כשמשתמשים ב-OAuth 2.0 לאימות, Google מציגה למשתמש מסך הסכמה שכולל סיכום של הפרויקט, המדיניות והיקפי ההרשאות המבוקשים לגישה. הגדרת מסך ההסכמה ל-OAuth של האפליקציה קובעת מה יוצג למשתמשים ולבודקי האפליקציה, ורושמת את האפליקציה כדי שתוכלו לפרסם אותה בהמשך.
כדי להגדיר את רמת הגישה שניתנת לאפליקציה, צריך לזהות ולהצהיר על היקפי הרשאות. היקף הרשאות הוא מחרוזת URI של OAuth 2.0 שמכילה את שם אפליקציית Google Workspace, את סוג הנתונים שהאפליקציה ניגשת אליהם ואת רמת הגישה. ההיקפים הם הבקשות של האפליקציה לעבוד עם נתוני Google Workspace, כולל נתוני חשבון Google של המשתמשים.
כשמתקינים את האפליקציה, המשתמש מתבקש לאמת את היקפי ההרשאות שבהם נעשה שימוש באפליקציה. בדרך כלל, כדאי לבחור את היקף ההרשאות המצומצם ביותר שאפשר, ולהימנע מבקשת היקפי הרשאות שהאפליקציה לא צריכה. המשתמשים נוטים יותר להעניק גישה להיקפים מוגבלים שמתוארים בצורה ברורה.
כל האפליקציות שמשתמשות ב-OAuth 2.0 דורשות הגדרה של מסך הסכמה, אבל צריך לציין היקפי גישה רק לאפליקציות שמשמשות אנשים מחוץ לארגון Google Workspace שלכם.
טיפ: אם אתם לא יודעים מה המידע שצריך להופיע במסך בקשת ההסכמה, אתם יכולים להשתמש במידע של placeholder לפני הפרסום.
מטעמי אבטחה, אי אפשר להסיר את מסך ההסכמה להרשאות OAuth 2.0 אחרי שמגדירים אותו.
הגדרת הסכמה ל-OAuth
- במסוף Google Cloud, עוברים אל תפריט > Google Auth platform > Branding.
- אם כבר הגדרתם את Google Auth platform, אתם יכולים לקבוע את ההגדרות הבאות של מסך ההסכמה ל-OAuth בקטעים Branding, Audience וData Access. אם מופיעה ההודעה Google Auth platform not configured yet, לוחצים על Get Started:
- בקטע App Information בשדה App name, מזינים שם לאפליקציה.
- בקטע User support email, בוחרים כתובת אימייל לתמיכה שאליה משתמשים יפנו אם יש להם שאלות לגבי ההסכמה שלהם.
- לוחצים על הבא.
- בקטע קהל, בוחרים את סוג המשתמשים באפליקציה.
- לוחצים על הבא.
- בקטע Contact Information, מזינים כתובת אימייל שאליה אפשר לשלוח התראות על שינויים בפרויקט.
- לוחצים על Next.
- בקטע Finish, קוראים את המדיניות של Google בנושא נתוני משתמשים בשירותי API. אם אתם מסכימים, סמנו את התיבה I agree to the Google API Services: User Data Policy.
- לוחצים על Continue.
- לוחצים על יצירה.
- אם בחרתם באפשרות חיצוני לסוג המשתמש, מוסיפים משתמשי בדיקה:
- לוחצים על קהל.
- בקטע משתמשי בדיקה, לוחצים על הוספת משתמשים.
- מזינים את כתובת האימייל שלכם ושל משתמשים מורשים אחרים לבדיקה, ואז לוחצים על שמירה.
אם אתם יוצרים אפליקציה לשימוש מחוץ לארגון שלכם ב-Google Workspace, לוחצים על גישה לנתונים > הוספה או הסרה של היקפי הרשאה. אלה השיטות המומלצות לבחירת היקפי הרשאות:
- בוחרים את היקפי ההרשאות שמספקים את רמת הגישה המינימלית שנדרשת לאפליקציה. רשימה של היקפי ההרשאות הזמינים מופיעה במאמר היקפי הרשאות של OAuth 2.0 ל-Google APIs.
- בודקים את ההיקפים שמפורטים בכל אחד משלושת החלקים: היקפים לא רגישים, היקפים רגישים והיקפים מוגבלים. לגבי כל היקפי ההרשאות שמופיעים בקטע Your sensitive scopes (היקפי ההרשאות הרגישים שלך) או בקטע Your restricted scopes (היקפי ההרשאות המוגבלים שלך), כדאי לנסות לזהות היקפי הרשאות חלופיים לא רגישים כדי להימנע מבדיקות נוספות מיותרות.
- חלק מההיקפים דורשים בדיקות נוספות על ידי Google. אם האפליקציות משמשות רק באופן פנימי בארגון Google Workspace שלכם, ההיקפים לא מפורטים במסך ההסכמה, והשימוש בהיקפים מוגבלים או רגישים לא מחייב בדיקה נוספת על ידי Google. מידע נוסף מופיע במאמר קטגוריות של היקפים.
- אחרי שבוחרים את היקפי ההרשאות שנדרשים לאפליקציה, לוחצים על שמירה.
מידע נוסף על הגדרת הסכמה ל-OAuth זמין במאמר תחילת העבודה עם Google Auth platform.
קטגוריות של היקף
חלק מההיקפים מחייבים בדיקות ודרישות נוספות בגלל רמת הגישה או סוג הגישה שהם מעניקים. כדאי להביא בחשבון את סוגי ההיקפים הבאים:
| נדרש אימות בסיסי של האפליקציה | נדרש אימות נוסף של האפליקציה | נדרשת הערכת אבטחה | |||
|---|---|---|---|---|---|
| היקפי הרשאות לא רגישים (מומלץ) | להעניק גישה רק לנתונים מוגבלים שרלוונטיים באופן מיידי לפעולה ספציפית. | — | — | ||
 |
היקפים רגישים | גישה לנתונים אישיים של משתמשים, למשאבים או לפעולות. | — | ||
 |
היקפים מוגבלים | הענקת גישה לנתוני משתמש רגישים מאוד או נרחבים, או לפעולות. |
השלב הבא
יוצרים פרטי גישה לאפליקציה.