संवेदनशील दायरे की पुष्टि

अगर आपका ऐप्लिकेशन Google उपयोगकर्ताओं का डेटा ऐक्सेस करने के लिए Google API का इस्तेमाल करने की अनुमति मांगता है, तो हो सकता है कि आपको पहली बार ऐप्लिकेशन को सार्वजनिक तौर पर उपलब्ध कराने से पहले, आपको पुष्टि की प्रक्रिया पूरी करनी पड़े.

यह शर्त आपके ऐप्लिकेशन पर लागू होती है या नहीं, यह दो बातों पर निर्भर करता है:

  1. उपयोगकर्ता के किस तरह का डेटा ऐक्सेस किया जा सकता है—प्रोफ़ाइल की सार्वजनिक जानकारी, कैलेंडर एंट्री, Drive में मौजूद फ़ाइलें, सेहत और फ़िटनेस से जुड़ा कुछ डेटा वगैरह.
  2. आपकी कितनी ऐक्सेस होनी चाहिए—रीड-ओनली, पढ़ने और लिखने वगैरह की सुविधा

जब किसी Google खाते से उसका डेटा ऐक्सेस करने की अनुमति लेने के लिए, OAuth 2.0 का इस्तेमाल किया जाता है, तब स्कोप नाम की स्ट्रिंग का इस्तेमाल करके, यह तय किया जा सकता है कि आपको उसके लिए किस तरह का डेटा ऐक्सेस करना है. अगर आपके ऐप्लिकेशन के अनुरोधों के दायरे को संवेदनशील या पाबंदी लगी है की कैटगरी में रखा गया है, तो शायद आपको पुष्टि की प्रक्रिया पूरी करनी होगी. ऐसा तब तक करना होगा, जब तक आपके ऐप्लिकेशन के इस्तेमाल के लिए अपवाद उपलब्ध न हो.

संवेदनशील स्कोप के उदाहरणों में, Google Calendar में सेव किए गए इवेंट पढ़ना, Google Contacts में किसी नए संपर्क को सेव करना या किसी YouTube वीडियो को मिटाना शामिल है. उपलब्ध दायरे और उनकी कैटगरी के बारे में ज़्यादा जानकारी के लिए, आपके ऐप्लिकेशन से कॉल किए गए एपीआई एंडपॉइंट के रेफ़रंस दस्तावेज़ और एपीआई के लिए पब्लिश की गई, इससे जुड़ी अनुमति देने वाली गाइड देखें.

आपको ऐसे दायरों के लिए अनुरोध करना होगा जिनके लिए उपयोगकर्ता के डेटा का कम से कम ऐक्सेस ज़रूरी हो. उदाहरण के लिए, सिर्फ़ डेटा पढ़ने वाले ऐप्लिकेशन को कॉन्टेंट पढ़ने, उसमें बदलाव करने, और उसे मिटाने के ऐक्सेस का अनुरोध तब नहीं करना चाहिए, जब एपीआई और उससे जुड़े एंडपॉइंट के लिए ज़्यादा सटीक स्कोप उपलब्ध हो. Google API से मिलने वाला डेटा, सिर्फ़ एपीआई की नीतियों के मुताबिक इस्तेमाल किया जाना चाहिए. साथ ही, इस तरह से भी इस्तेमाल किया जाना चाहिए कि आप अपने ऐप्लिकेशन की कार्रवाइयों और निजता नीति में, उपयोगकर्ताओं को दिखाते हैं.

अपने ऐप्लिकेशन के लॉन्च प्लान की पुष्टि करने में लगने वाले समय का ध्यान रखें. साथ ही, उन नई सुविधाओं का भी ध्यान रखें जिनके लिए नए दायरे की ज़रूरत होती है. आम तौर पर, संवेदनशील दायरे की पुष्टि की प्रोसेस को पूरा होने में तीन से पांच कामकाजी दिन लगते हैं. ध्यान दें कि आपके ऐप्लिकेशन को संवेदनशील दायरे की पुष्टि के अनुरोध के सबसेट के तौर पर, ब्रैंड की पुष्टि करने की मंज़ूरी मिल सकती है.

संवेदनशील स्कोप को समझना

किसी भी Google खाते से ऐक्सेस देने से पहले, संवेदनशील मामलों के लिए Google से समीक्षा करना ज़रूरी है. Google Workspace संगठन के एडमिन, संवेदनशील दायरों के ऐक्सेस पर पाबंदी लगा सकते हैं. ऐसा करके, संगठन उन OAuth क्लाइंट आईडी के ज़रिए ऐक्सेस रोक सकता है जिन्हें संगठन ने साफ़ तौर पर भरोसेमंद के तौर पर मार्क नहीं किया है.

अपने दायरे के इस्तेमाल को समझना

  • देखें कि आपका ऐप्लिकेशन, किन स्कोप का इस्तेमाल करता है या आपको उनका इस्तेमाल करना है. अपने मौजूदा दायरे के इस्तेमाल के बारे में जानने के लिए, अनुमति देने के अनुरोध के साथ भेजे गए किसी भी दायरे के लिए, अपने ऐप्लिकेशन के सोर्स कोड की जांच करें.
  • यह तय करें कि अनुरोध किया गया हर दायरा, आपके ऐप्लिकेशन की सुविधा के हिसाब से कार्रवाइयों के लिए ज़रूरी है और सुविधा देने के लिए कम से कम खास अधिकार का इस्तेमाल करता है. आम तौर पर, Google API में प्रॉडक्ट के Google डेवलपर पेज पर, अपने एंडपॉइंट के लिए रेफ़रंस दस्तावेज़ होते हैं. इनमें एंडपॉइंट या किसी खास प्रॉपर्टी को कॉल करने के लिए ज़रूरी स्कोप शामिल होता है. आपका ऐप्लिकेशन जिन एपीआई एंडपॉइंट को कॉल करता है उनके ऐक्सेस के ज़रूरी दायरों के बारे में ज़्यादा जानकारी के लिए, उन एंडपॉइंट के रेफ़रंस दस्तावेज़ पढ़ें.
  • Google API से मिलने वाला डेटा, सिर्फ़ एपीआई की नीतियों के मुताबिक इस्तेमाल किया जाना चाहिए. साथ ही, इस तरह से भी इस्तेमाल किया जाना चाहिए कि आप अपने ऐप्लिकेशन की कार्रवाइयों और निजता नीति में, उपयोगकर्ताओं को दिखाते हैं.
  • हर स्कोप के बारे में ज़्यादा जानने और उसकी संभावित sensitive or restricted स्थिति के बारे में ज़्यादा जानने के लिए, एपीआई दस्तावेज़ देखें.
  • API Consoleके OAuth की सहमति वाली स्क्रीन कॉन्फ़िगरेशन के स्कोप वाले पेज पर, आपके ऐप्लिकेशन के इस्तेमाल किए गए सभी स्कोप के बारे में बताएं. पुष्टि करने के लिए ज़रूरी अतिरिक्त चीज़ों को हाइलाइट करने के लिए, आपके बताए गए स्कोप को संवेदनशील या पाबंदी वाली कैटगरी में रखा जाता है.
  • अपने इंटिग्रेशन में इस्तेमाल किए गए डेटा से मेल खाने वाला सबसे बेहतर स्कोप ढूंढें, इसके इस्तेमाल के बारे में जानें, फिर से पुष्टि करें कि अब भी सभी चीज़ें टेस्टिंग के लिए काम कर रही हैं. इसके बाद, पुष्टि के लिए सबमिट करने की तैयारी करें.
टेबल में एपीआई का नाम, उसके संवेदनशील स्कोप, और दायरे में आने वाली चीज़ों का ब्यौरा दिखता है.
इमेज 1. OAuth के लिए सहमति वाली स्क्रीन के कॉन्फ़िगरेशन स्कोप पेज में दिखाए गए संवेदनशील दायरे का एक उदाहरण.

पुष्टि की तैयारी करने का तरीका

Google API का इस्तेमाल करके डेटा के ऐक्सेस का अनुरोध करने वाले सभी ऐप्लिकेशन को ब्रैंड की पुष्टि करने के लिए, नीचे दिया गया तरीका अपनाना होगा:

  1. इस बात की पुष्टि करें कि आपका ऐप्लिकेशन, पुष्टि से जुड़ी ज़रूरी शर्तों के अपवाद सेक्शन में दिए गए, इस्तेमाल के किसी भी उदाहरण में शामिल नहीं है.
  2. पक्का करें कि आपका ऐप्लिकेशन, एपीआई या प्रॉडक्ट से जुड़े ब्रैंड की ज़रूरी शर्तों को पूरा करता हो. उदाहरण के लिए, 'Google साइन इन' के दायरे के लिए, ब्रैंडिंग के दिशा-निर्देश देखें.
  3. Google Search Console में जाकर, अपने प्रोजेक्ट के अनुमति वाले डोमेन के मालिकाना हक की पुष्टि करें. उस Google खाते का इस्तेमाल करें जो आपके API Console प्रोजेक्ट से मालिक या एडिटर के तौर पर जुड़ा हो.
  4. पक्का करें कि OAuth के लिए सहमति वाली स्क्रीन पर दी गई ब्रैंडिंग से जुड़ी सभी जानकारी, ऐप्लिकेशन की पहचान के बारे में सही तरीके से बताती हो. जैसे, ऐप्लिकेशन का नाम, सहायता ईमेल, होम पेज यूआरआई, निजता नीति यूआरआई वगैरह.

ऐप्लिकेशन के होम पेज से जुड़ी ज़रूरी शर्तें

पक्का करें कि आपका होम पेज, इन ज़रूरी शर्तों को पूरा करता हो:

  • आपका होम पेज सार्वजनिक रूप से ऐक्सेस करने लायक होना चाहिए. साथ ही, वह न सिर्फ़ आपकी साइट में लॉग इन किए हुए लोग ही उसे ऐक्सेस कर सकते हों.
  • यह साफ़ तौर पर बताया जाना चाहिए कि समीक्षा किए जा रहे ऐप्लिकेशन के साथ आपका होम पेज कितने काम का है.
  • Google Play Store या उसके Facebook पेज पर, आपके ऐप्लिकेशन की लिस्टिंग के लिंक को ऐप्लिकेशन का मान्य होम पेज नहीं माना जाता.

ऐप्लिकेशन की निजता नीति से जुड़े लिंक की ज़रूरी शर्तें

यह पक्का करें कि आपके ऐप्लिकेशन की निजता नीति इन ज़रूरी शर्तों को पूरा करती हो:

  • निजता नीति उपयोगकर्ताओं को दिखनी चाहिए और उन्हें आपके ऐप्लिकेशन का होम पेज वाले डोमेन में होस्ट किया जाना चाहिए. साथ ही, यह ज़रूरी है कि निजता नीति Google API Consoleकी OAuth सहमति वाली स्क्रीन से लिंक की गई हो. ध्यान रखें कि होम पेज पर ऐप्लिकेशन के फ़ंक्शन की जानकारी के साथ-साथ, निजता नीति और सेवा की वैकल्पिक शर्तों के लिंक भी दिए जाने चाहिए.
  • निजता नीति में यह बताना चाहिए कि आपका ऐप्लिकेशन, Google के उपयोगकर्ताओं के डेटा को किस तरह ऐक्सेस, इस्तेमाल, सेव या शेयर करता है. आपको Google के उपयोगकर्ताओं के डेटा का इस्तेमाल, उन तरीकों के मुताबिक ही करना चाहिए जिनके बारे में आपकी पब्लिश की गई निजता नीति में बताया गया है.

पुष्टि के लिए ऐप्लिकेशन सबमिट करने का तरीका

Google API Console प्रोजेक्ट में आपके सभी API Console संसाधनों को व्यवस्थित किया जाता है. प्रोजेक्ट में, जुड़े हुए Google खातों का एक सेट होता है जिन्हें प्रोजेक्ट से जुड़ी कार्रवाइयां करने की अनुमति होती है. साथ ही, इन एपीआई का सेट चालू होता है. साथ ही, इन एपीआई के लिए बिलिंग, पुष्टि, और निगरानी से जुड़ी सेटिंग भी प्रोजेक्ट में शामिल होती हैं. उदाहरण के लिए, किसी प्रोजेक्ट में एक या उससे ज़्यादा OAuth क्लाइंट हो सकते हैं, उन क्लाइंट के इस्तेमाल के लिए एपीआई को कॉन्फ़िगर किया जा सकता है, और OAuth की सहमति वाली स्क्रीन को कॉन्फ़िगर किया जा सकता है. यह स्क्रीन उपयोगकर्ताओं को तब दिखती है, जब वे आपके ऐप्लिकेशन को ऐक्सेस करने की अनुमति देते हैं.

अगर आपका कोई OAuth क्लाइंट बनाने के लिए तैयार नहीं है, तो हमारा सुझाव है कि आप उसे उस प्रोजेक्ट से मिटा दें जिसके लिए पुष्टि का अनुरोध किया जा रहा है. Google API Consoleमें जाकर ऐसा किया जा सकता है.

पुष्टि के लिए सबमिट करने के लिए, यह तरीका अपनाएं:

  1. पक्का करें कि आपका ऐप्लिकेशन, Google API की सेवा की शर्तों और Google API सेवाओं की उपयोगकर्ता के डेटा से जुड़ी नीति का पालन करता हो.
  2. अपने प्रोजेक्ट से जुड़े खातों के मालिक और एडिटर की भूमिकाओं को अप-टू-डेट रखें. साथ ही, OAuth के लिए सहमति वाली स्क्रीन पर, उपयोगकर्ता सहायता के लिए ईमेल और डेवलपर की संपर्क जानकारी को API Consoleमें रखें. इससे यह पक्का होता है कि आपकी टीम के सही सदस्यों को किसी भी नई शर्त के बारे में सूचना दी जाएगी.
  3. API Console OAuth Consent Screen pageपर जाएं.
  4. प्रोजेक्ट सिलेक्टर बटन पर क्लिक करें.

  5. दिखने वाले इससे चुनें डायलॉग बॉक्स में, अपना प्रोजेक्ट चुनें. अगर आपको अपना प्रोजेक्ट नहीं मिल रहा है, लेकिन आपको अपना प्रोजेक्ट आईडी पता है, तो ब्राउज़र में इस फ़ॉर्मैट में यूआरएल बनाया जा सकता है:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    [PROJECT_ID] की जगह उस प्रोजेक्ट आईडी का इस्तेमाल करें जिसका आपको इस्तेमाल करना है.

  6. ऐप्लिकेशन में बदलाव करें बटन चुनें.
  7. OAuth के लिए सहमति वाली स्क्रीन पर ज़रूरी जानकारी डालें. इसके बाद, सेव करें और जारी रखें बटन को चुनें.
  8. अपने ऐप्लिकेशन के अनुरोध किए गए सभी दायरों का एलान करने के लिए, दायरे जोड़ें या हटाएं बटन का इस्तेमाल करें. 'Google साइन-इन' के लिए ज़रूरी दायरों का सेट, गैर-संवेदनशील दायरे सेक्शन में पहले से भरा हुआ होता है. जोड़े गए स्कोप, नॉन-सेंसेटिव sensitive, or restrictedके तौर पर माने जाते हैं.
  9. अपने ऐप्लिकेशन में मिलती-जुलती सुविधाओं के लिए, काम के दस्तावेज़ के ज़्यादा से ज़्यादा तीन लिंक दें.

  10. आगे के चरणों में, अपने ऐप्लिकेशन के बारे में मांगी गई अतिरिक्त जानकारी दें.

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."

    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
  11. अगर आपके ऐप्लिकेशन के कॉन्फ़िगरेशन के लिए पुष्टि करना ज़रूरी है, तो आपके पास ऐप्लिकेशन को पुष्टि के लिए सबमिट करने का विकल्प है. ज़रूरी फ़ील्ड भरें और पुष्टि की प्रक्रिया शुरू करने के लिए, सबमिट करें पर क्लिक करें.

ऐप्लिकेशन सबमिट करने के बाद, Google की भरोसा और सुरक्षा टीम आपको ईमेल भेजकर बताती है कि आपको उनकी ज़रूरत के मुताबिक कोई अन्य जानकारी देनी है या पूरा करना होगा. ज़्यादा जानकारी के अनुरोधों के लिए, डेवलपर की संपर्क जानकारी सेक्शन में अपने ईमेल पते और OAuth के लिए सहमति देने वाली स्क्रीन पर, सहायता ईमेल देखें. अपने प्रोजेक्ट की समीक्षा की मौजूदा स्थिति की पुष्टि करने के लिए, उस स्क्रीन पेज को भी देखा जा सकता है जहां OAuth के लिए सहमति दी जाती है. इसमें यह जानकारी भी शामिल होती है कि जब तक हम आपके जवाब का इंतज़ार कर रहे हैं, तब तक समीक्षा की प्रोसेस को रोका गया है या नहीं.

पुष्टि करने की ज़रूरी शर्तों से जुड़े अपवाद

अगर आपका ऐप्लिकेशन यहां दिए गए सेक्शन में बताई गई किसी भी स्थिति में इस्तेमाल किया जाएगा, तो आपको उसे समीक्षा के लिए सबमिट करने की ज़रूरत नहीं है.

निजी इस्तेमाल के लिए

इसका एक उदाहरण यह है कि जब आपके ऐप्लिकेशन का इस्तेमाल सिर्फ़ आप करते/करती हों या आपके ऐप्लिकेशन का इस्तेमाल कुछ ही उपयोगकर्ता करते हों और वे सभी लोग निजी तौर पर आपकी जानकारी रखते हों. आप और आपके सीमित उपयोगकर्ता, जिन ऐप्लिकेशन की पुष्टि नहीं हुई है उनकी स्क्रीन पर आगे बढ़ने और अपने निजी खातों को अपने ऐप्लिकेशन का ऐक्सेस देने से सहज महसूस कर सकते हैं.

डेवलपमेंट, टेस्टिंग या स्टेजिंग लेवल में इस्तेमाल किए जाने वाले प्रोजेक्ट

Google OAuth 2.0 की नीतियों का पालन करने के लिए, हमारा सुझाव है कि आपके पास टेस्टिंग और प्रोडक्शन एनवायरमेंट के लिए अलग-अलग प्रोजेक्ट हों. हमारा सुझाव है कि आप पुष्टि के लिए अपने ऐप्लिकेशन को सिर्फ़ तब सबमिट करें, जब आपको अपना ऐप्लिकेशन, Google खाते वाले किसी भी उपयोगकर्ता को उपलब्ध कराना हो. इसलिए, अगर आपका ऐप्लिकेशन डेवलपमेंट, टेस्टिंग या स्टेजिंग चरण में है, तो पुष्टि की ज़रूरत नहीं है.

अगर आपके ऐप्लिकेशन को डेवलप किया जा रहा है या उसकी जांच की जा रही है, तो आपके पास टेस्टिंग की डिफ़ॉल्ट सेटिंग में पब्लिश करने का स्टेटस छोड़ने का विकल्प है. इस सेटिंग का मतलब है कि आपके ऐप्लिकेशन को अब भी डेवलप किया जा रहा है. यह सिर्फ़ उन उपयोगकर्ताओं के लिए उपलब्ध है जिन्हें आपने टेस्ट उपयोगकर्ताओं की सूची में जोड़ा है. आपको उन Google खातों की सूची मैनेज करनी होगी जो आपके ऐप्लिकेशन को डेवलप करते हैं या उसकी जांच करते हैं.

चेतावनी का यह मैसेज कि Google ने किसी ऐसे ऐप्लिकेशन की पुष्टि नहीं की है जिसकी जांच की जा रही है.
इमेज 2. टेस्टर के लिए चेतावनी वाली स्क्रीन

सिर्फ़ सेवा के मालिकाना हक वाला डेटा

अगर आपका ऐप्लिकेशन सिर्फ़ अपने डेटा को ऐक्सेस करने के लिए किसी सेवा खाते का इस्तेमाल करता है और वह उपयोगकर्ता के किसी भी डेटा (Google खाते से जुड़ा) को ऐक्सेस नहीं करता है, तो आपको पुष्टि के लिए फ़ॉर्म सबमिट करने की ज़रूरत नहीं है.

सेवा खातों को समझने के लिए, Google Cloud के दस्तावेज़ में सेवा खाते देखें. सेवा खाते का इस्तेमाल करने के तरीके से जुड़े निर्देशों के लिए, सर्वर से सर्वर ऐप्लिकेशन के लिए OAuth 2.0 का इस्तेमाल करना देखें.

केवल आंतरि‍क उपयोग के लि‍ए

इसका मतलब है कि ऐप्लिकेशन का इस्तेमाल सिर्फ़ आपके Google Workspace या Cloud Identity संगठन के लोग ही कर सकते हैं. प्रोजेक्ट का मालिकाना हक संगठन के पास होना चाहिए. साथ ही, इसकी OAuth सहमति वाली स्क्रीन को, इंटरनल उपयोगकर्ता टाइप के लिए कॉन्फ़िगर किया जाना चाहिए. इस स्थिति में, आपके ऐप्लिकेशन को संगठन के एडमिन से अनुमति लेनी पड़ सकती है. ज़्यादा जानकारी के लिए, Google Workspace के बारे में अतिरिक्त जानकारी देखें.

पूरे डोमेन के लिए इंस्टॉल करना

अगर आपको अपना ऐप्लिकेशन सिर्फ़ Google Workspace या Cloud Identity के संगठन के उपयोगकर्ताओं को टारगेट करना है और हमेशा पूरे डोमेन पर इंस्टॉलेशन का इस्तेमाल करना है, तो आपके ऐप्लिकेशन को पुष्टि करने की ज़रूरत नहीं होगी. ऐसा इसलिए है, क्योंकि पूरे डोमेन पर इंस्टॉल करने से डोमेन एडमिन, तीसरे पक्ष और अंदरूनी ऐप्लिकेशन को आपके उपयोगकर्ताओं के डेटा का ऐक्सेस दे पाता है. सिर्फ़ संगठन के एडमिन के पास, ऐप्लिकेशन को अनुमति वाले डोमेन की सूची में जोड़ने का विकल्प होता है, ताकि उसे अपने डोमेन में इस्तेमाल किया जा सके.

अक्सर पूछे जाने वाले सवाल में जाकर, अपने ऐप्लिकेशन को डोमेन के लिए इंस्टॉल करने का तरीका जानें मेरे ऐप्लिकेशन में ऐसे उपयोगकर्ता हैं जिनके पास दूसरे Google Workspace डोमेन के एंटरप्राइज़ खाते हैं.