O Google lançou configurações de controle de acesso de apps para facilitar o controle de como os apps de terceiros acessam os dados do Google das organizações quando os usuários fazem login com as contas do Google Workspace for Education dos administradores do Google Workspace for Education. Embora não haja ações necessárias de desenvolvedores de apps de terceiros, confira abaixo algumas das práticas recomendadas que outros desenvolvedores consideram úteis.
Usar OAuth incremental
É possível usar a autorização incremental para solicitar inicialmente apenas os escopos necessários para iniciar o app e, em seguida, solicitar escopos adicionais à medida que novas permissões são necessárias. O contexto do app identifica o motivo da solicitação para o usuário.
No login, o app solicita escopos básicos, como o perfil de escopo de login e outros escopos iniciais que o app exige para a operação. Mais tarde, quando o usuário quiser executar uma ação que exija escopos adicionais, o app vai solicitar esses escopos adicionais e o usuário autorizará apenas os novos escopos em uma tela de consentimento.
Ao criar um complemento do Google Sala de Aula, siga as orientações do Google Workspace Marketplace de fornecer uma lista completa dos escopos do OAuth exigidos pelo app. Isso é necessário para que um administrador entenda em quais escopos um usuário do domínio é solicitado.
Verificar se todos os apps foram verificados pelo OAuth
Todos os apps que acessam as APIs do Google precisam verificar se representam com precisão a identidade e a intent, conforme especificado pela política de dados do usuário dos serviços de API do Google. Se você tiver vários apps que usam APIs do Google, verifique se cada um deles foi verificado. Os administradores podem ver todos os IDs do cliente OAuth associados à sua marca verificada. Para ajudar os administradores a evitar a configuração de IDs do cliente OAuth incorretos, use projetos separados do Google Cloud para teste e produção e exclua todos os IDs do cliente OAuth que não estiverem sendo usados.
A verificação da API OAuth é um processo usado pelo Google Cloud Platform para garantir que os apps que solicitam escopos confidenciais ou restritos sejam seguros e estejam em compliance. O processo de verificação ajuda a proteger usuários e dados do Google Cloud contra acesso não autorizado.
Os apps que solicitam escopos confidenciais ou restritos precisam obedecer à política de dados do usuário dos serviços da API do Google. Essa política exige que os apps protejam os dados do usuário e os usem apenas para as finalidades autorizadas pelo usuário. Talvez os apps também precisem passar por uma avaliação de segurança independente para verificar se atendem aos requisitos de segurança do Google Cloud.
O processo de verificação da API OAuth pode levar várias semanas para ser concluído. Depois que o app for verificado, será possível solicitar os escopos confidenciais ou restritos de que você precisa.
Consulte as perguntas frequentes sobre a verificação da API OAuth para saber mais detalhes.
Gerenciar vários IDs do cliente OAuth
Um projeto do Google Cloud pode ter vários IDs do cliente OAuth, o que pode exigir que um administrador de domínio configure seu acesso várias vezes.
Garantir a precisão dos IDs do cliente OAuth
Verifique com sua equipe de desenvolvimento quais IDs do cliente OAuth estão sendo usados na integração com o Google OAuth. Use dois projetos diferentes do Google Cloud para testes e produção para ajudar os administradores a entender quais IDs do cliente OAuth precisam configurar. Exclua todos os IDs do cliente descontinuados ou desatualizados dos seus projetos de produção.
Upload de CSV
Se você tiver vários IDs do cliente, recomendamos usar a opção de upload em massa de CSV para ajudar os administradores a configurar rapidamente todos os seus apps.
Os campos são:
| Campo | Obrigatório | Observações |
|---|---|---|
| Nome do aplicativo | Não | Digite o nome do aplicativo. As alterações feitas no nome do aplicativo no arquivo CSV não são atualizadas no Admin Console. |
| Tipo | Sim | Aplicativo da Web, Android ou iOS |
| ID | Sim | Para apps da Web, insira o ID do cliente OAuth emitido para o
aplicativo. Para apps Android e iOS, insira o ID do cliente OAuth ou do pacote usado no Google Play ou na App Store da Apple. |
| Unidade organizacional | Sim | A ser preenchido pelo cliente. Insira uma barra ("/") para aplicar a configuração de acesso de apps a todo o domínio. Para aplicar configurações de acesso a unidades organizacionais específicas, adicione uma linha à planilha para cada unidade organizacional, repetindo o nome, o tipo e o ID do app. Por exemplo, "/org_unit_1/sub_unit_1". |
| Acesso | Sim | Um de confiável, bloqueado ou limitado. |
Erros do OAuth
Duas mensagens de erro foram introduzidas com esses novos controles de administrador.
- Erro 400: access_not_configured: recebido quando uma conexão OAuth é rejeitada porque seu app não foi configurado.
- Erro 400: admin_policy_enforced: recebido quando uma conexão OAuth é rejeitada porque o administrador bloqueou seu aplicativo.
Usuários com menos de 18 anos
Os administradores podem gerenciar o acesso a apps de terceiros não configurados para usuários menores de 18 anos. Se um usuário encontrar o erro "Acesso bloqueado: o administrador da sua instituição precisa revisar [nome do app]", ele precisará solicitar acesso na mensagem de erro. Isso permite que o administrador analise o aplicativo de terceiros. Os administradores podem permitir ou bloquear aplicativos de terceiros.