Google تنظیمات کنترل دسترسی برنامه را معرفی کرده است تا مدیران Google Workspace for Education را آسانتر کنترل کنند که چگونه برنامههای شخص ثالث به دادههای Google سازمانشان دسترسی پیدا میکنند وقتی کاربران با استفاده از حسابهای Google Workspace for Education خود وارد سیستم میشوند. در حالی که هیچ اقدامی از سوی توسعهدهندگان برنامههای شخص ثالث مورد نیاز نیست، در زیر برخی از بهترین روشهایی که دیگر توسعهدهندگان مفید یافتهاند، آورده شده است.
از OAuth افزایشی استفاده کنید
میتوانید از مجوز افزایشی استفاده کنید تا در ابتدا فقط دامنههای مورد نیاز برای راهاندازی برنامه خود را درخواست کنید، سپس با توجه به نیاز به مجوزهای جدید، دامنههای اضافی را درخواست کنید. سپس زمینه برنامه دلیل درخواست کاربر را مشخص می کند.
در هنگام ورود به سیستم، برنامه شما دامنه های اولیه مانند نمایه دامنه ورود به سیستم و سایر محدوده های اولیه مورد نیاز برنامه شما برای عملکرد را درخواست می کند. بعداً، وقتی کاربر میخواهد عملی را انجام دهد که به محدودههای اضافی نیاز دارد، برنامه شما آن محدودههای اضافی را درخواست میکند و کاربر فقط دامنههای جدید را از صفحه رضایت مجاز میکند.
هنگام ساختن یک افزونه Google Classroom، باید از راهنمای Google Workspace Marketplace پیروی کنید که فهرست کاملی از دامنه های OAuth را که برنامه شما به آن نیاز دارد ارائه می کند. این امر ضروری است تا یک مدیر بفهمد که از یک کاربر دامنه خواسته می شود تا با کدام حوزه ها موافقت کند.
اطمینان حاصل کنید که همه برنامهها تأیید شده OAuth هستند
همه برنامههایی که به APIهای Google دسترسی دارند باید تأیید کنند که هویت و هدف آنها را همانطور که در خطمشی دادههای کاربر سرویسهای API Google مشخص شده است، نشان میدهند. اگر از چندین برنامه استفاده میکنید که از Google API استفاده میکنند، مطمئن شوید که هر برنامه تأیید شده است. مدیران ممکن است همه شناسههای مشتری OAuth مرتبط با مارک تأیید شده شما را ببینند. برای کمک به سرپرستان برای جلوگیری از پیکربندی شناسه های مشتری OAuth نادرست، از پروژه های Google Cloud جداگانه برای آزمایش و تولید استفاده کنید و همه شناسه های مشتری OAuth را که استفاده نمی شوند حذف کنید.
تأیید OAuth API فرآیندی است که Google Cloud Platform از آن استفاده میکند تا مطمئن شود برنامههایی که دامنههای حساس یا محدود را درخواست میکنند، ایمن و سازگار هستند. فرآیند تأیید به محافظت از کاربران Google Cloud و داده ها در برابر دسترسی غیرمجاز کمک می کند.
برنامههایی که دامنههای حساس یا محدود را درخواست میکنند باید با خطمشی دادههای کاربر سرویسهای API Google مطابقت داشته باشند. این خطمشی از برنامهها میخواهد از دادههای کاربر محافظت کنند و از دادهها فقط برای اهدافی استفاده کنند که کاربر مجاز کرده است. برنامهها همچنین ممکن است نیاز به ارزیابی امنیتی مستقل داشته باشند تا تأیید شود که الزامات امنیتی Google Cloud را برآورده میکنند.
توجه داشته باشید، فرآیند تأیید OAuth API ممکن است تا چند هفته طول بکشد. هنگامی که برنامه شما تأیید شد، می توانید دامنه های حساس یا محدود مورد نیاز خود را درخواست کنید.
برای جزئیات بیشتر به سؤالات متداول تأیید OAuth API مراجعه کنید.
چندین شناسه مشتری OAuth را مدیریت کنید
یک پروژه Google Cloud ممکن است چندین شناسه سرویس گیرنده OAuth داشته باشد، که ممکن است به یک سرپرست دامنه نیاز داشته باشد تا دسترسی شما را چندین بار پیکربندی کند.
از صحت شناسه های مشتری OAuth اطمینان حاصل کنید
با تیم توسعه خود تماس بگیرید تا متوجه شوید کدام شناسه مشتری OAuth برای ادغام با Google OAuth استفاده می شود. از دو پروژه مختلف Google Cloud برای آزمایش و تولید استفاده کنید تا به سرپرستان کمک کنید بفهمند کدام شناسه مشتری OAuth را باید پیکربندی کنند. شناسه های مشتری منسوخ یا قدیمی را از پروژه های تولیدی خود حذف کنید.
آپلود CSV
اگر چندین شناسه مشتری دارید، توصیه میکنیم از گزینه آپلود انبوه CSV استفاده کنید تا به سرپرستان کمک کنید تا به سرعت همه برنامههای شما را پیکربندی کنند.
زمینه ها عبارتند از:
| رشته | ضروری | یادداشت |
|---|---|---|
| نام برنامه | خیر | نام برنامه را وارد کنید. تغییراتی که در نام برنامه در فایل CSV ایجاد میکنید در کنسول مدیریت بهروزرسانی نمیشوند. |
| تایپ کنید | آره | یکی از برنامه های تحت وب ، اندروید یا iOS . |
| شناسه | آره | برای برنامه های وب، شناسه مشتری OAuth صادر شده برای برنامه را وارد کنید. برای برنامههای Android و iOS، شناسه مشتری OAuth یا شناسه بسته یا بستهای را که برنامه در Google Play یا Apple App Store استفاده میکند وارد کنید. |
| واحد سازمانی | آره | توسط مشتری پر شود. یک اسلش رو به جلو ('/') وارد کنید تا تنظیمات دسترسی به برنامه در کل دامنه شما اعمال شود. برای اعمال تنظیمات دسترسی به واحدهای سازمانی خاص، برای هر واحد سازمانی یک ردیف به صفحه گسترده اضافه کنید و نام، نوع و شناسه برنامه را تکرار کنید. (به عنوان مثال، '/org_unit_1/sub_unit_1'). |
| دسترسی داشته باشید | آره | یکی از موارد قابل اعتماد ، مسدود یا محدود . |
خطاهای OAuth
دو پیغام خطا با این کنترل های سرپرست جدید معرفی شده است.
- خطای 400: access_not_configured - زمانی دریافت شد که اتصال OAuth رد شود زیرا برنامه شما پیکربندی نشده است.
- خطای 400: admin_policy_enforced - زمانی دریافت میشود که اتصال OAuth رد شود زیرا سرپرست برنامه شما را مسدود کرده است.
کاربرانی که زیر 18 سال تعیین شده اند
مدیران ممکن است دسترسی به برنامههای شخص ثالث پیکربندی نشده را برای کاربران تعیینشده بهعنوان زیر ۱۸ سال مدیریت کنند . اگر کاربری با خطای «دسترسی مسدود شده است: سرپرست مؤسسه شما باید [نام برنامه] را بررسی کند» مواجه شود، باید از درون پیام خطا درخواست دسترسی کند. این به سرپرست آنها اجازه می دهد تا برنامه شخص ثالث را بررسی کند. مدیران می توانند تصمیم بگیرند که آیا برنامه های شخص ثالث را مجاز یا مسدود کنند.