Google ได้เปิดตัวการตั้งค่าการควบคุมการเข้าถึงแอปเพื่อให้ผู้ดูแลระบบ Google Workspace for Education ควบคุมวิธีที่แอปของบุคคลที่สามเข้าถึงข้อมูลใน Google ขององค์กรได้ง่ายขึ้นเมื่อผู้ใช้ลงชื่อเข้าใช้โดยใช้บัญชี Google Workspace for Education แม้ว่านักพัฒนาแอปบุคคลที่สามจะไม่ต้องดำเนินการใดๆ แต่ด้านล่างนี้คือแนวทางปฏิบัติแนะนำบางส่วนที่นักพัฒนาแอปรายอื่นพบว่ามีประโยชน์
ใช้ OAuth ที่เพิ่มขึ้น
คุณสามารถใช้การให้สิทธิ์เพิ่มขึ้นเพื่อเริ่มต้นขอเฉพาะขอบเขตที่จำเป็นในการเริ่มแอปในตอนแรก จากนั้นส่งคำขอขอบเขตเพิ่มเติมเนื่องจากต้องมีสิทธิ์ใหม่ จากนั้นบริบทของแอปจะระบุเหตุผลของคำขอแก่ผู้ใช้
ในการลงชื่อเข้าใช้ แอปจะขอขอบเขตพื้นฐาน เช่น โปรไฟล์ขอบเขตการลงชื่อเข้าใช้และขอบเขตเริ่มต้นอื่นๆ ที่แอปต้องใช้ในการทำงาน หลังจากนั้น เมื่อผู้ใช้ต้องการดำเนินการที่ต้องใช้ขอบเขตเพิ่มเติม แอปของคุณจะขอขอบเขตเพิ่มเติมเหล่านั้น และผู้ใช้จะอนุญาตเฉพาะขอบเขตใหม่จากหน้าจอขอความยินยอม
เมื่อสร้างส่วนเสริม Google Classroom คุณควรทําตามคําแนะนําของ Google Workspace Marketplace ในการระบุรายการขอบเขต OAuth ที่สมบูรณ์ซึ่งแอปของคุณจําเป็นต้องใช้ ซึ่งจำเป็นต้องทำเพื่อให้ผู้ดูแลระบบเข้าใจว่าขอบเขตที่ผู้ใช้โดเมนได้รับการขอความยินยอม
ตรวจสอบว่าแอปทั้งหมดได้รับการยืนยัน OAuth แล้ว
แอปทั้งหมดที่เข้าถึง Google API ต้องยืนยันว่าแอปแสดงตัวตนและความตั้งใจของตนอย่างถูกต้องตามที่ระบุโดยนโยบายข้อมูลผู้ใช้ของบริการ API ของ Google หากคุณดูแลแอปหลายแอปที่ใช้ Google API โปรดตรวจสอบว่าแต่ละแอปได้รับการยืนยันแล้ว ผู้ดูแลระบบอาจเห็นรหัสไคลเอ็นต์ OAuth ทั้งหมดที่เชื่อมโยงกับแบรนด์ที่ยืนยันแล้ว เพื่อช่วยให้ผู้ดูแลระบบหลีกเลี่ยงการกำหนดค่ารหัสไคลเอ็นต์ OAuth ที่ไม่ถูกต้อง ให้ใช้โปรเจ็กต์ Google Cloud แยกกันสำหรับการทดสอบและเวอร์ชันที่ใช้งานจริง และลบรหัสไคลเอ็นต์ OAuth ทั้งหมดที่ไม่ได้ใช้งาน
การยืนยัน OAuth API เป็นกระบวนการที่ Google Cloud Platform ใช้เพื่อให้มั่นใจว่าแอปที่ขอขอบเขตที่มีความละเอียดอ่อนหรือขอบเขตที่จำกัดนั้นปลอดภัยและเป็นไปตามข้อกำหนด กระบวนการยืนยันช่วยปกป้องผู้ใช้และข้อมูล Google Cloud จากการเข้าถึงที่ไม่ได้รับอนุญาต
แอปที่ขอขอบเขตที่มีความละเอียดอ่อนหรือถูกจํากัดต้องเป็นไปตามนโยบายข้อมูลผู้ใช้บริการของบริการ Google API นโยบายนี้กำหนดให้แอปต้องปกป้องข้อมูลผู้ใช้และใช้ข้อมูลดังกล่าวเพื่อวัตถุประสงค์ที่ผู้ใช้ให้สิทธิ์เท่านั้น นอกจากนี้ แอปยังอาจต้องผ่านการประเมินความปลอดภัยโดยองค์กรอิสระเพื่อยืนยันว่าเป็นไปตามข้อกำหนดด้านความปลอดภัยของ Google Cloud
โปรดทราบว่ากระบวนการยืนยัน OAuth API อาจใช้เวลาดำเนินการนานถึง 2-3 สัปดาห์ เมื่อแอปได้รับการยืนยันแล้ว คุณจะขอขอบเขตที่ละเอียดอ่อนหรือถูกจํากัดที่ต้องการได้
โปรดดูรายละเอียดเพิ่มเติมในคำถามที่พบบ่อยเกี่ยวกับการยืนยัน OAuth API
จัดการรหัสไคลเอ็นต์ OAuth หลายรายการ
โปรเจ็กต์ Google Cloud อาจมีรหัสไคลเอ็นต์ OAuth หลายรหัส ซึ่งอาจทำให้ผู้ดูแลระบบโดเมนต้องกำหนดค่าการเข้าถึงหลายครั้ง
ตรวจสอบความถูกต้องของรหัสไคลเอ็นต์ OAuth
ตรวจสอบกับทีมพัฒนาของคุณเพื่อให้ทราบว่ามีการใช้รหัสไคลเอ็นต์ OAuth ใดเพื่อผสานรวมกับ Google OAuth ใช้โปรเจ็กต์ Google Cloud 2 โปรเจ็กต์ที่แตกต่างกันสําหรับการทดสอบและเวอร์ชันที่ใช้งานจริง เพื่อช่วยให้ผู้ดูแลระบบเข้าใจว่าควรกําหนดค่ารหัสไคลเอ็นต์ OAuth ใด ลบรหัสไคลเอ็นต์ที่เลิกใช้งานหรือล้าสมัยออกจากโปรเจ็กต์เวอร์ชันที่ใช้งานจริง
อัปโหลด CSV
หากคุณมีรหัสลูกค้าหลายรายการ เราขอแนะนำให้ใช้ตัวเลือกการอัปโหลด CSV หลายรายการพร้อมกันเพื่อช่วยให้ผู้ดูแลระบบกำหนดค่าแอปทั้งหมดได้อย่างรวดเร็ว
ฟิลด์ดังกล่าวมีดังนี้
| ช่อง | ต้องระบุ | หมายเหตุ |
|---|---|---|
| ชื่อแอป | ไม่ได้ | ป้อนชื่อแอป การเปลี่ยนแปลงชื่อแอปในไฟล์ CSV จะไม่อัปเดตในคอนโซลผู้ดูแลระบบ |
| ประเภท | มี | เว็บแอปพลิเคชัน, Android หรือ iOS อย่างใดอย่างหนึ่ง |
| รหัส | มี | สำหรับเว็บแอป ให้ป้อนรหัสไคลเอ็นต์ OAuth ที่ออกให้กับแอปพลิเคชัน สําหรับแอป Android และ iOS ให้ป้อนรหัสไคลเอ็นต์ OAuth หรือรหัสแพ็กเกจหรือรหัสชุดที่แอปใช้ใน Google Play หรือ Apple App Store |
| หน่วยขององค์กร | มี | ลูกค้าเป็นผู้กรอก ป้อนเครื่องหมายทับ ("/") เพื่อใช้การตั้งค่าสิทธิ์เข้าถึงแอปกับทั้งโดเมน หากต้องการใช้การตั้งค่าการเข้าถึงกับหน่วยขององค์กรที่ต้องการ ให้เพิ่มแถวในสเปรดชีตสำหรับแต่ละหน่วยขององค์กร โดยใส่ชื่อแอป ประเภท และรหัสซ้ำๆ (เช่น "/org_unit_1/sub_unit_1") |
| การเข้าถึง | มี | เชื่อถือได้ ถูกบล็อก หรือจำกัด |
ข้อผิดพลาด OAuth
ข้อความแสดงข้อผิดพลาด 2 รายการได้เปิดตัวพร้อมกับการควบคุมใหม่สำหรับผู้ดูแลระบบเหล่านี้
- ข้อผิดพลาด 400: access_not_configured - ได้รับเมื่อการเชื่อมต่อ OAuth ถูกปฏิเสธเนื่องจากไม่ได้กําหนดค่าแอป
- ข้อผิดพลาด 400: admin_policy_enforced - ได้รับเมื่อการเชื่อมต่อ OAuth ถูกปฏิเสธเนื่องจากผู้ดูแลระบบบล็อกแอปพลิเคชัน
ผู้ใช้ที่ได้รับการระบุว่ามีอายุต่ำกว่า 18 ปี
ผู้ดูแลระบบสามารถจัดการสิทธิ์เข้าถึงแอปของบุคคลที่สามที่ไม่ได้กำหนดค่าไว้สำหรับผู้ใช้ที่ได้รับการระบุว่ามีอายุต่ำกว่า 18 ปี หากผู้ใช้พบข้อผิดพลาด "การเข้าถึงถูกบล็อก: ผู้ดูแลระบบของสถาบันต้องตรวจสอบ [ชื่อแอป]" ผู้ใช้ต้องขอสิทธิ์เข้าถึงจากภายในข้อความแสดงข้อผิดพลาด วิธีนี้ช่วยให้ผู้ดูแลระบบตรวจสอบแอปพลิเคชันของบุคคลที่สามได้ โดยผู้ดูแลระบบเลือกได้ว่าจะอนุญาตหรือบล็อกแอปพลิเคชันของบุคคลที่สาม