Google, kullanıcılar Google Workspace for Education hesaplarını kullanarak oturum açtığında Google Workspace for Education yöneticilerinin, kuruluşlarının Google verilerine üçüncü taraf uygulamaların nasıl erişebileceğini kontrol edebilmesini kolaylaştırmak için uygulama erişim denetimi ayarlarını kullanıma sunmuştur. Üçüncü taraf uygulama geliştiricilerinin herhangi bir işlem yapmasına gerek olmasa da diğer geliştiricilerin faydalı bulduğu en iyi uygulamalardan bazılarını aşağıda bulabilirsiniz.
Artımlı OAuth kullan
Başlangıçta yalnızca uygulamanızı başlatmak için gereken kapsamları istemek amacıyla artımlı yetkilendirme kullanabilir, ardından yeni izinler gerektiğinde ek kapsamlar isteyebilirsiniz. Uygulama bağlamı daha sonra kullanıcıya isteğin nedenini tanımlar.
Uygulamanız, oturum açma sırasında oturum açma kapsam profili ve uygulamanızın işlem için gerektirdiği diğer başlangıç kapsamları gibi temel kapsamları ister. Daha sonra kullanıcı, ek kapsamlar gerektiren bir işlem yapmak istediğinde uygulamanız bu ek kapsamları ister ve kullanıcı rızası ekranından yalnızca yeni kapsamları yetkilendirir.
Bir Google Classroom eklentisi oluştururken, uygulamanızın gerektirdiği OAuth kapsamlarının tam bir listesini sağlama konusunda Google Workspace Marketplace kılavuzunu uygulamanız gerekir. Bu, yöneticinin bir alan kullanıcısının hangi kapsamlara izin vermesi gerektiğini anlaması için gereklidir.
Tüm uygulamaların OAuth doğrulanmış olduğundan emin olun
Google API'lerine erişen tüm uygulamalar, kimliklerini ve niyetlerini Google'ın API Hizmetleri Kullanıcı Verileri Politikası'nda belirtildiği şekilde doğru şekilde temsil ettiklerini doğrulamalıdır. Google API'lerini kullanan birden fazla uygulamanız varsa her uygulamanın doğrulandığından emin olun. Yöneticiler, doğrulanmış markanızla ilişkili tüm OAuth istemci kimliklerini görebilir. Yöneticilerin yanlış OAuth istemci kimliklerini yapılandırmaktan kaçınmasına yardımcı olmak amacıyla test ve üretim için ayrı Google Cloud projeleri kullanın ve kullanılmayan tüm OAuth istemci kimliklerini silin.
OAuth API doğrulaması, Google Cloud Platform'un hassas veya kısıtlanmış kapsamlar isteyen uygulamaların güvenli ve uyumlu olmasını sağlamak için kullandığı bir süreçtir. Doğrulama işlemi, Google Cloud kullanıcılarını ve verilerini yetkisiz erişime karşı korumaya yardımcı olur.
Hassas veya kısıtlanmış kapsamlar isteyen uygulamalar Google API Hizmetleri Kullanıcı Verileri Politikası'na uymalıdır. Bu politika, uygulamaların kullanıcı verilerini korumasını ve verileri yalnızca kullanıcının yetki verdiği amaçlarla kullanmasını gerektirir. Uygulamaların Google Cloud güvenlik gereksinimlerini karşıladıklarını doğrulamak için bağımsız bir güvenlik değerlendirmesinden de geçmeleri gerekebilir.
OAuth API doğrulama işleminin tamamlanması birkaç hafta sürebilir. Uygulamanız doğrulandıktan sonra, ihtiyacınız olan hassas veya kısıtlanmış kapsamları isteyebilirsiniz.
Daha fazla bilgi için OAuth API doğrulaması ile ilgili SSS başlıklı makaleyi inceleyin.
Birden çok OAuth istemci kimliğini işleme
Google Cloud projesinin birden fazla OAuth istemci kimliği olabilir. Bu durum, alan yöneticisinin erişiminizi birkaç kez yapılandırmasını gerektirebilir.
OAuth istemci kimliklerinin doğruluğundan emin olun
Google OAuth ile entegrasyon için hangi OAuth istemci kimliklerinin kullanıldığını anlamak için geliştirme ekibinize danışın. Yöneticilerin hangi OAuth istemci kimliklerini yapılandıracaklarını anlamalarına yardımcı olmak için test ve üretim amacıyla iki farklı Google Cloud projesi kullanın. Kullanımdan kaldırılan veya güncel olmayan istemci kimliklerini üretim projelerinizden silin.
CSV yükleme
Birden fazla istemci kimliğiniz varsa yöneticilerin tüm uygulamalarınızı hızlı bir şekilde yapılandırmasına yardımcı olmak için CSV toplu yükleme seçeneğini kullanmanızı öneririz.
Alanlar:
| Alan | Zorunlu | Notlar |
|---|---|---|
| Uygulama Adı | Hayır | Uygulamanın adını girin. CSV dosyasındaki uygulama adında yaptığınız değişiklikler Yönetici Konsolu'nda güncellenmez. |
| Tür | Yes | Web uygulaması, Android veya iOS seçeneklerinden biri |
| Kimlik | Yes | Web uygulamaları söz konusuysa uygulamaya verilen OAuth istemci kimliğini girin. Android ve iOS uygulamaları söz konusuysa OAuth istemci kimliğini ya da uygulamanın Google Play veya Apple App Store'da kullandığı paket ya da paket kimliğini girin. |
| Kuruluş Birimi | Yes | Müşteri tarafından doldurulacaktır. Uygulama erişim ayarını alanınızın tamamına uygulamak için öne eğik çizgi ("/") girin. Erişim ayarlarını belirli kuruluş birimlerine uygulamak için her kuruluş birimi için e-tabloya bir satır ekleyin ve Uygulama adı, Türü ve kimliğini tekrar edin. (örneğin, "/kuruluş_birimi_1/alt_birim_1"). |
| Erişim | Yes | Güvenilir, engellenmiş veya sınırlı seçeneklerinden biri. |
OAuth hataları
Bu yeni yönetici denetimleriyle birlikte iki hata mesajı kullanıma sunuldu.
- Hata 400: access_not_configured - Uygulamanız yapılandırılmadığı için OAuth bağlantısı reddedildiğinde alınır.
- Hata 400: admin_policy_enforced - Yönetici, uygulamanızı engellediği için OAuth bağlantısı reddedildiğinde alınır.
18 yaşından küçük olarak tanımlanan kullanıcılar
Yöneticiler, 18 yaşından küçük olarak tanımlanan kullanıcılar için yapılandırılmamış üçüncü taraf uygulamalarına erişimi yönetebilir. Bir kullanıcı "Erişim engellendi: Kuruluşunuzun yöneticisinin [uygulama adı ]" öğesini incelemesi gerekiyor" hatasıyla karşılaşırsa hata mesajının içinden erişim isteğinde bulunmalıdır. Böylece, yöneticinin üçüncü taraf uygulamayı incelemesi sağlanır. Yöneticiler, üçüncü taraf uygulamalarına izin vermeye ya da bu uygulamaları engellemeye karar verebilir.