Google ввел настройки контроля доступа к приложениям, чтобы администраторам Google Workspace for Education было проще контролировать, как сторонние приложения получают доступ к данным Google их организаций, когда пользователи входят в систему, используя свои учетные записи Google Workspace for Education. Хотя от сторонних разработчиков приложений не требуется никаких действий, ниже приведены некоторые рекомендации, которые другие разработчики сочли полезными.
Используйте инкрементный OAuth
Вы можете использовать добавочную авторизацию , чтобы сначала запросить только те области, которые необходимы для запуска вашего приложения, а затем запросить дополнительные области, когда потребуются новые разрешения. Затем контекст приложения определяет причину запроса пользователя.
При входе ваше приложение запрашивает базовые области, такие как профиль области входа и другие начальные области, необходимые вашему приложению для работы. Позже, когда пользователь захочет выполнить действие, требующее дополнительных областей, ваше приложение запрашивает эти дополнительные области, и пользователь разрешает только новые области на экране согласия.
При создании надстройки Google Classroom вам следует следовать рекомендациям Google Workspace Marketplace и предоставить полный список областей действия OAuth, которые требуются вашему приложению. Это необходимо для того, чтобы администратор понимал, на какие области пользователя домена просят дать согласие.
Убедитесь, что все приложения проверены OAuth.
Все приложения, имеющие доступ к API Google, должны убедиться , что они точно отражают их личность и намерения, как указано в Политике использования данных пользователей служб API Google. Если вы поддерживаете несколько приложений, использующих API Google, убедитесь, что каждое приложение проверено. Администраторы могут видеть все идентификаторы клиентов OAuth, связанные с вашим подтвержденным брендом. Чтобы помочь администраторам избежать настройки неправильных идентификаторов клиентов OAuth, используйте отдельные проекты Google Cloud для тестирования и производства и удалите все идентификаторы клиентов OAuth, которые не используются.
Проверка OAuth API — это процесс, который использует Google Cloud Platform, чтобы гарантировать, что приложения, запрашивающие конфиденциальные или ограниченные области, безопасны и соответствуют требованиям. Процесс проверки помогает защитить пользователей и данные Google Cloud от несанкционированного доступа.
Приложения, запрашивающие конфиденциальные или ограниченные области, должны соответствовать Политике пользовательских данных служб Google API. Эта политика требует, чтобы приложения защищали пользовательские данные и использовали их только в тех целях, которые разрешил пользователь. Приложениям также может потребоваться пройти независимую оценку безопасности, чтобы убедиться, что они соответствуют требованиям безопасности Google Cloud.
Обратите внимание: процесс проверки API OAuth может занять до нескольких недель. После проверки вашего приложения вы сможете запрашивать необходимые вам конфиденциальные или ограниченные области действия.
Более подробную информацию можно найти в разделе часто задаваемых вопросов по проверке OAuth API .
Обработка нескольких идентификаторов клиентов OAuth
Проект Google Cloud может иметь несколько идентификаторов клиентов OAuth, поэтому администратору домена может потребоваться несколько раз настроить ваш доступ.
Обеспечьте точность идентификаторов клиентов OAuth.
Узнайте у своей команды разработчиков, какие идентификаторы клиентов OAuth используются для интеграции с Google OAuth. Используйте два разных проекта Google Cloud для тестирования и производства, чтобы помочь администраторам понять, какие идентификаторы клиентов OAuth нужно настроить. Удалите все устаревшие идентификаторы клиентов из своих производственных проектов.
Загрузка CSV
Если у вас несколько идентификаторов клиентов, мы рекомендуем использовать опцию массовой загрузки CSV , чтобы помочь администраторам быстро настроить все ваши приложения.
Поля:
| Поле | Необходимый | Примечания |
|---|---|---|
| Имя приложения | Нет | Введите название приложения. Изменения, вносимые в название приложения в CSV-файле, не обновляются в консоли администратора. |
| Тип | Да | Одно из веб-приложений , Android или iOS . |
| Идентификатор | Да | Для веб-приложений введите идентификатор клиента OAuth, выданный приложению. Для приложений Android и iOS введите идентификатор клиента OAuth или идентификатор пакета или пакета, который приложение использует в Google Play или Apple App Store. |
| Организационное подразделение | Да | Заполняется заказчиком. Введите косую черту ('/'), чтобы применить настройки доступа приложения ко всему вашему домену. Чтобы применить настройки доступа к определенным организационным подразделениям, добавьте в электронную таблицу для каждого организационного подразделения строку, повторяющую имя приложения, тип и идентификатор. (например, «/org_unit_1/sub_unit_1»). |
| Доступ | Да | Один из доверенных , заблокированных или ограниченных . |
Ошибки OAuth
В этих новых элементах управления администратора появилось два сообщения об ошибках.
- Ошибка 400: access_not_configured — получена, когда соединение OAuth отклонено, поскольку ваше приложение не настроено.
- Ошибка 400: admin_policy_enforced — получена, когда соединение OAuth отклонено, поскольку администратор заблокировал ваше приложение.
Пользователи, которым не исполнилось 18 лет
Администраторы могут управлять доступом к ненастроенным сторонним приложениям для пользователей, которым не исполнилось 18 лет. Если пользователь сталкивается с ошибкой «Доступ заблокирован: администратору вашего учреждения необходимо просмотреть [имя приложения]», он должен запросить доступ из сообщения об ошибке. Это позволяет их администратору просматривать стороннее приложение. Администраторы могут решить, разрешать или блокировать сторонние приложения.