Mit der domainweiten Delegierung können Super Admins von Google Workspace for Education Drittanbieteranwendungen die Berechtigung zum Zugriff auf Daten von Nutzern innerhalb ihrer Domain gewähren, ohne dass die Einwilligung eines bestimmten Nutzers erforderlich ist. Die domainweite Delegierung wird in der Admin-Konsole durchgeführt. Dazu geben Sie die Client-ID eines Dienstkontos oder einer Drittanbieteranwendung an.
Ein Dienstkonto ist ein Konto, das zu einem Google Cloud-Projekt und nicht zu einem einzelnen Nutzer gehört. Anwendungen können im Namen des Dienstkontos und nicht im Namen einzelner Endnutzer Zugriff auf Google APIs anfordern. Dienstkonten werden in der Google Cloud Console eingerichtet.
Eine OAuth-Client-ID ist eine öffentliche Kennung, mit der Anwendungen auf Google-Servern identifiziert werden.
Domainweite Delegierung einrichten
Ein Google Workspace-Super Admin kann das Dienstkonto oder die OAuth-Client-ID mit domainweiter Delegierung in der Admin-Konsole einrichten.
- Gehen Sie in der Admin-Konsole zu Hauptmenü > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung.
- Wählen Sie unter Domainweite Delegierung die Option Domainweite Delegierung verwalten aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie in das Feld Client-ID die Client-ID des Dienstkontos oder die OAuth-Client-ID der Anwendung ein. Geben Sie in das Feld OAuth-Bereiche die Liste der OAuth-Bereiche ein, die dem Dienstkonto oder der Anwendung gewährt werden sollen.
- Klicken Sie auf Autorisieren.
Wenn ein Administrator eine Anwendung für eine Domain aus dem Google Workspace Marketplace installiert, müssen die von dieser Anwendung verwendeten Dienstkonten nicht manuell eingerichtet werden. Die erforderlichen Berechtigungen werden während der Installation automatisch erteilt.