如果您使用 OAuth 2.0 進行授權,Google 會向使用者顯示同意畫面,其中包括專案摘要、政策政策,以及要求的存取授權範圍。設定應用程式的 OAuth 同意畫面會定義使用者和應用程式審查人員看到的內容,並註冊應用程式,以便您之後發布。
如要定義授予應用程式的存取權層級,您必須識別並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串,包含 Google Workspace 應用程式名稱、應用程式存取的資料類型,以及存取層級。「範圍」是應用程式要求處理 Google Workspace 資料的要求,包括使用者的 Google 帳戶資料。
應用程式安裝完畢後,系統會要求使用者驗證應用程式使用的範圍。一般而言,您應選擇盡可能縮小的範圍,並避免要求應用程式不需要的範圍。使用者能夠更順利地授予描述過明確、有限範圍的存取權。
使用 OAuth 2.0 的所有應用程式都需要設定同意畫面,但您只需要列出 Google Workspace 機構外使用者所用應用程式的範圍。
提示:如果您不知道必要的同意畫面資訊,可以在發布前使用預留位置資訊。
基於安全考量, OAuth 2.0 同意畫面設定完成後即無法移除。
設定 OAuth 同意聲明
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「OAuth 同意畫面」。
- 選取應用程式的使用者類型,然後按一下「Create」。
- 填寫應用程式註冊表單,然後按一下「儲存並繼續」。
如要建立可在 Google Workspace 機構外部使用的應用程式,請按一下「新增或移除範圍」。建議您在選取範圍時採用以下最佳做法:
- 選取提供應用程式所需最低存取權範圍的範圍。如需可用範圍的清單,請參閱 Google API 適用的 OAuth 2.0 範圍。
- 查看以下三個區段列出的範圍:非機密範圍、敏感範圍及受限制的範圍。針對「您的機密範圍」或「您的受限制範圍」部分中列出的任何範圍,請找出其他的非機密範圍,避免進行不必要的額外審查。
- 部分範圍需要 Google 進行額外審查。如果應用程式只會在您的 Google Workspace 機構內部使用,同意畫面就不會列出範圍,而使用受限製或敏感範圍的應用程式並不需要經過 Google 進一步審查。詳情請參閱「範圍類別」相關說明。
- 選取應用程式所需的範圍後,請按一下「儲存並繼續」。
- 針對使用者類型選取「外部」,請新增測試使用者:
- 在「測試使用者」下方,點選「新增使用者」。
- 輸入您的電子郵件地址和任何其他授權測試使用者,然後按一下「儲存並繼續」。
- 查看您的應用程式註冊摘要。如要變更,請按一下「編輯」。如果應用程式註冊正確無誤,請按一下「Back to Dashboard」(返回資訊主頁)。
範圍類別
某些範圍需要額外審查和要求,因為授予的層級或類型不同。請考慮以下類型的範圍:
| 必須進行基本應用程式驗證 | 必須進行額外的應用程式驗證 | 必須進行安全性評估 | |||
|---|---|---|---|---|---|
| 非機密範圍 (建議) | 只授予與特定動作立即相關的有限資料存取權。 | — | — | ||
 |
敏感範圍 | 授予使用者個人資料、資源或動作的存取權。 | — | ||
 |
受限制的範圍 | 授予高度機密或廣泛的使用者資料或操作的存取權。 |
後續步驟
為您的應用程式建立存取憑證。