Google 推出了應用程式存取權控管設定,讓 Google Workspace for Education 管理員能更輕鬆地控管第三方應用程式在使用者透過 Google Workspace for Education 帳戶登入時存取其機構的 Google 資料。雖然第三方應用程式開發人員不需要採取任何行動,但以下提供一些其他開發人員認為實用的最佳做法。
使用漸進式 OAuth
您可以使用增量授權,先只要求啟動應用程式所需的範圍,然後要求其他權限以提供新權限。然後應用程式結構定義會識別向使用者要求的原因。
應用程式在登入時,會要求基本範圍,例如登入範圍設定檔,以及應用程式執行作業所需的其他初始範圍。日後使用者想要執行需要額外範圍的動作時,您的應用程式會要求這些額外範圍,而使用者僅會透過同意畫面授權新範圍。
建立 Google Classroom 外掛程式時,應按照 Google Workspace Marketplace 指南提供應用程式所需的 OAuth 範圍完整清單。管理員必須瞭解網域使用者要同意哪些範圍。
確保所有應用程式皆已通過 OAuth 驗證
所有存取 Google API 的應用程式都必須驗證應用程式是否符合 Google API 服務使用者資料政策指定的身分和意圖。如果您維護多個使用 Google API 的應用程式,請確保每個應用程式都已通過驗證。管理員可能會看到與已驗證品牌相關聯的所有 OAuth 用戶端 ID。為了協助管理員避免設定不正確的 OAuth 用戶端 ID,請分別使用不同的 Google Cloud 專案測試和實際工作環境,並刪除所有未使用的 OAuth 用戶端 ID。
Google Cloud Platform 會透過 OAuth API 驗證流程,確保要求機密或受限制範圍的應用程式安全無虞且符合法規。驗證程序有助於保護 Google Cloud 使用者和資料,避免未經授權的存取行為。
要求敏感或受限制範圍的應用程式必須符合《Google API 服務使用者資料政策》。這項政策規定應用程式必須保護使用者資料,並只用於使用者授權的用途。應用程式可能也需要接受獨立安全性評估,以確保符合 Google Cloud 的安全性要求。
請注意,OAuth API 驗證程序最多可能需要數週才能完成。應用程式通過驗證後,您就可以要求所需的機密或受限制範圍。
詳情請參閱 OAuth API 驗證常見問題。
處理多個 OAuth 用戶端 ID
Google Cloud 專案可能會有多個 OAuth 用戶端 ID,這可能需要網域管理員多次設定存取權。
確保 OAuth 用戶端 ID 正確無誤
請洽詢您的開發團隊,瞭解有哪些 OAuth 用戶端 ID 用於與 Google OAuth 整合。使用兩個不同的 Google Cloud 專案測試及實際工作環境,協助管理員瞭解要設定的 OAuth 用戶端 ID。從實際工作環境專案中刪除所有已淘汰或過時的用戶端 ID。
上傳 CSV 檔案
如果您有多個用戶端 ID,建議您使用 CSV 大量上傳選項,協助管理員快速設定所有應用程式。
這些欄位包括:
| 欄位 | 需要 | Notes |
|---|---|---|
| 應用程式名稱 | 否 | 輸入應用程式名稱。您在 CSV 檔案中對應用程式名稱所做的變更不會套用到管理控制台。 |
| 類型 | 是 | 網頁應用程式、Android 或 iOS 其中之一。 |
| ID | 是 | 如果是網頁應用程式,請輸入核發給該應用程式的 OAuth 用戶端 ID。 如果是 Android 和 iOS 應用程式,請輸入應用程式在 Google Play 或 Apple App Store 中使用的 OAuth 用戶端 ID、套件或軟體包 ID。 |
| 機構單位 | 是 | 由客戶填寫。 輸入正斜線 ('/'),即可將應用程式存取權設定套用至整個網域。如要為特定機構單位套用存取權設定,請在試算表中為每個機構單位新增一列,並重複應用程式名稱、類型和 ID。(例如「/org_unit_1/sub_unit_1」)。 |
| 存取權 | 是 | 可以是「可信任」、「已封鎖」或「受限制」。 |
OAuth 錯誤
新的管理員控制項加入了兩則錯誤訊息。
- 錯誤 400:access_not_setting - 當 OAuth 連線因為尚未設定而遭到拒絕時收到。
- 錯誤 400:admin_policy_enforced - 發生 OAuth 連線遭拒的原因是管理員已封鎖您的應用程式。
標示為未滿 18 歲的使用者
管理員可以為標示為未滿 18 歲的使用者管理未設定的第三方應用程式存取權。如果使用者遇到「已封鎖存取權:貴機構管理員需要審查 [應用程式名稱]」錯誤訊息,就必須在錯誤訊息中要求存取權。如此一來,管理員可以審查第三方應用程式。管理員可以允許或封鎖第三方應用程式。