Google đã ra mắt chế độ cài đặt kiểm soát quyền truy cập vào ứng dụng để giúp quản trị viên Google Workspace for Education dễ dàng kiểm soát cách ứng dụng bên thứ ba truy cập vào dữ liệu trên Google của tổ chức khi người dùng đăng nhập bằng tài khoản Google Workspace for Education. Mặc dù nhà phát triển ứng dụng bên thứ ba không bắt buộc phải làm gì, nhưng dưới đây là một số phương pháp hay nhất mà các nhà phát triển khác thấy hữu ích.
Sử dụng OAuth gia tăng
Bạn có thể sử dụng tính năng uỷ quyền gia tăng để ban đầu chỉ yêu cầu các phạm vi cần thiết để khởi động ứng dụng, sau đó yêu cầu các phạm vi bổ sung khi cần cấp quyền mới. Sau đó, ngữ cảnh ứng dụng sẽ xác định lý do của yêu cầu đối với người dùng.
Khi đăng nhập, ứng dụng của bạn sẽ yêu cầu các phạm vi cơ bản như hồ sơ phạm vi đăng nhập và các phạm vi ban đầu khác mà ứng dụng của bạn cần để hoạt động. Sau đó, khi người dùng muốn thực hiện một hành động yêu cầu thêm phạm vi, ứng dụng của bạn sẽ yêu cầu những phạm vi bổ sung đó và người dùng chỉ cho phép các phạm vi mới trên màn hình đồng ý.
Khi tạo tiện ích bổ sung cho Google Lớp học, bạn nên làm theo hướng dẫn của Google Workspace Marketplace về việc cung cấp danh sách đầy đủ các phạm vi của OAuth mà ứng dụng yêu cầu. Điều này là cần thiết để quản trị viên hiểu được người dùng miền được yêu cầu đồng ý với những phạm vi nào.
Đảm bảo tất cả ứng dụng đều đã được xác minh OAuth
Tất cả ứng dụng truy cập vào API của Google phải xác minh rằng ứng dụng đó thể hiện chính xác danh tính và ý định của mình như quy định trong Chính sách dữ liệu người dùng của Dịch vụ API của Google. Nếu bạn duy trì nhiều ứng dụng sử dụng API của Google, hãy đảm bảo rằng từng ứng dụng đều đã được xác minh. Quản trị viên có thể xem tất cả mã ứng dụng OAuth liên kết với thương hiệu đã xác minh của bạn. Để giúp quản trị viên tránh định cấu hình mã ứng dụng OAuth không chính xác, hãy sử dụng các dự án Google Cloud riêng biệt để kiểm thử và sản xuất, đồng thời xoá mọi mã ứng dụng OAuth không dùng đến.
Quy trình xác minh API OAuth là quy trình mà Google Cloud Platform sử dụng để đảm bảo rằng các ứng dụng yêu cầu phạm vi nhạy cảm hoặc hạn chế đều an toàn và tuân thủ. Quy trình xác minh giúp bảo vệ người dùng và dữ liệu trên Google Cloud khỏi bị truy cập trái phép.
Ứng dụng yêu cầu phạm vi nhạy cảm hoặc bị hạn chế phải tuân thủ Chính sách dữ liệu người dùng của Dịch vụ API của Google. Chính sách này yêu cầu ứng dụng bảo vệ dữ liệu người dùng và chỉ sử dụng dữ liệu đó cho các mục đích mà người dùng đã cho phép. Các ứng dụng cũng có thể cần trải qua quy trình đánh giá bảo mật độc lập để xác minh rằng chúng đáp ứng các yêu cầu về bảo mật của Google Cloud.
Lưu ý rằng quy trình xác minh API OAuth có thể mất tối đa vài tuần để hoàn tất. Sau khi ứng dụng được xác minh, bạn có thể yêu cầu các phạm vi nhạy cảm hoặc bị hạn chế mà bạn cần.
Hãy tham khảo bài viết Câu hỏi thường gặp về việc xác minh ứng dụng để dùng API qua OAuth để biết thêm thông tin chi tiết.
Xử lý nhiều mã ứng dụng khách OAuth
Một dự án trên Google Cloud có thể có nhiều mã ứng dụng khách OAuth, do đó, quản trị viên miền có thể phải định cấu hình quyền truy cập của bạn nhiều lần.
Đảm bảo tính chính xác của mã ứng dụng khách OAuth
Kiểm tra với nhóm phát triển của bạn để biết mã ứng dụng OAuth nào đang được dùng để tích hợp với Google OAuth. Sử dụng 2 dự án Google Cloud khác nhau để kiểm thử và phát hành công khai nhằm giúp quản trị viên nắm được mã ứng dụng OAuth cần định cấu hình. Xoá mọi mã ứng dụng khách không dùng nữa hoặc đã lỗi thời khỏi các dự án phát hành công khai.
Tải tệp CSV lên
Nếu có nhiều mã ứng dụng khách, bạn nên tận dụng lựa chọn Tải lên hàng loạt bằng tệp CSV để giúp quản trị viên nhanh chóng định cấu hình tất cả ứng dụng của bạn.
Các trường đó là:
| Trường | Bắt buộc | Ghi chú |
|---|---|---|
| Tên ứng dụng | Không | Nhập tên ứng dụng. Những thay đổi bạn thực hiện đối với tên ứng dụng trong tệp CSV sẽ không cập nhật trong Bảng điều khiển dành cho quản trị viên. |
| Loại | Có | Một trong các loại ứng dụng web, Android hoặc iOS. |
| Id | Có | Đối với các ứng dụng web, hãy nhập mã ứng dụng khách OAuth được cấp cho ứng dụng. Đối với ứng dụng Android và iOS, hãy nhập mã ứng dụng khách OAuth hoặc mã gói/gói mà ứng dụng dùng trong Google Play hoặc Apple App Store. |
| Đơn vị tổ chức | Có | Khách hàng sẽ điền thông tin này. Nhập dấu gạch chéo lên ("/") để áp dụng chế độ cài đặt quyền truy cập vào ứng dụng cho toàn bộ miền. Để áp dụng chế độ cài đặt quyền truy cập cho các đơn vị tổ chức cụ thể, hãy thêm một hàng vào bảng tính cho mỗi đơn vị tổ chức, lặp lại Tên ứng dụng, Loại và Mã. (ví dụ: "/org_unit_1/sub_unit_1"). |
| Quyền truy cập | Có | Một trong các trạng thái đáng tin cậy, bị chặn hoặc bị giới hạn. |
Lỗi OAuth
Chúng tôi đã ra mắt hai thông báo lỗi với các chế độ kiểm soát mới dành cho quản trị viên này.
- Lỗi 400: access_not_configure – nhận được khi kết nối OAuth bị từ chối vì ứng dụng của bạn chưa được định cấu hình.
- Lỗi 400: admin_policy_enforced – xảy ra khi một kết nối OAuth bị từ chối vì quản trị viên đã chặn ứng dụng của bạn.
Người dùng được chỉ định là dưới 18 tuổi
Quản trị viên có thể quản lý quyền truy cập vào các ứng dụng bên thứ ba chưa được thiết lập cho người dùng được chỉ định là dưới 18 tuổi. Nếu gặp lỗi "Quyền truy cập bị chặn: Quản trị viên của tổ chức cần xem xét [tên ứng dụng]", người dùng phải yêu cầu quyền truy cập trong thông báo lỗi. Việc này cho phép quản trị viên của họ xem xét ứng dụng bên thứ ba. Quản trị viên có thể quyết định cho phép hay chặn các ứng dụng bên thứ ba.