Google השיקה הגדרות של אמצעי בקרת גישה לאפליקציות כדי להקל על האדמינים של Google Workspace for Education לשלוט באופן שבו אפליקציות צד שלישי ניגשות לנתוני Google של הארגון כשמשתמשים נכנסים באמצעות חשבונות Google Workspace for Education שלהם. מפתחי אפליקציות של צד שלישי לא נדרשים לבצע פעולות כלשהן, אבל ריכזנו כאן כמה שיטות מומלצות שמפתחים אחרים מצאו מועילות.
שימוש ב-OAuth מצטבר
אתם יכולים להשתמש בהרשאה מצטברת כדי לבקש בהתחלה רק את ההיקפים הנדרשים להפעלת האפליקציה, ואז לבקש היקפים נוספים לפי הצורך בהרשאות חדשות. לאחר מכן, המערכת מזהה את הסיבה לבקשה מהמשתמש לפי הקשר של האפליקציה.
בזמן הכניסה, האפליקציה מבקשת היקפי גישה בסיסיים, כמו פרופיל היקף הגישה לכניסה, והיקפי גישה ראשוניים אחרים שנדרשים לאפליקציה כדי לפעול. מאוחר יותר, כשהמשתמש ירצה לבצע פעולה שדורשת היקפי גישה נוספים, האפליקציה תבקש את ההיקפים הנוספים האלה והמשתמש יאשר רק את ההיקפים החדשים ממסך הסכמה.
כשבונים תוסף ל-Google Classroom, צריך לפעול לפי ההנחיות ב-Google Workspace Marketplace שכוללות רשימה מלאה של היקפי ההרשאות של OAuth שהאפליקציה שלכם דורשת. הדבר נחוץ כדי שהאדמין יוכל להבין לאילו היקפים משתמש הדומיין מתבקש להביע הסכמה.
מוודאים שכל האפליקציות מאומתות באמצעות OAuth
כל האפליקציות שמקבלות גישה ל-Google APIs צריכות לאמת שהן מייצגות בצורה מדויקת את הזהות והכוונה שלהן, כפי שמפורט במדיניות נתוני המשתמש של שירותי ה-API של Google. אם אתם מנהלים כמה אפליקציות שמשתמשות ב-Google APIs, חשוב לוודא שכל אחת מהן אומתה. האדמינים יכולים לראות את כל מזהי הלקוחות ב-OAuth שמשויכים למותג המאומת שלכם. כדי לעזור לאדמינים לא להגדיר מזהי לקוח שגויים ב-OAuth, כדאי להשתמש בפרויקטים נפרדים ב-Google Cloud לבדיקה וייצור ולמחוק את כל מזהי הלקוח ב-OAuth שלא נמצאים בשימוש.
אימות OAuth API הוא תהליך שמשמש את Google Cloud Platform כדי להבטיח שאפליקציות שמבקשות היקפים רגישים או מוגבלים יהיו מאובטחות ותואמות. תהליך האימות עוזר להגן על המשתמשים והנתונים ב-Google Cloud מפני גישה לא מורשית.
אפליקציות שמבקשות היקפי הרשאות רגישים או מוגבלים חייבות לציית למדיניות של Google בנושא נתוני משתמשים בשירותי API. המדיניות הזו מחייבת אפליקציות להגן על נתוני המשתמשים ולהשתמש בנתונים רק למטרות שהמשתמשים העניקו להן הרשאה. יכול להיות שאפליקציות גם יצטרכו לעבור בדיקת אבטחה עצמאית כדי לוודא שהן עומדות בדרישות האבטחה של Google Cloud.
לתשומת ליבכם, תהליך האימות של OAuth API עשוי להימשך עד כמה שבועות. אחרי שהאפליקציה תאומת, תוכלו לבקש את היקפי ההרשאות הרגישים או המוגבלים שנחוצים לכם.
פרטים נוספים זמינים בשאלות הנפוצות בנושא אימות OAuth API.
טיפול בכמה מזהים של לקוחות OAuth
לפרויקט ב-Google Cloud יכולים להיות כמה מזהי לקוחות ב-OAuth, ויכול להיות שאדמין הדומיין יצטרך להגדיר את הגישה שלכם כמה פעמים.
הבטחת דיוק של מזהי לקוחות ב-OAuth
כדאי לברר עם צוות הפיתוח אילו מזהי לקוחות ב-OAuth משמשים לשילוב עם Google OAuth. כדאי להשתמש בשני פרויקטים שונים ב-Google Cloud לבדיקה ולייצור כדי לעזור למנהלי המערכת להבין אילו מזהי לקוחות OAuth צריך להגדיר. מוחקים מזהי לקוח לא עדכניים או שהוצאו משימוש מהפרויקטים בסביבת הייצור.
העלאת קובץ CSV
אם יש לכם כמה מספרי לקוח, מומלץ להשתמש באפשרות העלאה בכמות גדולה בקובץ CSV כדי לעזור לאדמינים להגדיר במהירות את כל האפליקציות.
השדות הם:
| שדה | חובה | הערות |
|---|---|---|
| שם האפליקציה | לא | מזינים את שם האפליקציה. שינויים שתבצעו בשם האפליקציה בקובץ ה-CSV לא יתעדכנו במסוף Admin. |
| סוג | כן | אחת מהאפשרויות הבאות: אפליקציית אינטרנט, Android או iOS. |
| Id | כן | באפליקציות אינטרנט, מזינים את מזהה הלקוח ב-OAuth שהונפק לאפליקציה. באפליקציות ל-Android ול-iOS, מזינים את מזהה הלקוח ב-OAuth או את מזהה החבילה שבה האפליקציה משתמשת ב-Google Play או ב-Apple App Store. |
| יחידה ארגונית | כן | הלקוח צריך למלא את השדה הזה. מזינים קו נטוי (/) כדי להחיל את הגדרת הגישה לאפליקציה על כל הדומיין. כדי להחיל הגדרות גישה על יחידות ארגוניות מסוימות, מוסיפים שורה לגיליון האלקטרוני בכל יחידה ארגונית וחוזרים על השם, הסוג והמזהה של האפליקציה. (לדוגמה, '/org_unit_1/sub_unit_1'). |
| גישה | כן | אחת מהאפשרויות הבאות: מהימנה, חסומה או מוגבלת. |
שגיאות OAuth
הוספנו שתי הודעות שגיאה באמצעי הבקרה החדשים האלה לאדמינים.
- שגיאה 400: access_not_configured – מתקבלת כשחיבור OAuth נדחה כי האפליקציה לא הוגדרה.
- שגיאה 400: admin_policy_enforced – מתקבלת כשחיבור OAuth נדחה כי האדמין חסם את האפליקציה.
משתמשים שסווגו כמתחת לגיל 18
אדמינים יכולים לנהל את הגישה של משתמשים שסווגו כמתחת לגיל 18 לאפליקציות של צד שלישי שלא הוגדרו. אם משתמש נתקל בשגיאה "הגישה חסומה: האפליקציה [שם האפליקציה] צריכה להיבדק על ידי האדמין של המוסד שלך", הוא צריך לבקש גישה מתוך הודעת השגיאה. כך האדמין יוכל לבדוק את האפליקציה של הצד השלישי. אדמינים יכולים להחליט אם לאשר או לחסום אפליקציות של צד שלישי.