Google ได้เปิดตัวการตั้งค่าการควบคุมการเข้าถึงแอปเพื่อให้ผู้ดูแลระบบ Google Workspace for Education ควบคุมวิธีที่แอปบุคคลที่สามเข้าถึงข้อมูล Google ขององค์กรเมื่อผู้ใช้ลงชื่อเข้าใช้ด้วยบัญชี Google Workspace for Education ได้ง่ายขึ้น แม้ว่านักพัฒนาแอปบุคคลที่สามจะไม่ต้องดำเนินการใดๆ แต่ด้านล่างนี้คือแนวทางปฏิบัติแนะนำที่นักพัฒนาแอปรายอื่นๆ พบว่ามีประโยชน์
ใช้ OAuth ที่เพิ่มขึ้น
คุณสามารถใช้การให้สิทธิ์ที่เพิ่มขึ้นเพื่อส่งคำขอเฉพาะขอบเขตที่จำเป็นต่อการเริ่มต้นแอปในเบื้องต้น จากนั้นขอขอบเขตเพิ่มเติมเนื่องจากจำเป็นต้องใช้สิทธิ์ใหม่ จากนั้นบริบทของแอปจะระบุเหตุผลที่ส่งคำขอไปยังผู้ใช้
เมื่อลงชื่อเข้าใช้ แอปจะขอขอบเขตพื้นฐาน เช่น โปรไฟล์ขอบเขตการลงชื่อเข้าใช้และขอบเขตเริ่มต้นอื่นๆ ที่แอปต้องใช้ในการดำเนินการ หลังจากนั้น เมื่อผู้ใช้ต้องการที่จะดำเนินการที่ต้องใช้ขอบเขตเพิ่มเติม แอปของคุณจะขอขอบเขตเพิ่มเติมเหล่านั้น และผู้ใช้ให้สิทธิ์เฉพาะขอบเขตใหม่จากหน้าจอคำยินยอม
เมื่อสร้างส่วนเสริมของ Google Classroom คุณควรทำตามคำแนะนำของ Google Workspace Marketplace ในการระบุรายการขอบเขต OAuth ทั้งหมดที่แอปของคุณต้องใช้ ซึ่งเป็นสิ่งจำเป็นเพื่อให้ผู้ดูแลระบบเข้าใจว่าผู้ใช้โดเมนต้องให้ความยินยอมในขอบเขตใด
ตรวจสอบว่าแอปทั้งหมดได้รับการยืนยัน OAuth แล้ว
แอปทั้งหมดที่เข้าถึง Google API ต้องยืนยันว่าแอปแสดงถึงข้อมูลระบุตัวตนและความตั้งใจของผู้ใช้อย่างถูกต้องตามที่นโยบายข้อมูลผู้ใช้สำหรับบริการ API ของ Google ระบุไว้ หากคุณมีแอปหลายรายการที่ใช้ Google API ให้ตรวจสอบว่าแต่ละแอปได้รับการยืนยันแล้ว ผู้ดูแลระบบอาจเห็นรหัสไคลเอ็นต์ OAuth ทั้งหมดที่เชื่อมโยงกับแบรนด์ที่ยืนยันแล้ว หากต้องการช่วยผู้ดูแลระบบหลีกเลี่ยงการกำหนดค่ารหัสไคลเอ็นต์ OAuth ที่ไม่ถูกต้อง โปรดใช้โปรเจ็กต์ Google Cloud แยกกันสำหรับการทดสอบและเวอร์ชันที่ใช้งานจริง แล้วลบรหัสไคลเอ็นต์ OAuth ทั้งหมดที่ไม่มีการใช้งาน
การยืนยัน OAuth API เป็นขั้นตอนที่ Google Cloud Platform ใช้เพื่อดูแลให้แอปที่ขอขอบเขตที่ละเอียดอ่อนหรือจำกัดมีความปลอดภัยและเป็นไปตามข้อกำหนด กระบวนการยืนยันนี้จะช่วยปกป้องผู้ใช้และข้อมูล Google Cloud จากการเข้าถึงที่ไม่ได้รับอนุญาต
แอปที่ขอขอบเขตที่ละเอียดอ่อนหรือจำกัดต้องเป็นไปตามนโยบายข้อมูลผู้ใช้สำหรับบริการ Google API นโยบายนี้กำหนดให้แอปปกป้องข้อมูลผู้ใช้และใช้ข้อมูลตามวัตถุประสงค์ที่ผู้ใช้อนุญาตเท่านั้น นอกจากนี้ แอปยังอาจต้องทำการประเมินความปลอดภัยโดยองค์กรอิสระเพื่อยืนยันว่าแอปเป็นไปตามข้อกำหนดด้านความปลอดภัยของ Google Cloud ด้วย
โปรดทราบว่ากระบวนการยืนยัน API ของ OAuth อาจใช้เวลาหลายสัปดาห์จึงจะเสร็จสมบูรณ์ เมื่อแอปได้รับการยืนยันแล้ว คุณจะขอขอบเขตที่ละเอียดอ่อนหรือจำกัดได้ตามต้องการ
โปรดดูรายละเอียดเพิ่มเติมในคำถามที่พบบ่อยเกี่ยวกับการยืนยัน OAuth API
จัดการรหัสไคลเอ็นต์ OAuth หลายรายการ
โปรเจ็กต์ Google Cloud อาจมีรหัสไคลเอ็นต์ OAuth หลายรหัส ซึ่งอาจต้องให้ผู้ดูแลระบบโดเมนกำหนดค่าการเข้าถึงของคุณหลายครั้ง
ตรวจสอบความถูกต้องของรหัสไคลเอ็นต์ OAuth
ตรวจสอบกับทีมพัฒนาของคุณเพื่อให้ทราบว่ามีการใช้รหัสไคลเอ็นต์ OAuth ใดในการผสานรวมกับ OAuth ของ Google ใช้โปรเจ็กต์ Google Cloud 2 โปรเจ็กต์ที่แตกต่างกันเพื่อการทดสอบและเวอร์ชันที่ใช้งานจริงเพื่อช่วยให้ผู้ดูแลระบบเข้าใจว่ารหัสไคลเอ็นต์ OAuth ใดที่ต้องกำหนดค่า ลบรหัสไคลเอ็นต์ที่เลิกใช้งานหรือล้าสมัยออกจากโปรเจ็กต์ที่ใช้งานจริง
การอัปโหลด CSV
หากคุณมีรหัสไคลเอ็นต์หลายรายการ เราขอแนะนำให้ใช้ประโยชน์จากตัวเลือกการอัปโหลด CSV จำนวนมากเพื่อช่วยให้ผู้ดูแลระบบกำหนดค่าแอปทั้งหมดได้อย่างรวดเร็ว
ช่องเหล่านี้ได้แก่
| ฟิลด์ | จำเป็น | Notes |
|---|---|---|
| ชื่อแอป | ไม่ได้ | ใส่ชื่อแอป การเปลี่ยนแปลงชื่อแอปในไฟล์ CSV จะไม่อัปเดตในคอนโซลผู้ดูแลระบบ |
| Type | มี | อาจเป็นเว็บแอปพลิเคชัน, Android หรือ iOS |
| รหัส | มี | สำหรับเว็บแอป ให้ป้อนรหัสไคลเอ็นต์ OAuth ที่ออกให้กับแอปพลิเคชัน สำหรับแอป Android และ iOS ให้ป้อนรหัสไคลเอ็นต์ OAuth หรือรหัสแพ็กเกจหรือรหัสชุดที่แอปใช้ใน Google Play หรือ Apple App Store |
| หน่วยขององค์กร | มี | ให้ลูกค้ากรอก ป้อนเครื่องหมายทับ ("/") เพื่อใช้การตั้งค่าการเข้าถึงแอปกับทั้งโดเมน หากต้องการใช้การตั้งค่าการเข้าถึงกับหน่วยขององค์กรที่ต้องการ ให้เพิ่มแถวลงในสเปรดชีตของแต่ละหน่วยขององค์กร โดยระบุชื่อ ประเภท และรหัสของแอปซ้ำ (เช่น "/org_unit_1/sub_unit_1") |
| การเข้าถึง | มี | เป็นเชื่อถือได้ ถูกบล็อก หรือจำกัด |
ข้อผิดพลาด OAuth
มีการเพิ่มข้อความแสดงข้อผิดพลาด 2 ข้อความที่มาพร้อมกับการควบคุมแบบใหม่ของผู้ดูแลระบบ
- ข้อผิดพลาด 400: access_not_configure - ได้รับเมื่อการเชื่อมต่อ OAuth ถูกปฏิเสธเนื่องจากแอปของคุณไม่ได้รับการกำหนดค่า
- ข้อผิดพลาด 400: admin_policy_enforced - ได้รับเมื่อการเชื่อมต่อ OAuth ถูกปฏิเสธเนื่องจากผู้ดูแลระบบบล็อกแอปพลิเคชันของคุณ
ผู้ใช้ที่ได้รับการระบุว่ามีอายุต่ำกว่า 18 ปี
ผู้ดูแลระบบอาจจัดการการเข้าถึงแอปของบุคคลที่สามที่ไม่ได้กำหนดค่าไว้สําหรับผู้ใช้ที่ได้รับการระบุว่ามีอายุต่ำกว่า 18 ปี หากผู้ใช้พบข้อผิดพลาด "การเข้าถึงถูกบล็อก: ผู้ดูแลระบบของสถาบันต้องตรวจสอบ [ชื่อแอป]" ผู้ใช้ต้องขอสิทธิ์เข้าถึงจากภายในข้อความแสดงข้อผิดพลาด ซึ่งช่วยให้ผู้ดูแลระบบ ตรวจสอบแอปพลิเคชันของบุคคลที่สามได้ โดยผู้ดูแลระบบเลือกได้ว่าจะอนุญาตหรือบล็อกแอปพลิเคชันของบุคคลที่สาม