Google telah memperkenalkan setelan kontrol akses aplikasi untuk memudahkan administrator Google Workspace for Education mengontrol cara aplikasi pihak ketiga mengakses data Google organisasi mereka saat pengguna login menggunakan akun Google Workspace for Education mereka. Meskipun tidak ada tindakan yang diperlukan dari developer aplikasi pihak ketiga, berikut beberapa praktik terbaik yang menurut developer lain berguna.
Gunakan OAuth inkremental
Anda dapat menggunakan otorisasi inkremental untuk awalnya hanya meminta cakupan yang diperlukan untuk memulai aplikasi, lalu meminta cakupan tambahan saat izin baru diperlukan. Konteks aplikasi kemudian mengidentifikasi alasan permintaan kepada pengguna.
Saat login, aplikasi Anda meminta cakupan dasar seperti profil cakupan login dan cakupan awal lainnya yang diperlukan aplikasi untuk beroperasi. Kemudian, saat pengguna ingin melakukan tindakan yang memerlukan cakupan tambahan, aplikasi Anda akan meminta cakupan tambahan tersebut dan pengguna hanya memberikan otorisasi untuk cakupan baru dari layar izin.
Saat membuat add-on Google Classroom, Anda harus mengikuti panduan Google Workspace Marketplace untuk memberikan daftar lengkap cakupan OAuth yang diperlukan aplikasi Anda. Hal ini diperlukan agar administrator memahami cakupan mana yang harus diizinkan oleh pengguna domain.
Pastikan semua aplikasi diverifikasi OAuth
Semua aplikasi yang mengakses Google API harus memverifikasi bahwa aplikasi tersebut secara akurat mewakili identitas dan niatnya seperti yang ditentukan oleh Kebijakan Data Pengguna Layanan API Google. Jika Anda mengelola beberapa aplikasi yang menggunakan Google API, pastikan setiap aplikasi telah diverifikasi. Administrator dapat melihat semua client ID OAuth yang terkait dengan merek terverifikasi Anda. Untuk membantu administrator menghindari konfigurasi client ID OAuth yang salah, gunakan project Google Cloud terpisah untuk pengujian dan produksi, lalu hapus semua client ID OAuth yang tidak digunakan.
Verifikasi OAuth API adalah proses yang digunakan Google Cloud Platform untuk memastikan bahwa aplikasi yang meminta cakupan sensitif atau terbatas aman dan mematuhi kebijakan. Proses verifikasi membantu melindungi pengguna dan data Google Cloud dari akses yang tidak sah.
Aplikasi yang meminta cakupan sensitif atau dibatasi harus mematuhi Kebijakan Data Pengguna Layanan Google API. Kebijakan ini mewajibkan aplikasi untuk melindungi data pengguna dan hanya menggunakan data tersebut untuk tujuan yang telah diizinkan oleh pengguna. Aplikasi juga mungkin perlu menjalani penilaian keamanan independen untuk memverifikasi bahwa aplikasi tersebut memenuhi persyaratan keamanan Google Cloud.
Perhatikan bahwa proses verifikasi OAuth API dapat memerlukan waktu hingga beberapa minggu. Setelah aplikasi diverifikasi, Anda dapat meminta cakupan sensitif atau yang dibatasi yang Anda perlukan.
Lihat FAQ verifikasi OAuth API untuk detail selengkapnya.
Menangani beberapa client ID OAuth
Project Google Cloud mungkin memiliki beberapa client ID OAuth, yang mungkin mengharuskan administrator domain mengonfigurasi akses Anda beberapa kali.
Memastikan akurasi client ID OAuth
Hubungi tim pengembangan Anda untuk memahami client ID OAuth mana yang digunakan untuk berintegrasi dengan Google OAuth. Gunakan dua project Google Cloud yang berbeda untuk pengujian dan produksi guna membantu administrator memahami client ID OAuth yang akan dikonfigurasi. Hapus client ID yang tidak digunakan lagi atau sudah tidak berlaku dari project produksi Anda.
Upload CSV
Jika Anda memiliki beberapa client ID, sebaiknya manfaatkan opsi upload massal CSV untuk membantu administrator mengonfigurasi semua aplikasi Anda dengan cepat.
Kolomnya adalah:
| Kolom | Wajib | Catatan |
|---|---|---|
| Nama Aplikasi | Tidak | Masukkan nama aplikasi. Perubahan yang Anda lakukan pada nama aplikasi dalam file CSV tidak akan diperbarui di konsol Admin. |
| Jenis | Ya | Salah satu dari aplikasi web, Android, atau iOS. |
| ID | Ya | Untuk aplikasi web, masukkan client ID OAuth yang dikeluarkan untuk
aplikasi. Untuk aplikasi Android dan iOS, masukkan client ID OAuth atau ID paket atau paket yang digunakan aplikasi di Google Play atau Apple App Store. |
| Unit Organisasi | Ya | Untuk diisi oleh pelanggan. Masukkan garis miring ('/') untuk menerapkan setelan akses aplikasi ke seluruh domain Anda. Untuk menerapkan setelan akses ke unit organisasi tertentu, tambahkan baris ke spreadsheet untuk setiap unit organisasi, dengan mengulang Nama, Jenis, dan ID Aplikasi. (misalnya, '/org_unit_1/sub_unit_1'). |
| Akses | Ya | Salah satu dari kategori tepercaya, diblokir, atau terbatas. |
Error OAuth
Dua pesan error telah diperkenalkan dengan kontrol administrator baru ini.
- Error 400: access_not_configured - diterima saat koneksi OAuth ditolak karena aplikasi Anda belum dikonfigurasi.
- Error 400: admin_policy_enforced - diterima saat koneksi OAuth ditolak karena administrator telah memblokir aplikasi Anda.
Pengguna yang ditetapkan sebagai berusia di bawah 18 tahun
Administrator dapat mengelola akses ke aplikasi pihak ketiga yang tidak dikonfigurasi untuk pengguna yang ditetapkan sebagai berusia di bawah 18 tahun. Jika pengguna mengalami error "Akses diblokir: Admin institusi Anda harus meninjau [nama aplikasi]", mereka harus meminta akses dari dalam pesan error tersebut. Dengan begitu, administratornya dapat meninjau aplikasi pihak ketiga. Administrator dapat memutuskan apakah akan mengizinkan atau memblokir aplikasi pihak ketiga.