การยืนยันขอบเขตที่ละเอียดอ่อน

หากแอปขอสิทธิ์ใช้ Google API เพื่อเข้าถึงข้อมูลผู้ใช้ Google คุณอาจต้องดำเนินการตามกระบวนการยืนยันให้เสร็จสิ้นก่อนจึงจะเผยแพร่แอปต่อสาธารณะได้เป็นครั้งแรก

ข้อกำหนดนี้มีผลบังคับใช้กับแอปของคุณหรือไม่นั้นขึ้นอยู่กับ 2 ปัจจัยเป็นส่วนใหญ่

  1. ประเภทของข้อมูลผู้ใช้ที่คุณเข้าถึง เช่น ข้อมูลโปรไฟล์สาธารณะ รายการในปฏิทิน ไฟล์ใน ไดรฟ์ ข้อมูลสุขภาพและการออกกำลังกายบางอย่าง ฯลฯ
  2. ระดับการเข้าถึงที่คุณต้องการ เช่น อ่านอย่างเดียว อ่านและเขียน ฯลฯ

เมื่อคุณใช้ OAuth 2.0 เพื่อขอสิทธิ์จากบัญชี Google ในการเข้าถึงข้อมูล ที่เรียกว่าขอบเขตเพื่อระบุประเภทข้อมูลที่คุณต้องการเข้าถึงในนามของสตริงดังกล่าว ถ้า ขอบเขตคำขอของแอปซึ่งจัดหมวดหมู่เป็น ละเอียดอ่อน หรือ ถูกจำกัด คุณอาจต้องดำเนินกระบวนการยืนยันตัวตนให้เสร็จสิ้น เว้นแต่ การใช้งานของแอปเข้าเกณฑ์ข้อยกเว้น

ตัวอย่างขอบเขตที่มีความละเอียดอ่อน ได้แก่ กิจกรรมการอ่านซึ่งจัดเก็บไว้ใน Google ปฏิทิน การจัดเก็บ ผู้ติดต่อใหม่ใน Google Contacts หรือการลบวิดีโอ YouTube ดูข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตที่ใช้ได้และการจัดประเภทของขอบเขตได้ที่เอกสารอ้างอิงเกี่ยวกับปลายทาง API ที่เรียกใช้โดยแอปของคุณและคู่มือการให้สิทธิ์ที่เกี่ยวข้องซึ่งเผยแพร่สำหรับ API

คุณต้องขอขอบเขตที่จำเป็นต้องใช้ สิทธิ์ขั้นต่ำในการเข้าถึงข้อมูลผู้ใช้ที่จำเป็นต่อการมอบฟังก์ชันดังกล่าว ตัวอย่างเช่น แอปที่อ่านเฉพาะข้อมูลต้องไม่ขอสิทธิ์เข้าถึงเพื่ออ่าน เขียน และลบเนื้อหาเมื่อมีการ ขอบเขตแบบแคบพร้อมใช้งานสำหรับ API และปลายทางที่เกี่ยวข้อง ข้อมูลที่คุณได้รับจาก Google API ต้องใช้โดยสอดคล้องกับนโยบายของ API และตามวิธีที่คุณ แสดงต่อผู้ใช้ในการดำเนินการของแอปและในนโยบายความเป็นส่วนตัว

อย่าลืมคำนึงถึงเวลาที่ต้องใช้ในการยืนยันแผนการเปิดตัวให้เสร็จสมบูรณ์สำหรับ หรือฟีเจอร์ใหม่ๆ ที่ต้องการขอบเขตใหม่ กระบวนการยืนยันขอบเขตที่มีความละเอียดอ่อน โดยปกติจะใช้เวลา 3-5 วันทำการจึงจะเสร็จสมบูรณ์ โปรดทราบว่าแอปของคุณอาจมีสิทธิ์ดำเนินการ ยี่ห้อ [brand] การยืนยันเป็นส่วนหนึ่งของคำขอยืนยันขอบเขตที่มีความละเอียดอ่อน

ทําความเข้าใจขอบเขตที่มีความละเอียดอ่อน

ขอบเขตที่ละเอียดอ่อนต้องได้รับการตรวจสอบจาก Google ก่อนที่บัญชี Google ใดๆ จะให้สิทธิ์เข้าถึงได้ Google ผู้ดูแลระบบองค์กร Workspace อาจ จำกัดการเข้าถึง ขอบเขตที่มีความละเอียดอ่อนเพื่อป้องกันการเข้าถึงโดยรหัสไคลเอ็นต์ OAuth ที่องค์กรไม่ได้ระบุไว้อย่างชัดเจน ทำเครื่องหมายว่าเชื่อถือได้

ทำความเข้าใจการใช้ขอบเขต

  • ตรวจสอบขอบเขตที่แอปใช้หรือที่คุณต้องการใช้ หากต้องการค้นหาการใช้งานขอบเขตที่มีอยู่ ตรวจสอบซอร์สโค้ดของแอปเพื่อดูขอบเขตที่ส่งไปกับคำขอการให้สิทธิ์
  • พิจารณาว่าขอบเขตที่ขอแต่ละรายการนั้นจำเป็นสำหรับการดำเนินการตามที่กำหนดไว้ของฟีเจอร์แอป และจะใช้สิทธิ์ขั้นต่ำที่สุดเท่าที่จำเป็นในการให้ฟีเจอร์นี้ โดยทั่วไปแล้ว Google API อ้างอิงเอกสารอ้างอิงได้ที่ ของผลิตภัณฑ์ หน้า Google Developer สำหรับปลายทางซึ่งมีขอบเขตที่จำเป็นในการเรียกใช้ฟังก์ชัน ปลายทาง หรือคุณสมบัติเฉพาะภายใน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตที่จำเป็น การเข้าถึงปลายทาง API ที่แอปของคุณเรียกใช้ โปรดอ่านเอกสารอ้างอิงของอุปกรณ์ปลายทาง API ดังกล่าว ปลายทาง
  • ข้อมูลที่คุณได้รับจาก Google API จะต้องสอดคล้องกับนโยบายของ API และวิธีที่คุณแสดงต่อผู้ใช้ในการกระทำของแอปและใน
  • โปรดอ่านเอกสารประกอบของ API เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตแต่ละรายการ รวมถึง sensitive or restricted สถานะที่เป็นไปได้
  • ประกาศขอบเขตทั้งหมดที่แอปใช้ไว้ในหน้าหน้าจอขอความยินยอม OAuth ของ API Consoleขอบเขตที่คุณระบุได้รับการจัดกลุ่มให้อยู่ในประเภทที่ละเอียดอ่อนหรือจำกัด หมวดหมู่เพื่อไฮไลต์การยืนยันเพิ่มเติมที่จำเป็น
  • ค้นหาขอบเขตที่ดีที่สุดซึ่งตรงกับข้อมูลที่การผสานรวมใช้ ทําความเข้าใจการใช้งาน ตรวจสอบอีกครั้งว่าทุกอย่างยังคงทํางานในสภาพแวดล้อมการทดสอบ จากนั้นเตรียมส่งเพื่อขอรับการยืนยัน
ตารางจะแสดงชื่อ API, ขอบเขตที่มีความละเอียดอ่อนรายการใดรายการหนึ่ง และคำอธิบายสิ่งที่ขอบเขตครอบคลุม
รูปที่ 1 ตัวอย่างขอบเขตที่มีความละเอียดอ่อนซึ่งแสดงในหน้าขอบเขตการกําหนดค่าหน้าจอขอความยินยอม OAuth

ขั้นตอนในการเตรียมพร้อมสำหรับการยืนยัน

แอปทั้งหมดที่ใช้ Google APIs ในการขอสิทธิ์เข้าถึงข้อมูลต้องทำตามขั้นตอนต่อไปนี้เพื่อ วิธียืนยันแบรนด์ให้เสร็จสมบูรณ์

  1. ยืนยันว่าแอปของคุณไม่ได้อยู่ภายใต้ Use Case ใดๆ ใน ส่วนข้อยกเว้นของข้อกำหนดในการยืนยัน
  2. ตรวจสอบว่าแอปของคุณเป็นไปตามข้อกำหนดการใช้แบรนด์ของ API ที่เกี่ยวข้อง หรือ ผลิตภัณฑ์ ตัวอย่างเช่น ดูหลักเกณฑ์การสร้างแบรนด์ สำหรับขอบเขตของ Google Sign-In
  3. ยืนยันการเป็นเจ้าของโครงการ โดเมนที่ได้รับอนุญาตภายใน Google Search Console ใช้ Google บัญชีที่เชื่อมโยงกับ API Console โปรเจ็กต์ของคุณในฐานะ เจ้าของหรือผู้แก้ไข
  4. ตรวจสอบว่าข้อมูลการสร้างแบรนด์ทั้งหมดในหน้าจอขอความยินยอม OAuth เช่น ชื่อแอป การรองรับ อีเมล, URI หน้าแรก, URI นโยบายความเป็นส่วนตัว ฯลฯ แสดงถึงตัวตนของแอปอย่างถูกต้อง

ข้อกำหนดของหน้าแรกของแอปพลิเคชัน

ตรวจสอบให้แน่ใจว่าหน้าแรกของคุณเป็นไปตามข้อกำหนดต่อไปนี้:

  • หน้าแรกจะต้องเข้าถึงได้แบบสาธารณะ ไม่ใช่เพียงแค่ลงชื่อเข้าสู่ระบบของเว็บไซต์เท่านั้น ผู้ใช้
  • ความเกี่ยวข้องของหน้าแรกกับแอปที่อยู่ระหว่างตรวจทานต้องชัดเจน
  • ลิงก์ไปยังข้อมูลของแอปใน Google Play Store หรือหน้า Facebook ของแอปจะไม่ถือว่าเป็นหน้าแรกของแอปพลิเคชันที่ถูกต้อง

ข้อกําหนดเกี่ยวกับลิงก์นโยบายความเป็นส่วนตัวของแอปพลิเคชัน

ตรวจสอบว่านโยบายความเป็นส่วนตัวของแอปเป็นไปตามข้อกำหนดต่อไปนี้

  • นโยบายความเป็นส่วนตัวต้องปรากฏต่อผู้ใช้ ซึ่งใช้โฮสต์ภายในโดเมนเดียวกับ หน้าแรกของแอปพลิเคชัน และเชื่อมโยงกับหน้าจอคำยินยอม OAuth ของ Google API Consoleโปรดทราบว่าหน้าแรกต้องมีคำอธิบายฟังก์ชันการทำงานของแอป รวมถึงลิงก์ไปยังนโยบายความเป็นส่วนตัวและข้อกำหนดในการให้บริการที่ไม่บังคับ
  • นโยบายความเป็นส่วนตัวต้องเปิดเผยวิธีที่แอปพลิเคชันของคุณเข้าถึง ใช้ จัดเก็บหรือแชร์ข้อมูลผู้ใช้ Google คุณต้องจำกัดการใช้ข้อมูลผู้ใช้ Google ตามแนวทางปฏิบัติที่เผยแพร่ไว้ นโยบายความเป็นส่วนตัว เปิดเผย

วิธีส่งแอปเพื่อขอรับการยืนยัน

Google API Console โปรเจ็กต์จะจัดระเบียบ API Console แหล่งข้อมูล โปรเจ็กต์ประกอบด้วยชุดที่เชื่อมโยงกับ บัญชี Google ที่มีสิทธิ์ดำเนินโครงการ ชุด API ที่เปิดใช้ และ การตั้งค่าการเรียกเก็บเงิน การตรวจสอบสิทธิ์ และการตรวจสอบสำหรับ API เหล่านั้น ตัวอย่างเช่น โปรเจ็กต์อาจมีไคลเอ็นต์ OAuth อย่างน้อย 1 ราย กําหนดค่า API สําหรับให้ไคลเอ็นต์เหล่านั้นใช้ และกำหนดค่าหน้าจอขอความยินยอม OAuth ที่แสดงต่อผู้ใช้ก่อนที่จะให้สิทธิ์เข้าถึงแอป

หากไคลเอ็นต์ OAuth ใดๆ ยังไม่พร้อมสำหรับเวอร์ชันที่ใช้งานจริง เราขอแนะนำให้คุณลบไคลเอ็นต์เหล่านั้นออกจาก โปรเจ็กต์ที่ขอการยืนยัน โดยทำได้ใน Google API Console

หากต้องการส่งเพื่อขอรับการยืนยัน ให้ทำตามขั้นตอนต่อไปนี้

  1. ตรวจสอบว่าแอปปฏิบัติตามข้อกำหนดในการให้บริการของ Google APIs และ นโยบายข้อมูลผู้ใช้ของบริการ Google API
  2. กำหนดบทบาทเจ้าของและผู้แก้ไขของบัญชีที่เชื่อมโยงของโปรเจ็กต์ให้เป็นปัจจุบันเสมอ รวมถึงบทบาท อีเมลทีมสนับสนุนผู้ใช้ของหน้าจอความยินยอม OAuth และข้อมูลติดต่อของนักพัฒนาแอปใน API Consoleวิธีนี้ช่วยให้มั่นใจว่าสมาชิกที่เหมาะสมในทีมของคุณจะได้รับแจ้งเกี่ยวกับข้อกำหนดใหม่
  3. ไปที่ API Console OAuth Consent Screen page
  4. คลิกปุ่มตัวเลือกโปรเจ็กต์
  5. เลือกโปรเจ็กต์ในกล่องโต้ตอบเลือกจากที่ปรากฏขึ้น หากไม่พบ แต่คุณทราบรหัสโปรเจ็กต์ของคุณเอง คุณสามารถสร้าง URL ในเบราว์เซอร์โดยใช้คำสั่งต่อไปนี้ รูปแบบ:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    แทนที่ [PROJECT_ID] ด้วยรหัสโปรเจ็กต์ที่ต้องการใช้

  6. เลือกปุ่มแก้ไขแอป
  7. ป้อนข้อมูลที่จำเป็นในหน้าหน้าจอคำยินยอม OAuth แล้วเลือกปุ่มบันทึก และดำเนินการต่อ
  8. ใช้ปุ่มเพิ่มหรือนำขอบเขตออกเพื่อประกาศขอบเขตทั้งหมดที่แอปของคุณขอ CANNOT TRANSLATE ชุดขอบเขตเริ่มต้นที่จำเป็นสำหรับ Google Sign-In ได้กรอกข้อมูลไว้ล่วงหน้าใน ขอบเขตที่ไม่มีความละเอียดอ่อน ขอบเขตที่เพิ่มจะจัดอยู่ในประเภท "ไม่ใช่ข้อมูลที่ละเอียดอ่อน" sensitive, or restricted
  9. ระบุลิงก์ไปยังเอกสารประกอบที่เกี่ยวข้องสูงสุด 3 รายการสำหรับฟีเจอร์ที่เกี่ยวข้องในแอป
  10. ให้ข้อมูลเพิ่มเติมที่มีการร้องขอเกี่ยวกับแอปของคุณในครั้งต่อๆ ไป ขั้นตอน

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."
    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
  11. หากการกำหนดค่าแอปที่คุณระบุต้องมีการยืนยัน คุณจะมีสิทธิ์ส่งแอปเพื่อรับการยืนยัน กรอกข้อมูลในช่องที่ต้องกรอกแล้วคลิกส่งเพื่อเริ่ม กระบวนการยืนยันตัวตน

หลังจากส่งแอปแล้ว ทีมความน่าเชื่อถือและความปลอดภัยของ Google จะติดตามผลทางอีเมลพร้อมแจ้งข้อมูลเพิ่มเติมที่ต้องการหรือขั้นตอนที่คุณต้องทำ ตรวจสอบอีเมลของคุณใน ส่วนข้อมูลติดต่อของนักพัฒนาแอปและอีเมลสนับสนุนเกี่ยวกับความยินยอม OAuth เพื่อขอข้อมูลเพิ่มเติม นอกจากนี้ คุณยังดูหน้าหน้าจอขอความยินยอม OAuth ของโปรเจ็กต์เพื่อยืนยันสถานะการตรวจสอบปัจจุบันของโปรเจ็กต์ รวมถึงดูว่ากระบวนการตรวจสอบหยุดชั่วคราวหรือไม่ขณะที่เรารอการตอบกลับจากคุณ

ข้อยกเว้นของข้อกำหนดในการยืนยัน

หากแอปของคุณจะใช้ในสถานการณ์ใดก็ตามที่อธิบายไว้ในส่วนต่อไปนี้ คุณไม่จำเป็นต้องส่งแอปเข้ารับการตรวจสอบ

การใช้งานส่วนตัว

กรณีการใช้งานหนึ่งคือ หากคุณเป็นผู้ใช้แอปคนเดียว หรือหากแอปของคุณมีผู้ใช้งานเพียงไม่กี่ราย เราทุกคนรู้จักคุณเป็นการส่วนตัว คุณและผู้ใช้ที่มีจํานวนจํากัดอาจรู้สึกสบายใจ ด้วยการก้าวผ่าน แอปที่ไม่ได้รับการยืนยัน และให้สิทธิ์บัญชีส่วนตัวในการเข้าถึงแอปของคุณ

โปรเจ็กต์ที่ใช้ในการพัฒนา ทดสอบ หรือการทดลองใช้ ระดับ

หากต้องการ ปฏิบัติตามนโยบาย Google OAuth 2.0 เราขอแนะนำให้คุณมีโปรเจ็กต์สำหรับ การทดสอบและสภาพแวดล้อมการใช้งานจริง เราขอแนะนำให้ส่งแอปเพื่อขอรับการยืนยันก็ต่อเมื่อคุณต้องการทำให้แอปพร้อมให้บริการแก่ผู้ใช้ทุกคนที่มีบัญชี Google ดังนั้นหากแอปของคุณ อยู่ในขั้นตอนการพัฒนา ทดสอบ หรือทดลองใช้ ไม่จำเป็นต้องมีการยืนยัน

หากแอปอยู่ในช่วงการพัฒนาหรือทดสอบ คุณสามารถออกจาก สถานะการเผยแพร่ ในการตั้งค่าเริ่มต้นของ การทดสอบ การตั้งค่านี้หมายความว่าแอปของคุณยังอยู่ในระหว่างการพัฒนาและ พร้อมใช้งานสำหรับผู้ใช้ที่คุณเพิ่มในรายชื่อผู้ใช้ทดสอบ คุณต้องจัดการรายการบัญชี Google ที่มีส่วนร่วมในการพัฒนาหรือทดสอบแอปของคุณ

ข้อความเตือนว่า Google ยังไม่ได้ยืนยันแอปที่อยู่ระหว่างการทดสอบ
รูปที่ 2 หน้าจอคำเตือนผู้ทดสอบ

ข้อมูลที่เป็นของบริการเท่านั้น

หากแอปใช้บัญชีบริการเพื่อเข้าถึงเฉพาะข้อมูลของตัวเองและไม่ได้เข้าถึงผู้ใช้รายใดเลย (ลิงก์กับบัญชี Google) คุณจึงไม่ต้องส่งเพื่อขอรับการยืนยัน

โปรดดูเพื่อทำความเข้าใจเกี่ยวกับบัญชีบริการที่ บัญชีบริการใน เอกสารประกอบของ Google Cloud ดูวิธีใช้บัญชีบริการได้ที่ การใช้ OAuth 2.0 สำหรับเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์ แอปพลิเคชัน

ใช้ภายในเท่านั้น

ซึ่งหมายความว่ามีเพียงผู้ที่อยู่ใน Google Workspace หรือ Cloud Identity เท่านั้นที่ใช้แอปนี้ได้ องค์กร องค์กรต้องเป็นขององค์กรและหน้าจอขอความยินยอม OAuth ของโปรเจ็กต์ จำเป็นต้องกำหนดค่าสำหรับ ผู้ใช้ภายใน ประเภท ในกรณีนี้ แอปของคุณอาจต้องได้รับการอนุมัติจากผู้ดูแลระบบองค์กร สำหรับ ข้อมูลเพิ่มเติม โปรดดู เพิ่มเติม ข้อควรพิจารณาสำหรับ Google Workspace

การติดตั้งทั่วทั้งโดเมน

หากคุณวางแผนให้แอปกำหนดเป้าหมายเฉพาะผู้ใช้ Google Workspace หรือ Cloud Identity เท่านั้น ขององค์กรและใช้แบบทั่วทั้งโดเมนเสมอ แอปของคุณจะไม่ต้องใช้การยืนยันแอป เนื่องจากทั้งโดเมน การติดตั้งช่วยให้ผู้ดูแลระบบโดเมนให้สิทธิ์บุคคลที่สามและแอปพลิเคชันภายในเข้าถึง ผู้ใช้ของคุณ ผู้ดูแลระบบองค์กรเป็นเพียงบัญชีเดียวที่เพิ่มแอปลงใน เพื่อใช้ภายในโดเมนได้

ดูวิธีทำให้แอปเป็นการติดตั้งแบบทั่วทั้งโดเมนในคำถามที่พบบ่อย แอปพลิเคชันของฉันมีผู้ใช้ที่มี บัญชีองค์กรจากโดเมน Google Workspace อื่น