Google은 Google Workspace for Education 관리자가 사용자가 Google Workspace for Education 계정으로 로그인할 때 조직의 Google 데이터에 서드 파티 앱이 액세스하는 방식을 더 쉽게 관리할 수 있도록 앱 액세스 제어 설정을 도입했습니다. 서드 파티 앱 개발자가 취해야 할 조치는 없지만 다른 개발자들이 유용한 것으로 평가한 권장사항은 다음과 같습니다.
증분 OAuth 사용
증분 승인을 사용하여 처음에는 앱을 시작하는 데 필요한 범위만 요청한 다음 새 권한이 필요하면 추가 범위를 요청할 수 있습니다. 그러면 앱 컨텍스트에서 사용자에게 요청하는 이유를 식별합니다.
로그인 시 앱은 로그인 범위 프로필 및 앱 작동에 필요한 기타 초기 범위와 같은 기본 범위를 요청합니다. 나중에 사용자가 추가 범위가 필요한 작업을 실행하려고 하면 앱에서 이러한 추가 범위를 요청하고 사용자는 동의 화면에서 새 범위만 승인합니다.
Google 클래스룸 부가기능을 빌드할 때는 앱에 필요한 OAuth 범위의 전체 목록을 제공하는 Google Workspace Marketplace 안내를 따라야 합니다. 이는 관리자가 도메인 사용자에게 동의를 요청하는 범위를 파악하는 데 필요합니다.
모든 앱이 OAuth 인증을 받았는지 확인
Google API에 액세스하는 모든 앱은 Google의 API 서비스 사용자 데이터 정책에 명시된 대로 ID와 의도를 정확하게 나타내는지 확인해야 합니다. Google API를 사용하는 여러 앱을 유지 관리하는 경우 각 앱이 확인되었는지 확인합니다. 관리자는 인증된 브랜드와 연결된 모든 OAuth 클라이언트 ID를 볼 수 있습니다. 관리자가 잘못된 OAuth 클라이언트 ID를 구성하지 않도록 하려면 테스트 및 프로덕션에 별도의 Google Cloud 프로젝트를 사용하고 사용하지 않는 모든 OAuth 클라이언트 ID를 삭제하세요.
OAuth API 확인은 민감하거나 제한된 범위를 요청하는 앱이 안전하고 규정을 준수하는지 확인하기 위해 Google Cloud Platform에서 사용하는 프로세스입니다. 확인 프로세스는 승인되지 않은 액세스로부터 Google Cloud 사용자와 데이터를 보호하는 데 도움이 됩니다.
민감하거나 제한된 범위를 요청하는 앱은 Google API 서비스 사용자 데이터 정책을 준수해야 합니다. 이 정책에 따라 앱은 사용자 데이터를 보호하고 사용자가 승인한 목적으로만 데이터를 사용해야 합니다. 앱이 Google Cloud의 보안 요구사항을 충족하는지 확인하기 위해 독립적인 보안 평가를 받아야 할 수도 있습니다.
OAuth API 인증 절차는 완료하는 데 최대 몇 주가 걸릴 수 있습니다. 앱이 인증되면 필요한 민감하거나 제한된 범위를 요청할 수 있습니다.
자세한 내용은 OAuth API 인증 FAQ를 참고하세요.
여러 OAuth 클라이언트 ID 처리
Google Cloud 프로젝트에 OAuth 클라이언트 ID가 여러 개 있을 수 있으며, 이 경우 도메인 관리자가 액세스 권한을 여러 번 구성해야 할 수 있습니다.
OAuth 클라이언트 ID의 정확성 확인
개발팀에 문의하여 Google OAuth와 통합하는 데 사용되는 OAuth 클라이언트 ID를 파악하세요. 관리자가 구성할 OAuth 클라이언트 ID를 파악할 수 있도록 테스트 및 프로덕션에 서로 다른 두 개의 Google Cloud 프로젝트를 사용합니다. 프로덕션 프로젝트에서 지원 중단되었거나 오래된 클라이언트 ID를 삭제합니다.
CSV 업로드
클라이언트 ID가 여러 개인 경우 관리자가 모든 앱을 빠르게 구성할 수 있도록 CSV 일괄 업로드 옵션을 사용하는 것이 좋습니다.
제공되는 필드는 다음과 같습니다.
| 필드 | 필수 | 참고 |
|---|---|---|
| 앱 이름 | 아니요 | 앱 이름을 입력합니다. CSV 파일에서 앱 이름을 변경해도 관리 콘솔에서 업데이트되지 않습니다. |
| 유형 | 예 | 웹 애플리케이션, Android 또는 iOS 중 하나입니다. |
| ID | 예 | 웹 앱의 경우 애플리케이션에 발급된 OAuth 클라이언트 ID를 입력합니다. Android 및 iOS 앱의 경우 OAuth 클라이언트 ID 또는 Google Play 또는 Apple App Store에서 앱이 사용하는 패키지 또는 번들 ID를 입력합니다. |
| 조직 단위 | 예 | 고객이 작성합니다. 슬래시 ('/')를 입력하여 앱 액세스 설정을 전체 도메인에 적용합니다. 특정 조직 단위에 액세스 설정을 적용하려면 각 조직 단위의 스프레드시트에 행을 하나 추가하고 앱 이름, 유형, ID를 다시 입력합니다. (예: '/org_unit_1/sub_unit_1') |
| 액세스 | 예 | 신뢰할 수 있음, 차단됨 또는 제한됨 중 하나입니다. |
OAuth 오류
새로운 관리자 제어 기능에는 두 가지 오류 메시지가 도입되었습니다.
- 오류 400: access_not_configured - 앱이 구성되지 않아 OAuth 연결이 거부될 때 수신됩니다.
- 오류 400: admin_policy_enforced - 관리자가 애플리케이션을 차단하여 OAuth 연결이 거부될 때 수신됩니다.
18세 미만으로 지정된 사용자
관리자는 만 18세 미만으로 지정된 사용자의 구성되지 않은 서드 파티 앱에 대한 액세스를 관리할 수 있습니다. 사용자에게 '액세스 차단됨: 기관의 관리자가 [앱 이름]을 검토해야 함'이라는 오류가 표시되면 오류 메시지 내에서 액세스를 요청해야 합니다. 그러면 관리자가 해당 서드 파티 애플리케이션을 검토하게 됩니다. 관리자는 서드 파티 애플리케이션을 허용할지 또는 차단할지 결정할 수 있습니다.