Google הוסיפה הגדרות לבקרת גישה לאפליקציות כדי שיהיה קל יותר להפעיל את Google Workspace for Education אדמינים יכולים לקבוע איך אפליקציות של צד שלישי יכולות לגשת לארגונים שלהם נתוני Google כשמשתמשים נכנסים לחשבון באמצעות חשבונות Google Workspace for Education שלהם. אמנם אין הפעולות הנדרשות ממפתחי אפליקציות של צד שלישי. בהמשך מפורטות כמה שיטות מומלצות שמפתחים אחרים עזרו להם.
שימוש ב-OAuth מצטבר
אפשר להשתמש בהרשאה מצטברת כדי לבקש בהתחלה רק היקפים שנדרשות כדי להפעיל את האפליקציה, ולאחר מכן לבקש היקפי הרשאות נוספים בתור הרשאות חדשות נדרשות. ההקשר של האפליקציה מזהה את הסיבה לבקשה משתמש.
בכניסה לחשבון, האפליקציה מבקשת היקפים בסיסיים, כמו פרופיל היקף הכניסה וגם היקפים ראשוניים אחרים שהאפליקציה שלך דורשת כדי לפעול. מאוחר יותר, כשהמשתמש ירצה לביצוע פעולה שדורשת היקפים נוספים, האפליקציה מבקשת היקפים נוספים והמשתמש מאשר רק את היקפי ההרשאות החדשים מההסכמה מסך.
כשמפתחים תוסף של Google Classroom, צריך לפעול לפי השלבים הבאים ההנחיות ב-Google Workspace Marketplace לשליחת רשימה מלאה של היקפי ההרשאות של OAuth שהאפליקציה שלך דורשת. צריך לעשות זאת כדי שמנהל המערכת יכול לדעת לאילו היקפים משתמש הדומיין מתבקש להסכים.
מוודאים שכל האפליקציות מאומתות ב-OAuth
כל האפליקציות שמקבלות גישה ל-Google APIs חייבות לאמת שהן מייצגות בצורה מדויקת הזהות והכוונה שלהם, כפי שצוינו על ידי נתוני המשתמשים בשירותי API של Google מדיניות. אם יש לך כמה אפליקציות שמשתמשות ב-Google APIs, צריך לוודא שכל אחת אומת. אדמינים יכולים לראות את כל מזהי הלקוח ב-OAuth שמשויכים למותג המאומת שלכם. כדי לעזור לאדמינים להימנע מהגדרה שגויה מזהי לקוחות ב-OAuth, משתמשים בפרויקטים נפרדים ב-Google Cloud לבדיקה וייצור ולמחוק את כל מזהי הלקוח ב-OAuth שלא נמצאים בשימוש.
אימות OAuth API הוא תהליך שבו מערכת Google Cloud Platform משתמשת כדי להבטיח שלפיהן אפליקציות שמבקשות היקפים רגישים או מוגבלים הן מאובטחות ועומדות בדרישות. תהליך האימות עוזר להגן על המשתמשים ועל הנתונים ב-Google Cloud מפני גישה בלתי מורשית.
אפליקציות שמבקשות היקפים רגישים או מוגבלים חייבות לפעול בהתאם ל-Google API המדיניות בנושא נתוני משתמשים בשירותים. המדיניות הזו מחייבת אפליקציות להגן על נתוני המשתמשים, ישתמש בנתונים רק למטרות שהמשתמש אישר. אפליקציות עשויות גם צריכים לעבור בדיקת אבטחה עצמאית כדי לוודא שהם עומדים דרישות האבטחה של Google Cloud.
לתשומת ליבך, תהליך האימות של OAuth API עשוי להימשך כמה שבועות עד הושלם. לאחר שהאפליקציה תאומת, תוכלו לבקש פרטים רגישים או להיקפים המוגבלים הדרושים לך.
פרטים נוספים זמינים במאמר שאלות נפוצות לגבי אימות OAuth API.
טיפול בכמה מזהים של לקוחות OAuth
לפרויקט ב-Google Cloud יכולים להיות כמה מזהי לקוחות ב-OAuth, ויכול להיות שיהיה צורך שמנהל דומיין להגדיר את הגישה שלכם כמה פעמים.
הבטחת דיוק של מזהי לקוחות ב-OAuth
מומלץ לפנות לצוות הפיתוח כדי לברר אילו מזהי לקוחות ב-OAuth מקבלים שמשמש לשילוב עם Google OAuth. להשתמש בשני פרויקטים שונים ב-Google Cloud בשביל בדיקה וייצור כדי לעזור לאדמינים להבין איזה לקוח OAuth מזהים להגדרה. מוחקים מזהי לקוח שהוצאו משימוש או לא עדכניים פרויקטים בסביבת הייצור.
העלאת קובץ CSV
אם יש לכם כמה מזהי לקוח, מומלץ להשתמש בהעלאה בכמות גדולה בקובץ CSV כדי לסייע למנהלי מערכת להגדיר במהירות את כל האפליקציות שלכם.
השדות הם:
| שדה | חובה | הערות |
|---|---|---|
| שם יישום | לא | מזינים את שם האפליקציה. שינויים שמבצעים שם האפליקציה בקובץ ה-CSV לא מתעדכן בדף הניהול במסוף. |
| סוג | כן | אחת מהאפשרויות הבאות: אפליקציית אינטרנט, Android או iOS. |
| Id | כן | באפליקציות אינטרנט, צריך להזין את מזהה הלקוח ב-OAuth שהונפק
תרגום מכונה. באפליקציות ל-Android ול-iOS, מזינים את מזהה הלקוח ב-OAuth או מזהה החבילה או מזהה החבילה של האפליקציה ב-Google Play, או חנות האפליקציות של Apple. |
| יחידה ארגונית | כן | ימולא על ידי הלקוח. כדי להחיל את הגישה לאפליקציה, צריך להזין קו נטוי ('/') ברמת הדומיין. כדי להחיל את הגדרות הגישה ליחידות ארגוניות ספציפיות, מוסיפים שורה גיליון אלקטרוני לכל יחידה ארגונית, שחוזר על שם האפליקציה, סוג ומזהה. (לדוגמה, '/org_unit_1/sub_unit_1'). |
| גישה | כן | אחת מהאפשרויות: מהימנה, חסומה או מוגבלת. |
שגיאות OAuth
הוספנו שתי הודעות שגיאה באמצעי הבקרה החדשים האלה לאדמינים.
- שגיאה 400: access_not_defined – מתקבלת כשחיבור OAuth נדחתה כי האפליקציה לא הוגדרה.
- שגיאה 400: admin_policy_enforced – מתקבלת כשחיבור OAuth נדחתה כי האדמין חסם את האפליקציה שלך.
משתמשים שסווגו כמתחת לגיל 18
אדמינים יכולים לנהל את הרשאות הגישה של משתמשים לאפליקציות צד שלישי שלא הוגדרו שסווג כמתחת לגיל 18. אם משתמש נתקל בשגיאה "הגישה חסומה: האדמין של המוסד צריך לבדוק את [app name],' הם חייבים לבקש גישה מתוך הודעת השגיאה. כך האדמין שלו יוכל לבדוק את האפליקציה של הצד השלישי. אדמינים יכולים להחליט אם לאפשר או לחסום אפליקציות של צד שלישי.