Google telah memperkenalkan setelan kontrol akses aplikasi untuk memudahkan administrator Google Workspace for Education mengontrol cara aplikasi pihak ketiga mengakses data Google organisasi mereka saat pengguna login menggunakan akun Google Workspace for Education mereka. Meskipun tidak ada tindakan yang diperlukan dari developer aplikasi pihak ketiga, berikut adalah beberapa praktik terbaik yang menurut developer lain berguna.
Gunakan OAuth inkremental
Anda dapat menggunakan otorisasi inkremental untuk awalnya hanya meminta cakupan yang diperlukan untuk memulai aplikasi Anda, lalu meminta cakupan tambahan saat izin baru diperlukan. Konteks aplikasi kemudian mengidentifikasi alasan permintaan tersebut kepada pengguna.
Saat login, aplikasi Anda meminta cakupan dasar, seperti profil cakupan login dan cakupan awal lainnya yang diperlukan aplikasi untuk beroperasi. Kemudian, saat pengguna ingin melakukan tindakan yang memerlukan cakupan tambahan, aplikasi Anda akan meminta cakupan tambahan tersebut dan pengguna hanya mengizinkan cakupan baru dari layar izin.
Saat membuat add-on Google Classroom, Anda harus mengikuti panduan Google Workspace Marketplace untuk memberikan daftar lengkap cakupan OAuth yang diperlukan aplikasi. Hal ini diperlukan agar administrator dapat memahami cakupan domain yang harus disetujui oleh pengguna domain.
Pastikan semua aplikasi terverifikasi dengan OAuth
Semua aplikasi yang mengakses Google API harus memverifikasi bahwa aplikasi tersebut mewakili identitas dan intent secara akurat seperti yang ditentukan oleh Kebijakan Data Pengguna Layanan API Google. Jika Anda mengelola beberapa aplikasi yang menggunakan Google API, pastikan setiap aplikasi telah diverifikasi. Administrator dapat melihat semua client ID OAuth yang dikaitkan dengan merek terverifikasi Anda. Untuk membantu administrator menghindari konfigurasi client ID OAuth yang salah, gunakan project Google Cloud terpisah untuk pengujian dan produksi serta hapus semua client ID OAuth yang tidak digunakan.
Verifikasi OAuth API adalah proses yang digunakan Google Cloud Platform untuk memastikan bahwa aplikasi yang meminta cakupan yang sensitif atau dibatasi tetap aman dan mematuhi kebijakan. Proses verifikasi ini membantu melindungi pengguna dan data Google Cloud dari akses yang tidak sah.
Aplikasi yang meminta cakupan sensitif atau yang dibatasi harus mematuhi Kebijakan Data Pengguna Layanan Google API. Kebijakan ini mewajibkan aplikasi melindungi data pengguna dan hanya menggunakan data untuk tujuan yang telah diizinkan oleh pengguna. Aplikasi mungkin juga perlu menjalani penilaian keamanan independen untuk memverifikasi bahwa aplikasi tersebut memenuhi persyaratan keamanan Google Cloud.
Perhatikan bahwa proses verifikasi OAuth API dapat memerlukan waktu hingga beberapa minggu. Setelah aplikasi diverifikasi, Anda dapat meminta cakupan sensitif atau yang dibatasi yang diperlukan.
Lihat FAQ verifikasi OAuth API untuk detail selengkapnya.
Menangani beberapa client ID OAuth
Project Google Cloud mungkin memiliki beberapa client ID OAuth, yang mungkin memerlukan administrator domain untuk mengonfigurasi akses Anda beberapa kali.
Memastikan akurasi client ID OAuth
Hubungi tim pengembangan Anda untuk memahami client ID OAuth mana yang digunakan untuk berintegrasi dengan Google OAuth. Gunakan dua project Google Cloud yang berbeda untuk pengujian dan produksi guna membantu administrator memahami client ID OAuth mana yang akan dikonfigurasi. Hapus client ID yang sudah tidak digunakan lagi atau sudah tidak berlaku dari project produksi Anda.
Upload CSV
Jika Anda memiliki beberapa client ID, sebaiknya manfaatkan opsi upload massal CSV untuk membantu administrator mengonfigurasi semua aplikasi Anda dengan cepat.
Kolomnya adalah:
| Kolom | Wajib | Notes |
|---|---|---|
| Nama Aplikasi | Tidak | Masukkan nama aplikasi. Perubahan yang Anda lakukan pada nama aplikasi dalam file CSV tidak akan diperbarui di konsol Admin. |
| Jenis | Ya | Salah satu dari aplikasi web, Android atau iOS. |
| Id | Ya | Untuk aplikasi web, masukkan client ID OAuth yang dikeluarkan untuk aplikasi. Untuk aplikasi Android dan iOS, masukkan client ID OAuth atau ID paket atau paket yang digunakan aplikasi di Google Play atau Apple App Store. |
| Unit Org | Ya | Untuk diisi oleh pelanggan. Masukkan garis miring ('/') untuk menerapkan setelan akses aplikasi ke seluruh domain Anda. Untuk menerapkan setelan akses ke unit organisasi tertentu, tambahkan baris ke spreadsheet untuk setiap unit organisasi, dengan mengulangi nama, Jenis, dan ID Aplikasi. (misalnya, '/org_unit_1/sub_unit_1'). |
| Akses | Ya | Salah satu dari tepercaya, diblokir, atau terbatas. |
Error OAuth
Dua pesan error telah diperkenalkan dengan kontrol administrator baru ini.
- Error 400: access_not_configure - diterima saat koneksi OAuth ditolak karena aplikasi Anda belum dikonfigurasi.
- Error 400: admin_policy_enforced - diterima saat koneksi OAuth ditolak karena administrator telah memblokir aplikasi Anda.
Pengguna yang ditetapkan sebagai berusia di bawah 18 tahun
Administrator dapat mengelola akses ke aplikasi pihak ketiga yang tidak dikonfigurasi untuk pengguna yang ditetapkan sebagai berusia di bawah 18 tahun. Jika pengguna mengalami error "Akses diblokir: Administrator institusi Anda perlu meninjau [nama aplikasi]", mereka harus meminta akses dari dalam pesan error tersebut. Dengan begitu, administrator dapat meninjau aplikasi pihak ketiga. Administrator dapat memutuskan apakah akan mengizinkan atau memblokir aplikasi pihak ketiga.