Marka doğrulaması için gönder

Google API'lerine erişen tüm uygulamalar, kimliklerini ve niyetlerini Google'ın API Hizmetleri Kullanıcı Verileri Politikası'nda belirtildiği şekilde doğru şekilde temsil ettiklerini doğrulamalıdır. Sizi ve uygulamanızın paylaşılan kullanıcılarını ve uygulamanızı korumak için izin ekranınızın ve uygulamanızın Google tarafından doğrulanması gerekebilir.

Uygulamanız aşağıdaki ölçütlerin tümünü karşılıyorsa doğrulama gerektirir:

  • Google API Console'da uygulamanızın yapılandırması, Harici kullanıcı türü için ayarlanmıştır. Yani uygulamanız Google Hesabı olan tüm kullanıcılar tarafından kullanılabilir.
  • Uygulamanızın OAuth izin ekranında bir logo veya görünen ad görüntülemesini istersiniz.

Doğrulanmış marka bilgilerini eklerseniz kullanıcıların markanızı tanıma ve uygulamanıza erişim izni vermeye karar verme olasılığını artırabilirsiniz. Ayrıca doğrulanmış marka bilgileri, daha sonra bir kullanıcı veya Google Workspace yöneticisinin hesaba erişimi olan üçüncü taraf uygulamaları ve hizmetleri incelemesinde daha az iptal işlemi yapılmasını sağlayabilir. OAuth izin ekranı marka doğrulama süreci, doğrulamayı göndermenizin ardından genellikle 2-3 iş günü sürer.

Marka doğrulaması için başvurunuzu gönderememeniz, kullanıcıların veri isteğinize duyduğu güvenin azalmasına neden olabilir. Bunun sonucunda da daha az kullanıcı yetkilendirmesi ve daha fazla iptal işlemi gerçekleştirilebilir.

Şekil 1'deki Kutu 2'de vurgulandığı gibi izin ekranı, kullanıcılara verilerine kimin erişim istediğini ve uygulamanızın kullanıcılar adına ne tür verilere erişmesi gerektiğini söyler.

Uygulamanız marka doğrulama sürecinden geçip onay aldığında, uygulamanızın kimliği ve kullanıcı verileri politikalarının, izin veren hesap tarafından net bir şekilde anlaşılması daha olasıdır. Bu anlayışın net bir şekilde anlaşılması, hesap sahibinin isteklerinize yetki verme olasılığını artırabilir ve Google Hesabı sayfasında olası iptalleri incelerken erişimi sürdürmesini sağlayabilir. OAuth Consent Screen page öğesinde yapılandırdığınız API Console içerik, aşağıdaki bileşenleri doldurur:

  1. Uygulamanızın adı ve logosu (Şekil 1'deki 1. kutuda gösterildiği gibi)
  2. Uygulama adınız seçildikten sonra görünen kullanıcı destek e-postanız (Şekil 1'in 2. kutusu)
  3. Gizlilik politikanız ve hizmet şartlarınızın bağlantıları (Şekil 1'in 3. kutusu)
Numaralı etiketler, onaylı marka bilgileri içeren bir projedeki OAuth izin ekranının farklı özelliklerini gösterir.
Şekil 1. OAuth izin ekranı örneği.

Yetkilendirilen alanlar

Marka doğrulama süreci kapsamında Google, bir uygulamanın OAuth izin ekranı ve kimlik bilgileriyle ilişkili tüm alanların doğrulanmasını zorunlu kılar. Herkese açık bir son ekte kayıt için uygun olan alan bileşenini doğrulamanızı istiyoruz: "gizli üst düzey alan." Örneğin, https://sub.example.com/product uygulama ana sayfası ile yapılandırılan bir OAuth izin ekranı, hesap sahibinden example.com alanının sahipliğini doğrulamasını ister.

OAuth izin ekranı düzenleyicisinin Yetkili alanlar bölümü, Uygulama alanı bölümündeki URI'larda kullanılan en gizli gizli alanları içermelidir. Bu alan adları arasında uygulama ana sayfası, gizlilik politikası ve hizmet şartları yer alır. Yetkilendirilen alanlar bölümünde, "Web uygulaması" OAuth istemci türlerinizde yetkilendirilen yönlendirme URI'leri ve/veya JavaScript kaynakları da bulunmalıdır.

Google Search Console'u kullanarak yetkili alanlarınızın sahipliğini doğrulayın. Bir alan için sahip izinlerine sahip bir Google Hesabı, API Console söz konusu yetkili alanı kullanan projeyle ilişkilendirilmelidir. Google Search Console'daki alan doğrulamaları hakkında daha fazla bilgi için Sitenin sahibi olduğunuzu doğrulama başlıklı makaleyi inceleyin.

Doğrulamaya hazırlanma adımları

Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamalar, marka doğrulamasını tamamlamak için aşağıdaki adımları uygulamalıdır:

  1. Uygulamanızın, Doğrulama şartları istisnaları bölümündeki kullanım alanlarının hiçbirine girmediğini onaylayın.
  2. Uygulamanızın, ilişkili API'lerin veya ürünün marka gereksinimleriyle uyumlu olduğundan emin olun. Örneğin, Google ile Oturum Açma kapsamları için marka bilinci oluşturma yönergelerine bakın.
  3. Google Search Console'da projenizin yetkili alanlarının sahipliğini doğrulayın. Projenizle ilişkili bir Google Hesabı'nı API Console Sahip veya Düzenleyici olarak kullanın.
  4. OAuth kullanıcı rızası ekranında uygulama adı, destek e-postası, ana sayfa URI'si, gizlilik politikası URI'si gibi marka bilgilerinin uygulamanın kimliğini doğru şekilde temsil ettiğinden emin olun.

Uygulama ana sayfası gereksinimleri

Ana sayfanızın aşağıdaki koşulları karşıladığından emin olun:

  • Ana sayfanız herkesin erişimine açık olmalı, yalnızca sitenize giriş yapan kullanıcılar tarafından erişilebilir olmamalıdır.
  • Ana sayfanızın incelenmekte olan uygulamayla alaka düzeyi açıkça belirtilmelidir.
  • Uygulamanızın Google Play Store'daki veya Facebook sayfasındaki giriş bağlantıları, geçerli uygulama ana sayfası olarak kabul edilmez.

Uygulama gizlilik politikası bağlantı şartları

Uygulamanızın gizlilik politikasının aşağıdaki şartları karşıladığından emin olun:

  • Gizlilik politikası; kullanıcılar tarafından görülebilmeli, uygulamanızın ana sayfasıyla aynı alanda barındırılmalı ve Google API Consolecihazının OAuth izin ekranında bağlantılı olmalıdır. Ana sayfada, uygulamanın işleviyle ilgili bir açıklamanın yanı sıra gizlilik politikası ve isteğe bağlı hizmet şartlarının bağlantılarının yer alması gerektiğini unutmayın.
  • Uygulamanızın, Google kullanıcı verilerine nasıl eriştiği, bu verileri nasıl kullandığı, sakladığı veya paylaştığı gizlilik politikasında açıklanmalıdır. Google kullanıcı verilerini kullanımınızı, yayınlanmış gizlilik politikanızda açıklanan uygulamalarla sınırlandırmanız gerekir.

Uygulamanızı doğrulanmak üzere gönderme

Google API Console Proje, tüm API Console kaynaklarınızı düzenler. Proje; proje işlemlerini gerçekleştirme izni olan ilişkilendirilmiş Google Hesapları, bir dizi etkin API ve bu API'ler için faturalandırma, kimlik doğrulama ve izleme ayarlarından oluşur. Örneğin, projeler bir veya daha fazla OAuth istemcisi içerebilir, bu istemciler tarafından kullanılacak API'leri yapılandırabilir ve uygulamanıza erişimi yetkilendirmeden önce kullanıcılara gösterilecek bir OAuth izin ekranı yapılandırabilir.

OAuth istemcilerinizden herhangi biri üretim için hazır değilse bunları doğrulama isteğinde bulunan projeden silmenizi öneririz. Bu işlemi Google API Consolebölümünde yapabilirsiniz.

Doğrulama için göndermek üzere aşağıdaki adımları uygulayın:

  1. Uygulamanızın Google API'leri Hizmet Şartları ve Google API Hizmetleri Kullanıcı Verileri Politikası'na uyduğundan emin olun.
  2. API Consolehesabınızda projenizle ilişkilendirilmiş hesaplardaki sahip ve düzenleyici rollerinin yanı sıra OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini güncel tutun. Bu sayede tüm yeni gereksinimler ekibinizin doğru üyelerine bildirilir.
  3. API Console OAuth Consent Screen page'a gidin.
  4. Proje seçici düğmesini tıklayın.

  5. Açılan Seçin iletişim kutusunda projenizi seçin. Projenizi bulamıyorsanız ancak proje kimliğinizi biliyorsanız tarayıcınızda aşağıdaki biçimde bir URL oluşturabilirsiniz:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    [PROJECT_ID] kısmını, kullanmak istediğiniz proje kimliğiyle değiştirin.

  6. Uygulamayı Düzenle düğmesini seçin.
  7. OAuth izin ekranı sayfasına gerekli bilgileri girin, ardından Kaydet ve devam et düğmesini seçin.
  8. Uygulamanız tarafından istenen tüm kapsamları bildirmek için Kapsam ekle veya kaldır düğmesini kullanın. Google ile Oturum Açma için gereken başlangıçtaki kapsam grubu, Hassas olmayan kapsamlar bölümünde önceden doldurulur. Eklenen kapsamlar hassas olmayan olarak sınıflandırılır: sensitive, or restricted.
  9. Uygulamanızdaki ilgili özelliklerle ilgili belgeler için en fazla üç bağlantı sağlayın.

  10. Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.

  11. Sağladığınız uygulama yapılandırması doğrulama gerektiriyorsa uygulamayı doğrulanması için gönderebilirsiniz. Zorunlu alanları doldurun ve doğrulama sürecini başlatmak için Gönder'i tıklayın.

Uygulamanızı gönderdikten sonra Google'ın Güvenlik Ekibi ihtiyaç duydukları ek bilgileri veya tamamlamanız gereken adımları içeren bir e-posta göndererek sizinle iletişime geçer. Ek bilgi istekleri için Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth izin ekranınızın destek e-posta adresini kontrol edin. Projenizin mevcut inceleme durumunu (ör. biz yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı) doğrulamak için projenizin OAuth izin ekranı sayfasını da görüntüleyebilirsiniz.

Doğrulama şartlarıyla ilgili istisnalar

Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa incelemeye göndermeniz gerekmez.

Kişisel kullanım

Bu kullanım alanlarından biri, uygulamanızın tek kullanıcısı olmanız veya uygulamanızın, tümünü şahsen tanıdığınız birkaç kullanıcı tarafından kullanılmasıdır. Hem siz hem de sınırlı sayıda kullanıcınız, doğrulanmamış uygulama ekranı'nda ilerleyip kişisel hesaplarınızın uygulamanıza erişmesine izin vermekten çekinebilir.

Geliştirme, Test veya Hazırlık katmanlarında kullanılan projeler

Google OAuth 2.0 Politikaları'na uyabilmek için test ve üretim ortamlarına yönelik farklı projelerinizin olmasını öneririz. Uygulamanızı yalnızca Google Hesabı olan tüm kullanıcılara sunmak istiyorsanız doğrulama için göndermenizi öneririz. Bu nedenle, uygulamanız geliştirme, test veya hazırlık aşamalarındaysa doğrulama gerekmez.

Uygulamanız geliştirme veya test aşamalarındaysa Yayınlama Durumu'nu varsayılan Test ayarında bırakabilirsiniz. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca test kullanıcıları listesine eklediğiniz kullanıcılar tarafından kullanılabileceği anlamına gelir. Uygulamanızın geliştirilmesinde veya testinde kullanılan Google Hesaplarının listesini yönetmeniz gerekir.

Google'ın test edilmekte olan bir uygulamayı doğrulamadığına dair uyarı mesajı.
Şekil 2. Test kullanıcısı uyarı ekranı

Yalnızca hizmete ait veriler

Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve hiçbir kullanıcı verisine (bir Google Hesabı'na bağlı) erişemezse doğrulama için göndermeniz gerekmez.

Hizmet hesaplarının ne olduğunu anlamak için Google Cloud belgelerindeki Hizmet hesapları bölümünü inceleyin. Hizmet hesabının nasıl kullanılacağıyla ilgili talimatlar için Sunucudan sunucuya uygulamalar için OAuth 2.0'ı kullanma başlıklı makaleye bakın.

Yalnızca dahili kullanım

Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kişiler tarafından kullanıldığı anlamına gelir. Projenin sahibi kuruluşa ait olması ve OAuth izin ekranının Dahili kullanıcı türü için yapılandırılması gerekir. Bu durumda, uygulamanızın bir kuruluş yöneticisinden onay alması gerekebilir. Daha fazla bilgi için Google Workspace ile ilgili göz önünde bulundurulması gereken diğer noktalar bölümüne bakın.

Alan genelinde yükleme

Uygulamanızın yalnızca bir Google Workspace veya Cloud Identity kuruluşunun kullanıcılarını hedeflemesini ve her zaman alan genelinde yükleme yöntemini kullanmayı planlıyorsanız uygulamanızda uygulama doğrulaması gerekmez. Bunun nedeni, alan genelinde yüklemenin alan yöneticisinin üçüncü taraf uygulamalarına ve dahili uygulamalara kullanıcılarınızın verilerine erişmesine izin vermesidir. Yalnızca kuruluş yöneticileri uygulamayı kendi alanlarında kullanmak üzere izin verilenler listesine ekleyebilir.

Uygulamanızı nasıl alan genelinde yükleme yapılacağını öğrenmek için Uygulamamda başka bir Google Workspace alanından kurumsal hesaba sahip kullanıcılar var başlıklı makaleyi inceleyin.