التحقّق من نطاق محظور

تفرض بعض واجهات برمجة تطبيقات Google (تلك التي تقبل النطاقات الحسّاسة أو المحظورة) متطلبات على التطبيقات التي تطلب الحصول على إذن للوصول إلى بيانات المستهلكين. هذه المتطلبات الإضافية للنطاقات المحظورة اشتراط أن يثبت أحد التطبيقات أنه نوع تطبيقات مسموح به وأن يتم إرساله إلى مراجعات إضافية، بما في ذلك تقييم أمان محتمل.

يعتمد سريان النطاقات المشروطة داخل واجهة برمجة التطبيقات في الغالب على درجة الوصول مطلوبة لتوفير ميزة ذات صلة في تطبيقك، وهي: القراءة فقط، والكتابة فقط، والقراءة والكتابة، وهكذا.

عند استخدام OAuth 2.0 للحصول على إذن من حساب Google للوصول إلى هذه البيانات، فإنك تستخدم سلاسل تسمى النطاقات لتحديد نوع البيانات التي تريد الوصول إليها ومقدار الوصول التي تحتاجها. إذا كان تطبيقك يطلب sensitive أو حصرية، عليك إكمال عملية التحقّق ما لم يكن استخدام تطبيقك مؤهَّلاً للحصول على استثناء.

يكون عدد النطاقات المشروطة أقل مقارنةً بالنطاقات الحسّاسة. التحقق من تتضمن الأسئلة الشائعة حول التحقق من واجهة برمجة تطبيقات OAuth القائمة الحالية للنطاقات الحساسة والمحظورة. توفّر هذه النطاقات وصولاً واسع النطاق إلى بيانات مستخدمي Google وتتطلّب منك التحقّق من النطاق. قبل طلب النطاقات من أي حساب على Google. للحصول على معلومات حول هذا الموضوع راجِع سياسة بيانات المستخدمين في خدمات Google API والمتطلبات الإضافية لنطاقات محددة لواجهة برمجة التطبيقات أو صفحة "مطوّر برامج Google" الخاصة بالمنتج إذا كنت تخزِّن بيانات النطاق المحدود أو تنقل هذه البيانات على الخوادم، عليك إكمال تقييم أمان .

فهم النطاقات المحظورة

إذا كان تطبيقك يطلب أي نطاقات محظورة وكان غير مؤهَّل استثناءً، عليك استيفاء متطلبات متطلبات إضافية لنطاقات محدّدة لواجهة برمجة التطبيقات خاصة ببيانات مستخدمي "خدمات Google API" أو متطلبات السياسة أو المتطلبات الخاصة بالمنتج صفحة مطوِّر البرامج على Google الأمر الذي يتطلب عملية مراجعة أكثر شمولاً.

فهم استخدام نطاقك

  • راجِع النطاقات التي يستخدمها تطبيقك أو التي تريد استخدامها. للعثور على استخدام نطاقك الحالي، فحص رمز مصدر تطبيقك بحثًا عن أي نطاقات تم إرسالها مع طلبات التفويض.
  • حدِّد ما إذا كان كل نطاق مطلوب ضروريًا للإجراءات المقصودة لميزة تطبيقك واستخدام الحد الأدنى من الأذونات اللازمة لتقديم الميزة. تتضمّن Google API عادةً مستندات مرجعية في صفحة المطوّر على Google الخاصة بالمنتج لنقاط النهاية التي تتضمّن النطاق المطلوب للاتّصال بنقطة النهاية أو سمات محدّدة ضمنها. لمزيد من المعلومات حول النطاقات الضرورية بالوصول إلى نقاط نهاية واجهة برمجة التطبيقات التي يستدعيها تطبيقك، يُرجى قراءة المستندات المرجعية لتلك والنقاط النهائية. For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
  • يجب عدم استخدام البيانات التي تتلقّاها من واجهة Google API إلا بما يتوافق مع سياسات واجهة برمجة التطبيقات بالطريقة التي تُمثّل بها المستخدمين في إجراءات تطبيقك وسياسة الخصوصية.
  • يمكنك الرجوع إلى مستندات واجهة برمجة التطبيقات للاطّلاع على مزيد من المعلومات عن كل نطاق، بما في ذلك حالة sensitive or restricted التطبيق المحتملة.
  • حدِّد جميع النطاقات التي يستخدمها تطبيقك في صفحة "نطاقات ضبط" شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth API Console. يتم تجميع النطاقات التي تحدّدها إلى حساسة أو محظورة الفئات لإبراز أي عمليات تحقق إضافية مطلوبة.
  • ابحث عن أفضل نطاق يطابق البيانات المستخدمة في الدمج، وافهم استخدامها، فأعد التأكد من أن كل شيء لا يزال يعمل في بيئة اختبار، ثم استعِد للإرسال التحقق.

تأكد من حساب الوقت اللازم لإكمال عملية التحقق في خطة الإطلاق تطبيق جديد أو أي ميزات جديدة تتطلب نطاقًا جديدًا. يحدث أحد هذه المتطلبات الإضافية إذا وصول التطبيق إلى بيانات مستخدم Google من الخادم أو من خلالها. ضِمن لهذه الحالات، يجب أن يخضع النظام لعملية تقييم أمان من مُقيِّم مستقل تابع لجهة خارجية المعتمدة من Google. لهذا السبب، يمكن أن تساعد عملية التحقق من النطاقات وقد يستغرق اكتمالها عدة أسابيع. يُرجى العلم أنّه على جميع التطبيقات إكمال العلامة التجارية التحقق أولاً، والذي يستغرق عادةً من يومين إلى 3 أيام عمل، إذا كانت معلومات العلامة التجارية تم تغيير منذ آخر عملية تحقُّق من شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth.

أنواع التطبيقات المسموح بها

يمكن لأنواع تطبيقات معينة الوصول إلى نطاقات مشروطة لكل منتج. يمكنك العثور على أنواع التطبيقات المختلفة الخاصة بالمنتج صفحة مطوِّر البرامج على Google (مثلاً، سياسة واجهة برمجة تطبيقات Gmail).

تقع على عاتقك مسؤولية فهم نوع تطبيقك وتحديده. ومع ذلك، إذا لم تكن متأكدًا حقًا من نوع تطبيق تطبيقك، يمكنك اختيار "لا" خيارات الإجابة عن سؤال ما الميزات التي ستستخدمها؟ عند إرسال التطبيق لإثبات الهوية. سيحدد بعد ذلك فريق التحقق في Google API نوع التطبيق.

التقييم الأمني

يجب أن يخضع كل تطبيق يطلب الوصول إلى البيانات المحظورة لمستخدمي Google ولديه إمكانية الوصول إلى البيانات من خادم تابع لجهة خارجية أو من خلاله لتقييم أمان على أيدي فريق تقييم أمني معتمَد من Google. ويساعد هذا التقييم في الحفاظ على اهتمام مستخدمي Google بيانات آمنة عن طريق التحقق من أن جميع التطبيقات التي تصل إلى بيانات مستخدمي Google توضح قدرتها على معالجة البيانات بأمان، وحذف بيانات المستخدم بناءً على طلب المستخدم.

لتوحيد تقييم الأمان لدينا، نستخدم تحالف App Defense Alliance و إطار عمل تقييم أمان تطبيقات السحابة الإلكترونية (CASA)

كما ذكرنا سابقًا، للحفاظ على إمكانية الوصول إلى أي نطاقات محظورة تم التحقّق منها، يجب: إعادة التحقق منها للتأكد من امتثالك لها وإكمال تقييم أمان كل 12 شهرًا على الأقل بعد تاريخ الموافقة على خطاب التقييم (LOA). إذا كان تطبيقك يضيف نطاقًا جديدًا مشروطًا، تطبيق قد يلزم إعادة تقييمه لتغطية النطاق الإضافي إذا لم يتم تضمينه في نموذج تقييم الأمان.

يرسل إليك فريق المراجعة في Google رسالة إلكترونية عندما يحين وقت إعادة الحصول على شهادة تطبيقك. للتأكد من أن يتم إبلاغ الأعضاء المناسبين من فريقك بإجراء التنفيذ السنوي هذا، ويمكنك ربط حساب الحسابات المرتبطة API Console بمشروعك كمالك أو مالك محرِّر. ويساعد ذلك أيضًا في الحفاظ على تحديث رسائل دعم المستخدمين ورسائل البريد الإلكتروني الخاصة بالتواصل مع المطوّرين. محدد في بروتوكول OAuth API Console لـ Google Consent Screen page

خطوات الاستعداد لعملية إثبات الهوية

على جميع التطبيقات التي تستخدم واجهات Google APIs لطلب الوصول إلى البيانات تنفيذ الخطوات التالية: إكمال عملية التحقق من هوية العلامة التجارية:

  1. عليك التأكّد من أنّ تطبيقك لا يندرج ضمن أي من حالات الاستخدام في قسم استثناءات متطلبات إثبات الهوية والأهلية
  2. تأكَّد من أنّ تطبيقك يمتثل لمتطلبات وضع العلامة التجارية لواجهة برمجة التطبيقات أو المنتج المرتبط. على سبيل المثال، يمكنك الاطّلاع على إرشادات بناء هوية العلامة التجارية لنطاقات "تسجيل الدخول باستخدام حساب Google"
  3. تحقق من ملكية ملف النطاقات المعتمَدة ضمن Google Search Console: استخدِم حساب Google مرتبطًا API Console بمشروعك بصفتك مالكًا أو محرِّرًا.
  4. تأكَّد من ظهور جميع معلومات العلامة التجارية على شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth، مثل اسم التطبيق وخدمة الدعم. عنوان البريد الإلكتروني ومعرّف الموارد المنتظم (URI) للصفحة الرئيسية ومعرّف الموارد المنتظم (URI) لسياسة الخصوصية وما إلى ذلك أن يمثّلا هوية التطبيق بدقة.

متطلبات الصفحة الرئيسية للتطبيق

تأكَّد من أنّ صفحتك الرئيسية تستوفي المتطلبات التالية:

  • يجب أن تكون صفحتك الرئيسية متاحة للجميع، وألا تكون متاحة للمستخدمين الذين سجّلوا الدخول إلى موقعك الإلكتروني فقط. المستخدمين.
  • يجب أن تكون مدى صلة صفحتك الرئيسية بالتطبيق قيد المراجعة واضحة.
  • لا يتم النظر في الروابط المؤدية إلى بطاقة بيانات تطبيقك على "متجر Google Play" أو صفحته على Facebook. الصفحات الرئيسية للتطبيقات الصالحة.

متطلبات رابط سياسة خصوصية التطبيق

احرص على أن تستوفي سياسة خصوصية تطبيقك المتطلبات التالية:

  • ويجب أن تكون سياسة الخصوصية مرئية للمستخدمين، وأن تتم استضافتها ضمن النطاق نفسه الذي يوجد فيه التطبيق الرئيسية، والمرتبطة بشاشة طلب الموافقة المتعلّقة ببروتوكول OAuth Google API Consoleلاحظ أن الصفحة الرئيسية يجب أن تتضمن وصف لوظائف التطبيق، بالإضافة إلى روابط لسياسة الخصوصية بنود الخدمة الاختيارية.
  • يجب أن تفصح سياسة الخصوصية عن الطريقة التي يصل بها تطبيقك إلى بيانات مستخدمي Google ويستخدمها ويخزّنها ويشاركها. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. يجب أن يقتصر استخدامك لبيانات مستخدمي Google على الممارسات التي نشرتها ما تفصح عنه سياسة الخصوصية.
  • Review example cases of privacy policies that don't meet the Limited Use requirements.

كيفية إرسال تطبيقك لإثبات ملكيته

يُنظِّم Google API Console المشروع جميع API Console مواردك. يتألّف المشروع من مجموعة من حسابات Google المرتبطة التي لديها إذن بتنفيذ عمليات المشروع، ومجموعة من واجهات برمجة التطبيقات المفعّلة، و إعدادات الفوترة والمصادقة والمراقبة لهذه الواجهات. على سبيل المثال، يمكن للمشروع يحتوي على عميل OAuth واحد أو أكثر، وتهيئة واجهات برمجة التطبيقات لتستخدمها هذه البرامج، وقم بتهيئة شاشة موافقة OAuth التي تظهر للمستخدمين قبل أن يسمحوا بالوصول إلى تطبيقك.

إذا لم يكن أي من عملاء OAuth جاهزًا للإصدار العلني، ننصحك بحذفه من المشروع الذي يطلب التحقق. يمكنك إجراء ذلك في Google API Console

لإرسال طلب إثبات الملكية، يُرجى اتّباع الخطوات التالية:

  1. يُرجى التأكُّد من امتثال تطبيقك لبنود خدمة Google APIs سياسة بيانات مستخدمي خدمات Google API:
  2. حافظ على استمرارية أدوار المالك والمحرر للحسابات المرتبطة بمشروعك، بالإضافة إلى معلومات الاتصال بالمطوِّر على شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth، في API Consoleيضمن ذلك وصول الأعضاء المناسبين فريقك بأي متطلبات جديدة.
  3. الانتقال إلى API Console بروتوكول OAuth Consent Screen page.
  4. انقر على الزر أداة اختيار المشروع.
  5. في مربع الحوار الاختيار من الذي يظهر، اختَر مشروعك. إذا لم تتمكن من العثور على مشروعك ولكنك تعرف معرف المشروع، فيمكنك إنشاء عنوان URL في متصفحك بالتسلسل التالي التنسيق:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    استبدِل [PROJECT_ID] برقم تعريف المشروع الذي تريد استخدامه.

  6. حدد زر تعديل التطبيق.
  7. أدخِل المعلومات اللازمة في صفحة طلب الموافقة المتعلّقة ببروتوكول OAuth، ثم انقر على حفظ. ومتابعة
  8. استخدِم زر إضافة نطاقات أو إزالتها لتوضيح جميع النطاقات التي يطلبها تطبيقك. إنّ يتم ملء المجموعة الأولية من النطاقات اللازمة لتسجيل الدخول باستخدام حساب Google قسم النطاقات غير الحسّاسة يتم تصنيف النطاقات المُضافة على أنّها غير حسّاسة، sensitive, or restricted.
  9. قدِّم ما يصل إلى ثلاثة روابط لأي مستندات ذات صلة بالميزات ذات الصلة في تطبيقك.
  10. قدِّم أي معلومات إضافية مطلوبة بشأن تطبيقك في الخطوات.

    1. Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
    2. Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
    3. If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.
    4. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
      5. If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
    5. Select your permitted application type from the "What features will you use?" list.
    6. Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
  11. إذا كان إعداد التطبيق الذي تقدّمه يتطلب التحقّق، يمكنك إرسال طلب. التطبيق للتحقق. املأ الحقول المطلوبة ثم انقر على إرسال لبدء وعملية التحقق.

بعد إرسال التطبيق، تعمل منصة Trust & Google يتواصل فريق الأمان عبر البريد الإلكتروني مع أي من المعلومات الإضافية التي يحتاجون إليها أو الخطوات التي يجب عليك إكمالها. تحقق من عناوين بريدك الإلكتروني في قسم معلومات الاتصال بالمطوّر والبريد الإلكتروني المخصّص للدعم الذي توفّره موافقة OAuth الشاشة لطلبات الحصول على معلومات إضافية. يمكنك أيضًا عرض موافقة OAuth لمشروعك. الشاشة لتأكيد حالة المراجعة الحالية لمشروعك، بما في ذلك ما إذا كانت عملية المراجعة تم الإيقاف مؤقتًا بينما ننتظر ردّك.

الاستثناءات المرتبطة بمتطلبات إثبات الهوية والأهلية

في حال استخدام تطبيقك في أي من الحالات الموضّحة في الأقسام التالية، عليك لا تحتاج إلى إرسالها للمراجعة.

الاستخدام الشخصي

إحدى حالات الاستخدام هي إذا كنت المستخدِم الوحيد لتطبيقك أو إذا لم يستخدِمه سوى عدد قليل من المستخدمين، وجميعهم معروفين لك شخصيًا. قد تشعر بالارتياح أنت وعدد المستخدمين المحدود بالتقدم من خلال تطبيق لم يتم التحقق منه الشاشة ومنح حساباتك الشخصية إمكانية الوصول إلى تطبيقك.

المشاريع المستخدَمة في مستويات التطوير أو الاختبار أو النشر التمهيدي

من أجل الالتزام بسياسات Google OAuth 2.0، ننصحك بإنشاء مشاريع مختلفة بيئات الاختبار والإنتاج. ننصحك بإرسال تطبيقك لإثبات ملكيته فقط إذا كنت تريد إتاحة تطبيقك لأي مستخدم لديه حساب على Google. لذلك، إذا كان تطبيقك في مراحل التطوير أو الاختبار أو المراحل، فإن التحقق غير مطلوب.

إذا كان تطبيقك في مرحلتي التطوير أو الاختبار، يمكنك مغادرة حالة النشر في الإعداد الافتراضي الاختبار: يعني هذا الإعداد أنّ تطبيقك لا يزال قيد التطوير و متاح للمستخدمين الذين تضيفهم إلى قائمة المستخدمين الاختباريين. عليك إدارة قائمة حسابات Google. التي تشارك في تطوير التطبيق أو اختباره.

رسالة تحذيرية تفيد بأنّه لم تتحقّق Google من تطبيق يخضع للاختبار.
الشكل 1. شاشة تحذير المختبِر

البيانات المملوكة للخدمة فقط

إذا كان تطبيقك يستخدم حساب خدمة للوصول إلى بياناته الخاصة فقط، ولا يمكنه الوصول إلى أي مستخدم (مرتبطة بحساب Google)، فلن تحتاج إلى إرسالها للتحقق.

للتعرّف على حسابات الخدمة، يمكنك الاطّلاع على حسابات الخدمة في وثائق Google Cloud. للحصول على تعليمات حول كيفية استخدام حساب الخدمة، يُرجى الاطّلاع على استخدام OAuth 2.0 من خادم إلى خادم التطبيقات.

للاستخدام الداخلي فقط

هذا يعني أنّ المستخدمين في Google Workspace أو Cloud Identity لا يستخدِمون التطبيق إلا المؤسسة. يجب أن يكون المشروع ملكًا للمؤسسة وشاشة طلب الموافقة المتعلّقة ببروتوكول OAuth. إلى أن يتم إعداده مستخدم داخلي النوع. وفي هذه الحالة، قد يحتاج تطبيقك إلى موافقة من مشرف المؤسسة. لمزيد من المعلومات، يُرجى الاطّلاع على ملاحظات إضافية بشأن Google Workspace.

التثبيت على مستوى النطاق

إذا كنت تخطِّط لتطبيقك لاستهداف مستخدمي Google Workspace أو Cloud Identity فقط المؤسسة وتستخدم دائمًا نطاق التثبيت، فلن يتطلب تطبيقك التحقق من التطبيقات. هذا لأن النطاق بالكامل يتيح التثبيت لمشرف النطاق منح تطبيقات الجهات الخارجية والتطبيقات الداخلية إمكانية الدخول إلى مستخدميك البيانات. إنّ حسابات مشرفي المؤسسة هي الحسابات الوحيدة التي يمكنها إضافة التطبيق إلى قائمة سمح لاستخدامه داخل نطاقاتهم.

تعرَّف على كيفية جعل تطبيقك قابلاً للتثبيت على مستوى النطاق في الأسئلة الشائعة يتضمّن تطبيقي مستخدمين لديهم حساباً على مستوى المؤسسة من نطاق آخر على Google Workspace.