如果您的应用面向 外部用户 类型,您可能需要面向尽可能多的 Google 账号,其中包括由 Google Workspace 组织管理的 Google 账号。
Google Workspace 管理员可以使用 API 访问权限控制功能,为客户自有应用、 第三方应用和服务账号启用或限制对 Google Workspace API 的访问权限。借助此功能,Google Workspace 管理员可以 仅允许组织信任的 OAuth 客户端 ID 访问,从而降低第三方访问 Google 服务所涉及的 风险。
为了面向尽可能多的 Google 账号并建立信任,我们建议您执行以下操作:
- 向 Google 提交应用以进行验证。如果适用,您必须提交应用以进行 品牌 验证,以及 敏感范围和 受限范围验证。Google Workspace 管理员可以查看应用的验证 状态,并且他们可能会更信任 Google 验证的应用,而不是状态为 “未验证”或“未知”的应用。
- Google Workspace 管理员可以向应用的 OAuth 客户端 ID 授予对受限服务及其中的 高风险范围的访问权限。如果您在帮助文档中添加应用的 OAuth 客户端 ID, 则可以向 Google Workspace 管理员以及组织内支持您应用的人员提供授予应用访问权限所需的信息。这还可以帮助他们了解在应用访问组织的数据之前可能需要进行哪些 配置更改。
- 定期监控您在配置 OAuth 权限请求页面时提供的用户支持电子邮件地址。Google Workspace 管理员在审核应用的访问权限时可以查看 此电子邮件地址,并且可能会就 可能存在的问题和疑虑与您联系。
Google Workspace 管理员控制对令牌有效性的影响
Google Workspace 管理员可以实施多项控制,这些控制会间接影响 OAuth 令牌的 有效性和生命周期。
- Google Cloud 会话控制: Google Workspace 管理员可以为 Google Cloud 服务(例如 Google Cloud 控制台、gcloud CLI)设置会话 时长。此设置 适用于任何需要用户授权 Google Cloud 范围的应用,包括第三方应用。如果超出此会话时长,与这些 Google Cloud 范围关联的刷新令牌可能会失效。如需了解详情,请参阅 设置 Google Cloud 服务的会话时长。
- 常规 Google 服务会话控制: 管理员还可以控制网页版 Gmail 等服务的 Web 会话时长。这样,用户在会话过期后必须重新登录 Google 网页界面。不过,除非范围与 Google Cloud 相关,否则此控制通常 不会使授予第三方应用以访问 API 数据(例如 Gmail、云端硬盘或日历 API)的 OAuth 刷新令牌失效。如需了解详情,请参阅 设置 Google 服务的会话时长。
- 应用访问权限控制: 管理员可以屏蔽应用、限制应用对 某些服务的访问权限,或完全撤消访问权限,这会使关联的刷新令牌 失效。
- 全网域授权 (DWD): 虽然 DWD 不会更改令牌生命周期, 但它允许管理员预先授权应用,绕过用户同意并直接管理 应用对组织数据的访问权限。
将项目与组织关联
如果您是 Google Workspace 用户,强烈建议您在 Google Workspace 或 Cloud Identity 账号内的组织资源中创建开发者项目。这样,您就可以使用 企业管理功能(例如 重要通知、访问权限控制和项目生命周期管理),而无需将其 与个人开发者账号相关联。否则,将来可能很难(或无法)将其转移给新所有者 。
设置开发者项目时, 请在 组织中创建项目,或 将现有项目 迁移到组织中。