Google đã ra mắt các chế độ cài đặt kiểm soát quyền truy cập vào ứng dụng để giúp quản trị viên Google Workspace for Education dễ dàng hơn trong việc kiểm soát cách các ứng dụng bên thứ ba truy cập vào dữ liệu của tổ chức trên Google khi người dùng đăng nhập bằng tài khoản Google Workspace for Education. Mặc dù nhà phát triển ứng dụng bên thứ ba không cần làm gì cả, nhưng dưới đây là một số phương pháp hay nhất mà các nhà phát triển khác cho thấy.
Sử dụng OAuth gia tăng
Bạn có thể sử dụng tính năng uỷ quyền gia tăng để ban đầu chỉ yêu cầu các phạm vi cần thiết để khởi động ứng dụng, sau đó yêu cầu thêm các phạm vi khi cần có các quyền mới. Sau đó, ngữ cảnh ứng dụng sẽ xác định lý do gửi yêu cầu cho người dùng.
Khi đăng nhập, ứng dụng của bạn sẽ yêu cầu các phạm vi cơ bản chẳng hạn như hồ sơ phạm vi đăng nhập và các phạm vi ban đầu khác mà ứng dụng yêu cầu cho hoạt động. Sau đó, khi người dùng muốn thực hiện một hành động cần thêm phạm vi, ứng dụng của bạn sẽ yêu cầu các phạm vi bổ sung đó và người dùng chỉ uỷ quyền các phạm vi mới từ màn hình xin phép.
Khi tạo một tiện ích bổ sung cho Google Lớp học, bạn nên làm theo hướng dẫn của Google Workspace Marketplace về việc cung cấp danh sách đầy đủ các phạm vi OAuth mà ứng dụng của bạn yêu cầu. Điều này là cần thiết để quản trị viên hiểu phạm vi mà người dùng miền được yêu cầu đồng ý.
Đảm bảo tất cả ứng dụng đều được OAuth xác minh
Tất cả ứng dụng truy cập vào API của Google đều phải xác minh rằng chúng thể hiện chính xác danh tính và ý định của mình theo chỉ định trong Chính sách dữ liệu người dùng dịch vụ API của Google. Nếu bạn duy trì nhiều ứng dụng sử dụng API của Google, hãy đảm bảo rằng từng ứng dụng đều đã được xác minh. Quản trị viên có thể xem tất cả mã ứng dụng khách OAuth liên kết với thương hiệu đã xác minh của bạn. Để giúp quản trị viên tránh việc định cấu hình mã ứng dụng OAuth không chính xác, hãy sử dụng các dự án Google Cloud riêng biệt cho hoạt động kiểm thử và sản xuất, đồng thời xoá tất cả mã ứng dụng khách OAuth không dùng đến.
Xác minh bằng API OAuth là một quy trình mà Google Cloud Platform sử dụng để đảm bảo những ứng dụng yêu cầu phạm vi nhạy cảm hoặc bị hạn chế đều an toàn và tuân thủ. Quy trình xác minh giúp bảo vệ người dùng và dữ liệu trên Google Cloud khỏi bị truy cập trái phép.
Ứng dụng yêu cầu phạm vi nhạy cảm hoặc bị hạn chế phải tuân thủ Chính sách dữ liệu người dùng của Dịch vụ API của Google. Chính sách này yêu cầu ứng dụng phải bảo vệ dữ liệu người dùng và chỉ sử dụng dữ liệu cho các mục đích mà người dùng đã cho phép. Các ứng dụng cũng có thể cần trải qua một bài đánh giá bảo mật độc lập để xác minh rằng ứng dụng đáp ứng các yêu cầu về bảo mật của Google Cloud.
Xin lưu ý rằng quy trình xác minh API OAuth có thể mất đến vài tuần để hoàn tất. Sau khi ứng dụng của bạn được xác minh, bạn có thể yêu cầu các phạm vi nhạy cảm hoặc bị hạn chế mà mình cần.
Hãy tham khảo Câu hỏi thường gặp về quy trình xác minh bằng API OAuth để biết thêm thông tin chi tiết.
Xử lý nhiều mã ứng dụng OAuth
Một dự án trên Google Cloud có thể có nhiều mã ứng dụng khách OAuth, và điều này có thể yêu cầu quản trị viên miền phải định cấu hình quyền truy cập của bạn nhiều lần.
Đảm bảo tính chính xác của mã ứng dụng OAuth
Hãy kiểm tra với nhóm phát triển của bạn để hiểu mã ứng dụng khách OAuth nào đang được dùng để tích hợp với Google OAuth. Sử dụng 2 dự án Google Cloud để kiểm thử và thực hiện nhằm giúp quản trị viên nắm được mã ứng dụng khách OAuth nào cần định cấu hình. Xoá mọi mã ứng dụng khách không dùng nữa hoặc lỗi thời khỏi dự án chính thức.
Tải tệp CSV lên
Nếu có nhiều mã ứng dụng khách, bạn nên tận dụng tuỳ chọn Tải tệp CSV lên hàng loạt để giúp quản trị viên nhanh chóng định cấu hình tất cả các ứng dụng của bạn.
Các trường đó bao gồm:
| Trường | Bắt buộc | Ghi chú |
|---|---|---|
| Tên ứng dụng | Không | Nhập tên ứng dụng. Những thay đổi bạn thực hiện đối với tên ứng dụng trong tệp CSV sẽ không cập nhật trong Bảng điều khiển dành cho quản trị viên. |
| Loại | Có | Một trong ứng dụng web, Android hoặc iOS. |
| Mã nhận dạng | Có | Đối với ứng dụng web, hãy nhập mã ứng dụng khách OAuth được cấp cho ứng dụng. Đối với các ứng dụng Android và iOS, hãy nhập mã ứng dụng khách OAuth hoặc mã gói/mã gói mà ứng dụng dùng trong Google Play hoặc Apple App Store. |
| Đơn vị tổ chức | Có | Khách hàng cần điền vào. Nhập dấu gạch chéo lên thức để áp dụng chế độ cài đặt quyền truy cập của ứng dụng cho toàn bộ miền. Để áp dụng chế độ cài đặt quyền truy cập cho các đơn vị tổ chức cụ thể, hãy thêm một hàng vào bảng tính cho từng đơn vị tổ chức và lặp lại tên Ứng dụng, Loại và Mã. (ví dụ: "/org_unit_1/sub_unit_1"). |
| Quyền truy cập | Có | Một trong các trạng thái đáng tin cậy, bị chặn hoặc bị giới hạn. |
Lỗi OAuth
2 thông báo lỗi đã được đưa ra cùng với các công cụ kiểm soát mới này dành cho quản trị viên.
- Lỗi 400: access_not_configure – nhận được khi kết nối OAuth bị từ chối do ứng dụng của bạn chưa được định cấu hình.
- Lỗi 400: admin_policy_enforced – nhận được khi kết nối OAuth bị từ chối vì quản trị viên đã chặn ứng dụng của bạn.
Người dùng được xác định là dưới 18 tuổi
Quản trị viên có thể quản lý quyền truy cập vào các ứng dụng bên thứ ba chưa thiết lập cho người dùng được xác định là dưới 18 tuổi. Nếu người dùng gặp lỗi "Đã chặn quyền truy cập: Quản trị viên của tổ chức của bạn cần xem lại [tên ứng dụng]", thì họ phải yêu cầu quyền truy cập từ trong thông báo lỗi. Việc này cho phép quản trị viên xem xét ứng dụng bên thứ ba. Quản trị viên có thể quyết định cho phép hay chặn các ứng dụng bên thứ ba.