Google 推出了應用程式存取權控制項設定,讓 Google Workspace for Education 管理員更輕鬆地控管第三方應用程式存取貴機構 Google 資料的方式,當使用者使用 Google Workspace for Education 帳戶登入時,即可使用這項功能。第三方應用程式開發人員不需要採取任何行動,但下列是其他開發人員認為實用的最佳做法。
使用漸進式 OAuth
您可以使用漸進式授權,一開始只要求啟動應用程式所需的範圍,然後在需要新權限時再要求其他範圍。應用程式內容會向使用者說明要求的原因。
在登入時,應用程式會要求基本範圍,例如登入範圍設定檔,以及應用程式運作所需的其他初始範圍。之後,當使用者要執行需要額外範圍的動作時,應用程式會要求這些額外範圍,而使用者只會在同意畫面中授權新的範圍。
建構 Google Classroom 外掛程式時,請按照 Google Workspace Marketplace 的指南提供應用程式所需的 OAuth 範圍完整清單。這項資訊對於管理員來說十分重要,因為他們需要瞭解系統會要求網域使用者同意哪些範圍。
確保所有應用程式均已通過 OAuth 驗證
凡是存取 Google API 的應用程式,都必須按照 Google API 服務使用者資料政策的規定,驗證其如實呈現自身的身分和意圖。如果您維護多個使用 Google API 的應用程式,請確認每個應用程式都已通過驗證。管理員可以看到與已驗證品牌相關聯的所有 OAuth 用戶端 ID。為協助管理員避免設定錯誤的 OAuth 用戶端 ID,請使用不同的 Google Cloud 專案進行測試和實際作業,並刪除所有未使用的 OAuth 用戶端 ID。
OAuth API 驗證是 Google Cloud Platform 用來確保要求機密或受限制範圍的應用程式安全且符合規定的程序。驗證程序有助於保護 Google Cloud 使用者和資料,防止他人在未經授權的情況下擅自存取。
要求機密或受限制範圍的應用程式必須遵守《Google API 服務使用者資料政策》。這項政策要求應用程式保護使用者資料,並且只將資料用於使用者授權的用途。應用程式也可能需要接受獨立安全性評估,以驗證是否符合 Google Cloud 的安全性規定。
請注意,OAuth API 驗證程序最多可能需要數週才能完成。應用程式經過驗證後,您就能要求所需的敏感或受限制範圍。
詳情請參閱「OAuth API 驗證常見問題」。
處理多個 OAuth 用戶端 ID
Google Cloud 專案可能有多個 OAuth 用戶端 ID,而網域管理員可能需要多次設定存取權。
確認 OAuth 用戶端 ID 是否正確
請向開發團隊確認,哪些 OAuth 用戶端 ID 會用於整合 Google OAuth。請使用兩個不同的 Google Cloud 專案進行測試和正式版,協助管理員瞭解應設定哪些 OAuth 用戶端 ID。從實際運作的專案中刪除所有已淘汰或過時的用戶端 ID。
上傳 CSV
如果您有多個客戶 ID,建議您使用 CSV 大量上傳選項,協助管理員快速設定所有應用程式。
這些欄位包括:
| 欄位 | 必填 | 附註 |
|---|---|---|
| 應用程式名稱 | 否 | 輸入應用程式名稱。您在 CSV 檔案中對應用程式名稱所做的變更不會套用到管理控制台。 |
| 類型 | 是 | 網頁應用程式、Android 或 iOS 之一。 |
| ID | 是 | 如果是網頁應用程式,請輸入核發給該應用程式的 OAuth 用戶端 ID。 如果是 Android 和 iOS 應用程式,請輸入應用程式在 Google Play 或 Apple App Store 中使用的 OAuth 用戶端 ID、套件或軟體包 ID。 |
| 機構單位 | 是 | 由客戶填寫。 輸入正斜線 (「/」),將整個應用程式存取權設定套用至整個網域。如要為特定機構單位套用存取權設定,請在試算表中依序為各個機構單位新增資料欄,然後重複新增「App name」(應用程式名稱)、「Type」(類型) 和「ID」。例如「/org_unit_1/sub_unit_1」)。 |
| 存取 | 是 | 可選值為「可信任」、「已封鎖」或「受限制」。 |
OAuth 錯誤
這些新的管理員控制項會顯示兩則錯誤訊息。
- 錯誤 400:access_not_configured - 當 OAuth 連線因應用程式未設定而遭到拒絕時,系統會傳回這項錯誤。
- 錯誤 400:admin_policy_enforced - 當管理員封鎖應用程式,導致 OAuth 連線遭到拒絕時,會收到這項錯誤。
標示為未滿 18 歲的使用者
管理員可以管理未滿 18 歲使用者存取未設定的第三方應用程式。如果使用者看到「已封鎖存取權:貴機構的管理員需要審查[應用程式名稱]」錯誤訊息,則須在錯誤訊息中要求存取權,以便管理員審查第三方應用程式。管理員可以決定是否允許或封鎖第三方應用程式。