Semua aplikasi yang mengakses Google API harus memverifikasi bahwa aplikasi tersebut merepresentasikan identitas dan sebagaimana ditetapkan oleh Pengguna Layanan API Google Kebijakan Data kami. Untuk melindungi Anda dan pengguna bersama Google dan aplikasi Anda, layar izin Anda dan aplikasi tersebut mungkin memerlukan verifikasi oleh Google.
Aplikasi Anda memerlukan verifikasi jika memenuhi semua kriteria berikut:
- Di Google API Console, konfigurasi aplikasi Anda disetel untuk pengguna jenis External. Ini berarti aplikasi Anda tersedia untuk semua pengguna dengan langganan menggunakan Akun Layanan Anda.
- Anda ingin aplikasi menampilkan logo atau nama tampilan di layar izin OAuth.
Jika menyertakan informasi merek yang terverifikasi, Anda dapat meningkatkan kemungkinan pengguna mengenalinya brand Anda dan memutuskan untuk memberikan akses ke aplikasi Anda. Informasi merek yang terverifikasi juga dapat menyebabkan lebih sedikit pencabutan di lain waktu saat pengguna atau administrator Google Workspace meninjau aplikasi dan layanan pihak ketiga yang memiliki akses ke akun. Proses verifikasi merek layar izin OAuth biasanya membutuhkan 2-3 bisnis hari setelah Anda mengirimkan permohonan verifikasi.
Jika Anda gagal mengirim permohonan verifikasi merek, hal ini dapat mengakibatkan penurunan jumlah pengguna kepercayaan terhadap permintaan Anda atas data mereka, yang dapat mengakibatkan lebih sedikit otorisasi pengguna dan pencabutan di kemudian hari.
Layar persetujuan OAuth
Layar persetujuan memberi tahu pengguna siapa yang meminta akses ke data mereka dan jenis data apa perlu diakses atas namanya, seperti yang disorot dalam Kotak 2 pada gambar 1.
Saat aplikasi Anda melalui proses verifikasi merek dan menerima persetujuan, identitas aplikasi dan kebijakan data pengguna akan lebih mudah dipahami dengan jelas oleh yang memberikan izin. Pemahaman yang jelas ini dapat meningkatkan kemungkinan pemegang akun memberikan otorisasi atas permintaan Anda dan mempertahankan akses saat meninjau kemungkinan pencabutan di halaman Akun Google mereka. Konten yang Anda konfigurasikan di OAuth Consent Screen page pada API Console mengisi komponen berikut:
- Nama dan logo aplikasi Anda (seperti yang ditampilkan dalam Kotak 1 di gambar 1)
- Email dukungan pengguna Anda, yang muncul setelah nama aplikasi dipilih (Kotak 2 dari gambar 1.)
- Link ke kebijakan privasi dan persyaratan layanan Anda (Kotak 3 dari gambar 1)
Authorized domains
Sebagai bagian dari proses verifikasi merek, Google mewajibkan verifikasi semua domain yang yang terkait dengan kredensial dan layar izin OAuth aplikasi. Kami meminta Anda untuk memverifikasi komponen domain yang tersedia untuk pendaftaran pada akhiran publik: "top private domain". Misalnya, layar izin OAuth yang dikonfigurasi dengan aplikasi halaman beranda https://sub.example.com/product meminta pemegang akun untuk memverifikasi kepemilikan domain example.com.
Bagian Domain yang diotorisasi pada editor layar izin OAuth harus berisi bagian atas domain pribadi yang digunakan dalam URI di bagian Domain aplikasi. Domain ini mencakup halaman beranda aplikasi, kebijakan privasi, dan persyaratan layanan. Bagian Domain yang diotorisasi juga perlu menyertakan URI pengalihan dan/atau asal JavaScript yang diotorisasi di application" Jenis klien OAuth.
Verifikasi kepemilikan domain yang diotorisasi menggunakan Google Search Console. Google Akun dengan izin pemilik untuk domain harus dikaitkan dengan API Console project yang menggunakan domain resmi tersebut. Untuk informasi selengkapnya tentang verifikasi domain di Google Penelusuran Konsol, lihat Verifikasi situs Anda kepemilikan.
Langkah-langkah untuk mempersiapkan verifikasi
Semua aplikasi yang menggunakan Google API untuk meminta akses ke data harus melakukan langkah-langkah berikut untuk menyelesaikan verifikasi merek:
- Pastikan aplikasi Anda tidak termasuk dalam salah satu kasus penggunaan di Bagian Pengecualian untuk persyaratan verifikasi.
- Pastikan aplikasi Anda mematuhi persyaratan branding API terkait atau Google. Misalnya, lihat pedoman branding untuk cakupan Login dengan Google.
- Verifikasi kepemilikan domain resmi project Anda dalam Google Search Console. Gunakan Akun yang terkait dengan project API Console Anda sebagai Pemilik atau Editor.
- Pastikan semua informasi branding di layar izin OAuth, seperti nama aplikasi, email dukungan, URI halaman beranda, URI kebijakan privasi, dll., secara akurat mewakili identitas aplikasi.
Persyaratan halaman beranda aplikasi
Pastikan halaman beranda Anda memenuhi persyaratan berikut:
- Halaman beranda Anda harus dapat diakses secara publik, dan tidak hanya dapat diakses oleh pengguna yang login ke situs Anda pelanggan.
- Relevansi halaman beranda Anda dengan aplikasi yang sedang dalam peninjauan harus jelas.
- Link ke listingan aplikasi Anda di Google Play Store atau halaman Facebook-nya tidak dipertimbangkan halaman beranda aplikasi yang valid.
Persyaratan link kebijakan privasi aplikasi
Pastikan kebijakan privasi aplikasi Anda memenuhi persyaratan berikut:
- Kebijakan privasi harus terlihat oleh pengguna, dihosting dalam domain yang sama dengan halaman beranda aplikasi, dan ditautkan ke layar izin OAuth di Google API Console. Perhatikan bahwa laman beranda harus menyertakan deskripsi fungsi aplikasi, serta tautan ke kebijakan privasi dan persyaratan layanan opsional.
- Kebijakan privasi harus mengungkapkan cara aplikasi Anda mengakses, menggunakan, menyimpan, atau membagikan data pengguna Google. Anda harus membatasi penggunaan data pengguna Google oleh praktik yang Anda publikasikan terungkap oleh kebijakan privasi.
Cara mengirimkan aplikasi untuk verifikasi
Sebuah Google API Console project mengatur semua API Console . Sebuah proyek terdiri dari sekumpulan elemen yang saling terkait Akun Google yang memiliki izin untuk menjalankan operasi project, sekumpulan API yang diaktifkan, dan setelan penagihan, autentikasi, dan pemantauan untuk API tersebut. Misalnya, sebuah proyek dapat berisi satu atau beberapa klien OAuth, mengonfigurasi API untuk digunakan oleh klien tersebut, dan Layar izin OAuth yang ditampilkan kepada pengguna sebelum mereka mengizinkan akses ke aplikasi Anda.
Jika salah satu klien OAuth Anda belum siap untuk produksi, sebaiknya hapus klien tersebut dari proyek yang meminta verifikasi. Anda dapat melakukannya di Google API Console.
Untuk mengirimkan verifikasi, ikuti langkah-langkah berikut:
- Pastikan aplikasi Anda mematuhi Persyaratan Layanan Google API, dan Kebijakan Data Pengguna Layanan Google API.
- Pastikan peran pemilik dan editor untuk akun terkait project Anda tetap aktual, serta Email dukungan pengguna dan informasi kontak developer layar izin OAuth, di API Console. Hal ini memastikan bahwa anggota yang benar dari pemberitahuan tentang persyaratan baru.
- Buka API Console OAuth Consent Screen pageAnda.
- Klik tombol Project selector.
-
Pada dialog Select from yang muncul, pilih project Anda. Jika tidak dapat menemukan project, tetapi mengetahui project ID, Anda dapat membuat URL di browser dalam format berikut:
https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]
Ganti [PROJECT_ID] dengan project ID yang ingin Anda gunakan.
- Pilih tombol Edit Aplikasi.
- Masukkan informasi yang diperlukan di halaman layar izin OAuth, lalu pilih tombol Simpan lalu lanjutkan.
- Gunakan tombol Tambahkan atau hapus cakupan untuk mendeklarasikan semua cakupan yang diminta oleh aplikasi Anda. Set cakupan awal yang diperlukan untuk Login dengan Google telah diisi otomatis di bagian Cakupan non-sensitif. Cakupan yang ditambahkan diklasifikasikan sebagai tidak sensitif, sensitive, or restricted.
- Berikan hingga tiga link ke dokumentasi yang relevan untuk fitur terkait di aplikasi Anda.
-
Berikan informasi tambahan yang diminta tentang aplikasi Anda pada bagian berikutnya langkah.
- Jika konfigurasi aplikasi yang Anda berikan memerlukan verifikasi, Anda dapat mengirimkan aplikasi untuk verifikasi. Isi kolom yang wajib diisi, lalu klik Kirim untuk memulai proses verifikasi.
Setelah Anda mengirimkan aplikasi, tim Kepercayaan & Tim keselamatan menindaklanjuti melalui email dengan informasi tambahan yang mereka butuhkan atau langkah-langkah yang harus Anda selesaikan. Periksa alamat email Anda di Bagian Informasi kontak developer dan email dukungan izin OAuth Anda layar untuk permintaan informasi tambahan. Anda juga dapat melihat izin OAuth project Anda halaman layar untuk mengonfirmasi status tinjauan proyek Anda saat ini, termasuk apakah proses peninjauan dijeda sementara kami menunggu respons Anda.
Pengecualian untuk persyaratan verifikasi
Jika aplikasi Anda akan digunakan dalam salah satu skenario yang dijelaskan di bagian berikut, Anda tidak perlu mengirimkannya untuk ditinjau.
Penggunaan pribadi
Salah satu kasus penggunaannya adalah jika Anda adalah satu-satunya pengguna aplikasi atau jika aplikasi Anda digunakan hanya oleh beberapa pengguna, yang mereka semua dikenal secara pribadi oleh Anda. Anda dan jumlah pengguna yang terbatas mungkin tidak keberatan melewati berbagai tahap aplikasi belum diverifikasi layar dan memberi akun pribadi Anda akses ke aplikasi.
Project yang digunakan dalam Pengembangan, Pengujian, atau Staging tingkatan
Untuk mematuhi Kebijakan Google OAuth 2.0, sebaiknya Anda memiliki project yang berbeda untuk lingkungan pengujian dan produksi. Sebaiknya Anda hanya mengirimkan aplikasi untuk verifikasi jika Anda ingin membuat aplikasi Anda tersedia untuk semua pengguna yang memiliki Akun Google. Oleh karena itu, jika aplikasi Anda sedang dalam tahap pengembangan, pengujian, atau staging, verifikasi tidak diperlukan.
Jika aplikasi berada dalam fase pengembangan atau pengujian, Anda dapat membiarkan Status Publikasi di pengaturan {i>default <i}dari Pengujian. Setelan ini berarti bahwa aplikasi Anda masih dalam pengembangan dan hanya untuk pengguna yang Anda tambahkan ke daftar pengguna uji coba. Anda harus mengelola daftar Akun Google yang terlibat dalam pengembangan atau pengujian aplikasi.
Khusus data milik layanan
Jika aplikasi Anda menggunakan akun layanan untuk mengakses datanya sendiri, dan tidak mengakses pengguna mana pun data (ditautkan ke Akun Google), maka Anda tidak perlu mengirimkannya untuk verifikasi.
Untuk memahami akun layanan, lihat Akun layanan dalam dokumentasi Google Cloud. Untuk petunjuk cara menggunakan akun layanan, lihat Menggunakan OAuth 2.0 untuk server ke server aplikasi.
Khusus penggunaan internal
Artinya, aplikasi hanya digunakan oleh pengguna Google Workspace atau Cloud Identity Anda organisasi. Project harus dimiliki oleh organisasi, dan layar izin OAuth-nya perlu dikonfigurasi untuk Pengguna Internal jenis iklan. Dalam hal ini, aplikasi Anda mungkin memerlukan persetujuan dari administrator organisasi. Sebagai informasi selengkapnya, lihat Tambahan untuk Google Workspace.
- Pelajari lebih lanjut cara publik dan aplikasi internal.
- Pelajari cara menandai aplikasi Anda sebagai internal di FAQ Bagaimana cara menandai aplikasi saya sebagai khusus internal?
Penginstalan di seluruh domain
Jika Anda ingin aplikasi hanya menargetkan pengguna Google Workspace atau Cloud Identity organisasi dan selalu menggunakan seluruh domain penginstalan, maka aplikasi Anda tidak akan memerlukan verifikasi aplikasi. Hal ini karena domain di seluruh memungkinkan administrator domain memberikan akses kepada aplikasi internal dan pihak ketiga ke pengguna Anda layanan otomatis dan data skalabel. Administrator organisasi adalah satu-satunya akun yang dapat menambahkan aplikasi ke yang diizinkan untuk digunakan di domain mereka.
Pelajari cara menjadikan aplikasi Anda sebagai Penginstalan Tingkat Domain di FAQ Aplikasi saya memiliki pengguna dengan akun perusahaan dari Domain Google Workspace lain.