Делегирование на уровне домена позволяет суперадминистраторам Google Workspace for Education предоставлять сторонним приложениям разрешение на доступ к данным пользователей в их домене, не требуя согласия конкретного пользователя. Делегирование на уровне домена выполняется в консоли администратора Google путем указания идентификатора клиента сервисного аккаунта или стороннего приложения.
Сервисная учетная запись — это учетная запись, принадлежащая проекту Google Cloud, а не отдельному пользователю. Приложения могут запрашивать доступ к API Google от имени учетной записи службы, а не от имени отдельных конечных пользователей. Учетные записи служб настраиваются в консоли Google Cloud.
Идентификатор клиента OAuth – это общедоступный идентификатор, используемый для идентификации приложений на серверах Google.
Настройка делегирования на уровне домена
Суперадминистратор Google Workspace может настроить сервисный аккаунт или идентификатор клиента OAuth с делегированием на уровне домена в консоли администратора.
- В консоли администратора перейдите в Главное меню Безопасность > Управление доступом и данными > Элементы управления API .
- В разделе «Делегирование всего домена» выберите «Управление делегированием всего домена» .
- Нажмите Добавить новый .
- Введите идентификатор клиента сервисной учетной записи или идентификатор клиента OAuth приложения в поле «Идентификатор клиента» . Введите список областей OAuth, которые должны быть предоставлены учетной записи службы или приложению, в поле Области OAuth .
- Нажмите «Авторизовать» .
Если администратор устанавливает приложение для домена из Google Workspace Marketplace, учетные записи служб, используемые этим приложением, не нужно настраивать вручную. Необходимые разрешения автоматически предоставляются во время установки.
Ресурсы
- Лучшие практики делегирования на уровне домена