق في حماية مستخدمي Google Cloud والبيانات من الوصول غير المصرح به.
يجب أن تمتثل التطبيقات التي تطلب نطاقات حساسة أو مشروطة واجهة Google API. سياسة بيانات مستخدمي الخدمات. تتطلّب هذه السياسة أن تحمي التطبيقات بيانات المستخدمين استخدام البيانات فقط للأغراض التي يصرح بها المستخدم. يمكن للتطبيقات أيضًا إلى خضوعهم لتقييم أمان مستقل للتحقّق من أنّهم يستوفون متطلبات الأمان في Google Cloud.
ملاحظة: قد تستغرق عملية التحقق من واجهة برمجة التطبيقات OAuth عدة أسابيع مكتملة. بعد إثبات ملكية تطبيقك، يمكنك طلب الحصول على المعلومات الحساسة أو النطاقات المحدودة التي تحتاجها.
يمكنك الرجوع إلى الأسئلة الشائعة حول إثبات الملكية من خلال واجهة برمجة تطبيقات OAuth للحصول على مزيد من التفاصيل.
التعامل مع معرِّفات عملاء OAuth متعددة
قد يتضمّن مشروع Google Cloud معرِّفات عملاء OAuth متعددة، ما قد يتطلب مشرف النطاق تهيئة وصولك عدة مرات.
التأكّد من دقة معرّفات عملاء OAuth
مراجعة فريق التطوير للتعرّف على معرِّفات عملاء OAuth التي يتم استخدامها يُستخدم للتكامل مع Google OAuth. استخدام مشروعين مختلفين على Google Cloud من أجل الاختبار والإنتاج لمساعدة المشرفين في التعرّف على نوع عميل OAuth. المعرفات المراد ضبطها. احذِف أي معرِّفات عملاء متوقّفة نهائيًا أو قديمة من مشروعات الإنتاج.
تحميل ملف CSV
إذا كان لديك عدة معرِّفات عملاء، ننصحك بالاستفادة من ميزة التحميل المجمَّع لملفات CSV. لمساعدة المشرفين في ضبط جميع تطبيقاتك بسرعة.
الحقول هي:
| الحقل | مطلوب | ملاحظات |
|---|---|---|
| اسم التطبيق | لا | أدخِل اسم التطبيق. التغييرات التي تجريها على لا يتم تحديث اسم التطبيق في ملف CSV في صفحة "المشرف" وحدة التحكم. |
| النوع | نعم | أحد تطبيقات الويب أو Android أو iOS |
| Id | نعم | بالنسبة إلى تطبيقات الويب، أدخِل معرِّف عميل OAuth الصادر إلى
التطبيق. بالنسبة إلى تطبيقات Android وiOS، أدخِل معرِّف عميل OAuth أو معرّف الحزمة أو معرّف الحزمة الذي يستخدمه التطبيق في Google Play أو متجر Apple App. |
| الوحدة التنظيمية | نعم | يجب أن يملأها العميل. أدخِل شرطة مائلة للأمام ('/') لتطبيق إذن الوصول إلى التطبيق. على نطاقك بالكامل. لتطبيق إعدادات الوصول إلى وحدات تنظيمية معيّنة، أضِف صفًا إلى لكل وحدة تنظيمية مع تكرار اسم التطبيق النوع ورقم التعريف (على سبيل المثال، '/org_unit_1/sub_unit_1'). |
| إذن الوصول | نعم | إحدى القيم موثوق بها أو محظورة أو محدودة. |
أخطاء OAuth
تم طرح رسالتَي خطأ لعناصر تحكّم المشرف الجديدة هذه.
- الخطأ 400: access_not_enabled - يتم تلقّيه عند إجراء اتصال OAuth تم الرفض بسبب عدم إعداد تطبيقك.
- الخطأ 400: admin_policy_enforced - يتم تلقّيه عند إجراء اتصال OAuth تم الرفض لأنّ المشرف حظر طلبك.
المستخدمون الذين تم تصنيفهم في فئة عمرية أقل من 18 عامًا
يمكن للمشرفين إدارة أذونات وصول المستخدمين إلى التطبيقات التابعة لجهات خارجية التي لم يتم ضبطها. على أنه أقل من 18 عامًا. إذا واجه المستخدم رسالة الخطأ "تم حظر الوصول: على مشرف المؤسسة مراجعة [اسم التطبيق] "، يجب عليه طلب الوصول من داخل رسالة الخطأ. يتيح ذلك للمشرف مراجعة تطبيق الطرف الثالث. يمكن للمشرفين تحديد ما إذا كان مسموحًا لها أو حظر تطبيقات تابعة لأطراف ثالثة