Định cấu hình OAuth

Khi phát hành ứng dụng, bạn cần hoàn thành 4 nhiệm vụ chính để xác thực và uỷ quyền:

1. Điền thông tin vào màn hình xin phép bằng OAuth.
2. Tạo thông tin đăng nhập OAuth 2.0.
3. Định cấu hình tất cả các phạm vi mà ứng dụng cần chạy trong SDK Google Workspace Marketplace
4. Gửi ứng dụng của bạn để xác minh OAuth.

Phạm vi mà bạn thêm cho mỗi địa điểm phải khớp nhau và được dùng theo những cách sau:

• Các phạm vi đã thêm vào màn hình xin phép bằng OAuth sẽ được dùng để xác minh OAuth.
• Các phạm vi được thêm vào SDK Google Workspace Marketplace được dùng cho lượt cài đặt trên toàn miền và từng lượt cài đặt để uỷ quyền cho ứng dụng của bạn khi được cài đặt từ Google Workspace Marketplace.
• Các phạm vi được thêm vào tệp kê khai là cần thiết để ứng dụng của bạn hoạt động đúng cách.

Ví dụ: nếu bạn phát hành một ứng dụng chứa tiện ích bổ sung Google Trang tính và tiện ích bổ sung Google Tài liệu, thì tệp kê khai Apps Script của từng tiện ích bổ sung chỉ bao gồm các phạm vi dành riêng cho tiện ích bổ sung đó. Trong dự án Google Cloud, màn hình xin phép bằng OAuth và SDK Google Workspace Marketplace có các phạm vi cho cả hai tiện ích bổ sung.

Điều kiện tiên quyết

• Trong một dự án trên Google Cloud, hãy bật tính năng thanh toán.
• Tạo và kiểm thử ứng dụng.
• Tìm hiểu về quy trình xác thực và uỷ quyền.
• Nếu bạn đã tạo ứng dụng trong Google Apps Script, hãy cập nhật dự án Google Cloud cho các dự án Apps Script.

1. Điền vào màn hình xin phép bằng OAuth

Màn hình xin phép bằng OAuth là lời nhắc cho người dùng biết ai đang yêu cầu quyền truy cập vào dữ liệu của họ và loại dữ liệu mà người dùng đang cho phép ứng dụng của bạn truy cập.

1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn menu > API và dịch vụ > màn hình đồng ý OAuth.

   Chuyển đến màn hình xin phép bằng OAuth

2. Chọn loại người dùng cho ứng dụng của bạn, sau đó nhấp vào Create (Tạo).
3. Hoàn tất biểu mẫu đăng ký ứng dụng, sau đó nhấp vào Lưu và tiếp tục.

4. Nếu bạn đang tạo một ứng dụng để dùng bên ngoài tổ chức Google Workspace của mình, hãy nhấp vào Add or Remove Scopes (Thêm hoặc xoá phạm vi). Khi chọn phạm vi, bạn nên áp dụng các phương pháp hay nhất sau đây:

   • Chọn các phạm vi cung cấp cấp truy cập tối thiểu mà ứng dụng của bạn yêu cầu. Để biết danh sách các phạm vi có thể sử dụng, hãy xem nội dung Phạm vi OAuth 2.0 dành cho API Google.
   • Xem xét các phạm vi được liệt kê trong mỗi phần trong số 3 phần: phạm vi không nhạy cảm, phạm vi nhạy cảm và phạm vi bị hạn chế. Đối với mọi phạm vi nêu trong phần "Các phạm vi nhạy cảm của bạn" hoặc "Các phạm vi bị hạn chế của bạn", hãy cố gắng xác định các phạm vi không nhạy cảm thay thế để tránh phải xem xét thêm.
   • Một số phạm vi yêu cầu Google xem xét thêm. Đối với các ứng dụng chỉ được tổ chức của bạn trên Google Workspace sử dụng trong nội bộ, phạm vi sẽ không được liệt kê trên màn hình xin phép và việc sử dụng các phạm vi bị hạn chế hoặc nhạy cảm không cần được Google xem xét thêm. Để biết thêm thông tin, hãy xem bài viết Danh mục phạm vi.
5. Sau khi chọn các phạm vi mà ứng dụng của bạn yêu cầu, hãy nhấp vào Save and Continue (Lưu và tiếp tục).
6. Nếu bạn đã chọn Bên ngoài cho loại người dùng, hãy thêm người dùng thử nghiệm:
   1. Trong phần Người dùng thử nghiệm, hãy nhấp vào Thêm người dùng.
   2. Nhập địa chỉ email của bạn và bất kỳ người dùng thử nghiệm nào khác được uỷ quyền, sau đó nhấp vào Lưu và tiếp tục.
7. Xem lại tóm tắt đăng ký ứng dụng của bạn. Để chỉnh sửa, hãy nhấp vào Chỉnh sửa. Nếu quá trình đăng ký ứng dụng có vẻ ổn, hãy nhấp vào Back to Dashboard (Quay lại Trang tổng quan).

2. Tạo thông tin xác thực OAuth 2.0

Tuỳ thuộc vào cách bạn xây dựng ứng dụng, có 2 cách để tạo thông tin đăng nhập OAuth 2.0.

Nếu bạn tạo ứng dụng trong Apps Script

Chuyển dự án Apps Script từ dự án Google Cloud mặc định sang dự án chuẩn mới của bạn. Hãy xem phần Chuyển sang một dự án chuẩn khác.

Sau khi bạn liên kết dự án Apps Script với dự án Google Cloud, thông tin đăng nhập OAuth 2.0 của bạn sẽ được tạo tự động.

Nếu bạn không sử dụng Apps Script để tạo ứng dụng

Để tạo thông tin đăng nhập OAuth 2.0, hãy xem Thông tin xác thực mã ứng dụng khách OAuth.

3. Định cấu hình phạm vi

Cung cấp danh sách đầy đủ các phạm vi OAuth mà ứng dụng của bạn yêu cầu. Luôn sử dụng phạm vi hẹp nhất có thể.

Để xác định cấp truy cập được cấp cho ứng dụng của mình, bạn cần xác định và khai báo phạm vi cấp quyền. Phạm vi uỷ quyền là một chuỗi URI OAuth 2.0 có chứa tên ứng dụng Google Workspace, loại dữ liệu mà ứng dụng đó truy cập và cấp truy cập. Phạm vi là các yêu cầu mà ứng dụng của bạn yêu cầu để hoạt động với dữ liệu Google Workspace, bao gồm cả dữ liệu trong Tài khoản Google của người dùng.

Khi cài đặt ứng dụng, người dùng sẽ được yêu cầu xác thực các phạm vi mà ứng dụng dùng. Nhìn chung, bạn nên chọn phạm vi tập trung hẹp nhất có thể và tránh yêu cầu các phạm vi mà ứng dụng không cần. Người dùng dễ dàng cấp quyền truy cập vào các phạm vi giới hạn, được mô tả rõ ràng.

4. Gửi để xác minh OAuth (Chỉ áp dụng cho ứng dụng công khai)

Nếu một ứng dụng công khai sử dụng phạm vi nhạy cảm hoặc bị hạn chế, thì ứng dụng đó phải trải qua quy trình xem xét xác minh OAuth.

• Để xác minh OAuth, bạn phải gửi một video minh hoạ hành trình hoặc quy trình, giải thích cách sử dụng các phạm vi hoặc dữ liệu được yêu cầu cho người dùng.
• Nếu sử dụng phạm vi bị hạn chế, ứng dụng của bạn cũng có thể cần phải trải qua quy trình đánh giá bảo mật. Hãy xem bài viết Tại sao cần đánh giá bảo mật.

Để gửi đi xác minh, hãy làm theo các bước sau:

1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn menu > API và dịch vụ > màn hình đồng ý OAuth.

   Chuyển đến màn hình xin phép bằng OAuth

2. Nhấp vào Project selector (Bộ chọn dự án) rồi chọn dự án của bạn.
3. Nhấp vào Chỉnh sửa ứng dụng
4. Nhập thông tin bắt buộc rồi nhấp vào Gửi để xác minh.
5. Trong hộp thoại Cần xác minh, hãy nhập lý do thích hợp rồi nhấp vào Gửi để bắt đầu quy trình xác minh.

Nếu cập nhật ứng dụng để sử dụng nhiều phạm vi nhạy cảm hoặc hạn chế, bạn phải gửi lại ứng dụng để xác minh OAuth. Bạn không cần gửi lại để xem xét lại ứng dụng.

Sự khác biệt giữa quy trình xác minh OAuth và quy trình xem xét ứng dụng

Xác minh OAuth là một quy trình riêng biệt với quy trình xem xét ứng dụng. Tính năng này tập trung vào việc đảm bảo màn hình xin phép thể hiện chính xác danh tính và ý định của ứng dụng, đồng thời đảm bảo ứng dụng không sử dụng dữ liệu người dùng sai mục đích. Chúng tôi không thể phê duyệt trang thông tin ứng dụng của bạn cho đến khi quy trình xác minh OAuth của ứng dụng hoàn tất. Để biết thêm thông tin về quy trình xác minh OAuth, hãy xem bài viết Câu hỏi thường gặp về quy trình xác minh qua API OAuth.

Quy trình xem xét ứng dụng tập trung vào thông tin bạn cung cấp trong API Google Workspace Marketplace cũng như chức năng và khả năng hữu dụng của ứng dụng. Để tìm hiểu thêm về tiêu chí xem xét ứng dụng, hãy xem bài viết Giới thiệu về quy trình xem xét ứng dụng.