O Google lançou as configurações de controle de acesso de apps para facilitar a vida dos administradores do Google Workspace for Education ao controlar como os apps de terceiros acessam os dados do Google da organização quando os usuários fazem login usando contas do Google Workspace for Education. Os desenvolvedores de apps de terceiros não precisam fazer nada, mas confira abaixo algumas práticas recomendadas que outros desenvolvedores acharam úteis.
Usar o OAuth incremental
É possível usar a autorização incremental para solicitar inicialmente apenas os escopos necessários para iniciar o app e depois solicitar escopos adicionais conforme novas permissões são necessárias. O contexto do app identifica o motivo da solicitação ao usuário.
No login, o app solicita escopos básicos, como o perfil do escopo de login e outros escopos iniciais exigidos para operação. Posteriormente, quando o usuário quiser executar uma ação que requer escopos adicionais, o aplicativo solicitará-os, e o usuário autorizará somente os novos escopos na tela de consentimento.
Ao criar um complemento do Google Sala de Aula, siga as orientações do Google Workspace Marketplace para fornecer uma lista completa dos escopos do OAuth necessários para o app. Isso é necessário para que um administrador entenda quais escopos um usuário do domínio precisa aceitar.
Garanta que todos os apps sejam verificados pelo OAuth
Todos os apps que acessam as APIs do Google precisam verificar se representam com precisão a identidade e a intenção, conforme especificado pela Política de dados do usuário dos serviços de API do Google. Se você mantém vários apps que usam APIs do Google, verifique se cada app foi verificado. Os administradores podem conferir todos os IDs de cliente OAuth associados à sua marca verificada. Para ajudar os administradores a evitar a configuração de IDs de cliente OAuth incorretos, use projetos separados do Google Cloud para testes e produção e exclua todos os IDs de cliente OAuth que não estão sendo usados.
A verificação da API OAuth é um processo usado pelo Google Cloud Platform para garantir que os apps que solicitam escopos sensíveis ou restritos sejam seguros e estejam em conformidade. O processo de verificação ajuda a proteger os usuários e os dados do Google Cloud contra acesso não autorizado.
Os apps que solicitam escopos confidenciais ou restritos precisam obedecer à política de dados do usuário dos serviços da API do Google. Essa política exige que os apps protejam os dados do usuário e os usem apenas para os fins autorizados pelo usuário. Os apps também podem precisar passar por uma avaliação de segurança independente para verificar se eles atendem aos requisitos de segurança do Google Cloud.
O processo de verificação da API OAuth pode levar até várias semanas para ser concluído. Depois que seu app for verificado, será possível solicitar os escopos confidenciais ou restritos necessários.
Consulte as Perguntas frequentes sobre a verificação da API OAuth para mais detalhes.
Processar vários IDs de cliente OAuth
Um projeto do Google Cloud pode ter vários IDs de cliente OAuth, o que pode exigir que um administrador de domínio configure seu acesso várias vezes.
Garantir a precisão dos IDs do cliente OAuth
Verifique com sua equipe de desenvolvimento quais IDs do cliente OAuth estão sendo usados para a integração com o Google OAuth. Use dois projetos diferentes do Google Cloud para testes e produção para ajudar os administradores a entender quais IDs de cliente OAuth precisam ser configurados. Exclua todos os IDs de cliente descontinuados ou desatualizados dos seus projetos de produção.
Upload de CSV
Se você tiver vários IDs de cliente, recomendamos usar a opção Upload em massa de CSV para ajudar os administradores a configurar rapidamente todos os seus apps.
Os campos são:
| Campo | Obrigatório | Observações |
|---|---|---|
| Nome do aplicativo | Não | Digite o nome do aplicativo. Alterações feitas no nome do aplicativo no arquivo CSV não são atualizadas no Admin Console. |
| Tipo | Sim | Um dos aplicativos da Web, Android ou iOS. |
| ID | Sim | Para apps da Web, digite o ID do cliente OAuth emitido para o
aplicativo. Para apps Android e iOS, insira o ID do cliente OAuth ou o ID do pacote usado no Google Play ou na App Store da Apple. |
| Unidade organizacional | Sim | A ser preenchido pelo cliente. Digite uma barra (/) para aplicar a configuração de acesso ao app em todo o domínio. Para aplicar configurações de acesso a unidades organizacionais específicas, adicione uma linha à planilha para cada unidade organizacional, repetindo o nome, o tipo e o ID do app. Por exemplo, "/org_unit_1/sub_unit_1". |
| Acesso | Sim | Confiável, bloqueado ou limitado. |
Erros do OAuth
Duas mensagens de erro foram introduzidas com esses novos controles de administrador.
- Erro 400: access_not_configured: recebido quando uma conexão OAuth é rejeitada porque seu app não foi configurado.
- Erro 400: admin_policy_enforced: recebido quando uma conexão OAuth é rejeitada porque o administrador bloqueou seu app.
Usuários com menos de 18 anos
Os administradores podem gerenciar o acesso a apps de terceiros não configurados para usuários com menos de 18 anos. Se um usuário encontrar o erro "Acesso bloqueado: o administrador da sua instituição precisa analisar o app [app name]", ele vai precisar solicitar acesso na mensagem de erro. Assim o administrador vai poder analisar o aplicativo de terceiros. Os administradores podem permitir ou bloquear apps de terceiros.