OAuth-Clientüberprüfung

Google OAuth-Clients, die bestimmte vertrauliche OAuth-Bereiche anfordern, werden von Google geprüft.

Wenn Sie den OAuth-Client Ihres Skriptprojekts nicht überprüfen, sehen Nutzer außerhalb Ihrer Domain einen Bildschirm mit einer nicht überprüften Anwendung, wenn sie versuchen, Ihr Skript zu autorisieren. Mit einem nicht überprüften Autorisierungsvorgang können diese Nutzer ungeprüfte Anwendungen autorisieren und verwenden, jedoch erst, nachdem bestätigt wurde, dass sie sich der Risiken bewusst sind. Auch die Gesamtzahl der nicht bestätigten App-Nutzer ist begrenzt.

Weitere Informationen finden Sie in folgenden Artikeln:

 

Bildschirm für nicht überprüfte App
Abbildung 1: Bildschirm mit nicht überprüfter Anwendung
Autorisierungsvorgang für nicht überprüfte Apps
Abbildung 2: Ablauf für die Autorisierung einer ungeprüften Anwendung

 

Diese Änderung gilt für Google OAuth-Webclients, einschließlich derer, die von allen Apps Script-Projekten verwendet werden. Wenn Sie Ihre Anwendung bei Google verifizieren, können Sie den Bildschirm der nicht überprüften Anwendung aus dem Autorisierungsvorgang entfernen und Ihren Nutzern die Gewissheit geben, dass Ihre Anwendung nicht schädlich ist.

Nicht überprüfte Apps

Add-ons, Webanwendungen und andere Bereitstellungen (z. B. Anwendungen, die die Apps Script API verwenden) müssen möglicherweise geprüft werden.

Geltungsbereich

Wenn die Anwendung vertrauliche OAuth-Bereiche verwendet, wird der Bildschirm der nicht überprüften Anwendung möglicherweise als Teil des Autorisierungsvorgangs angezeigt. Die Präsenz (und der resultierende Autorisierungsvorgang für eine nicht bestätigte Anwendung) hängt davon ab, über welches Konto die Anwendung veröffentlicht wird und welches Konto versucht, die Anwendung zu verwenden. Beispielsweise führen Apps, die in einer bestimmten Google Workspace-Organisation veröffentlicht werden, nicht zum nicht bestätigten Autorisierungsvorgang für Konten in dieser Domain, auch wenn die Anwendung nicht bestätigt wurde.

Die folgende Tabelle zeigt, in welchen Situationen der Autorisierungsvorgang für eine nicht überprüfte Anwendung zur Folge hat:

Kunde ist bestätigt Publisher ist ein Google Workspace-Konto von Kunde A Skript befindet sich in der geteilten Ablage von Kunde A Der Publisher ist ein Gmail-Konto
Der Nutzer ist ein Google Workspace-Konto von Kunde A Normaler Autorisierungsablauf Normaler Autorisierungsablauf Normaler Autorisierungsablauf Ablauf der nicht bestätigten Authentifizierung
Der Nutzer ist ein Google Workspace-Konto, das nicht von Kunde A ist Normaler Autorisierungsablauf Ablauf der nicht bestätigten Authentifizierung Ablauf der nicht bestätigten Authentifizierung Ablauf der nicht bestätigten Authentifizierung
Der Nutzer ist ein Gmail-Konto.1 Normaler Autorisierungsablauf Ablauf der nicht bestätigten Authentifizierung Ablauf der nicht bestätigten Authentifizierung Ablauf der nicht bestätigten Authentifizierung

1Ein beliebiges Gmail-Konto, einschließlich des Kontos, das zum Veröffentlichen der App verwendet wird.

Nutzerobergrenze

Die Anzahl der Nutzer, die eine Anwendung über den Ablauf nicht überprüfter Anwendungen autorisieren können, ist begrenzt, um möglichen Missbrauch zu begrenzen. Weitere Informationen finden Sie unter Nutzerlimits für OAuth-Anwendungen.

Überprüfung wird angefordert

Sie können eine Überprüfung des von Ihrer Anwendung verwendeten OAuth-Clients und des zugehörigen Cloud Platform-Projekts (GCP) anfordern. Sobald Ihre Anwendung verifiziert wurde, wird den Nutzern der Bildschirm für die ungeprüfte Anwendung nicht mehr angezeigt. Außerdem unterliegt Ihre Anwendung nicht mehr der Nutzerobergrenze.

Voraussetzungen

Sie müssen die folgenden Anforderungen erfüllen, um Ihren OAuth-Client zur Prüfung einzureichen:

  1. Sie müssen Inhaber einer Website in einer Domain sein. Die Website muss öffentlich zugängliche Seiten hosten, auf denen Ihre App und ihre Datenschutzerklärung beschrieben werden. Außerdem musst du bei Google bestätigen, dass du der Inhaber der Website bist.

  2. Das von Ihrem Skriptprojekt verwendete Google Cloud-Projekt muss ein Google Cloud-Standardprojekt sein, für das Sie Bearbeitungszugriff haben. Wenn das Skript sein Google Cloud-Standardprojekt verwendet, müssen Sie zu einem Google Cloud-Standardprojekt wechseln.

Außerdem benötigen Sie die folgenden erforderlichen Assets:

  • Name der Anwendung: Der Name der App; wird auf dem Zustimmungsbildschirm angezeigt. Er sollte mit dem Namen übereinstimmen, der an anderen Orten für die Anwendung verwendet wird, z. B. im Eintrag Google Workspace Marketplace für veröffentlichte Apps.
  • Anwendungslogo: Ein Bild des App-Logos im JPEG-, PNG- oder BMP-Format, das auf dem Zustimmungsbildschirm verwendet werden kann. Die Datei darf maximal 1 MB groß sein.
  • Support-E-Mail-Adresse: Dies ist eine E-Mail-Adresse, die auf dem Zustimmungsbildschirm angezeigt wird. Nutzer können sich an sie wenden, wenn sie Anwendungssupport benötigen. Das kann Ihre E-Mail-Adresse oder eine Google-Gruppe sein, deren Inhaber Sie sind oder die Sie verwalten.
  • Bereiche: Die Liste aller Bereiche, die Ihre Anwendung verwendet. Sie können Ihre Bereiche im Apps Script-Editor ansehen.
  • Autorisierte Domains. Dies ist eine Liste von Domains mit Informationen zu Ihrer Anwendung. Alle Links Ihrer Anwendung, z. B. die erforderliche Seite mit der Datenschutzerklärung, müssen in autorisierten Domains gehostet werden.
  • URL der Startseite der Anwendung: Der Speicherort einer Startseite, die Ihre App beschreibt. Dieser Standort muss in einer autorisierten Domain gehostet werden.
  • URL der Datenschutzerklärung der Anwendung: Der Speicherort einer Seite, auf der die Datenschutzerklärung Ihrer App beschrieben wird. Dieser Standort muss in einer autorisierten Domain gehostet werden.

Zusätzlich zu den oben erforderlichen Assets können Sie optional eine URL für die Nutzungsbedingungen der Anwendung angeben, die auf eine Seite verweist, auf der die Nutzungsbedingungen Ihrer App beschrieben werden. Wenn dieser Standort angegeben ist, muss er sich in einer autorisierten Domain befinden.

Schritte

  1. Falls noch nicht geschehen, bestätigen Sie die Inhaberschaft aller autorisierten Domains, die Sie zum Hosten der Datenschutzerklärung und anderer Informationen Ihres Skriptprojekts verwenden. Die bestätigten Inhaber der Domains müssen Bearbeiter oder Inhaber des Skriptprojekts sein.
  2. Klicken Sie im Apps Script-Projekt auf Übersicht . Kopieren Sie unter Projekt-OAuth-Bereiche die Bereiche, die Ihr Skriptprojekt verwendet.

  3. Füllen Sie den OAuth-Zustimmungsbildschirm für das Google Cloud-Projekt Ihrer Anwendung aus. Verwenden Sie dazu die erfassten Text- und URL-Assets.

    1. Geben Sie die autorisierten Domains an, in denen die Informationen Ihrer Anwendung, z. B. die Datenschutzerklärung, gehostet werden.

    2. Klicken Sie auf Bereiche hinzufügen oder entfernen, um Anwendungsbereiche hinzuzufügen. Im daraufhin angezeigten Dialogfeld wird versucht, Bereiche für APIs, die Sie in der Google Cloud Console aktiviert haben (z. B. erweiterte Dienste), automatisch zu erkennen. Sie können Bereiche aus dieser Liste auswählen, indem Sie die entsprechenden Kästchen anklicken.

      Diese automatisch erkannte Liste enthält nicht immer Bereiche, die von integrierten Diensten von Apps Script verwendet werden. Sie müssen diese Bereiche unter Bereiche manuell hinzufügen eingeben.

      Wenn Sie fertig sind, klicken Sie auf Aktualisieren.

  4. Wenn Sie alle erforderlichen Informationen eingegeben haben, klicken Sie auf Speichern.

  5. Klicken Sie auf Zur Überprüfung einreichen, um eine Bestätigungsanfrage zu starten.

Die meisten Bestätigungsanfragen erhalten innerhalb von 24 bis 72 Stunden eine Antwort. Sie können den Bestätigungsstatus oben im Formular für den OAuth-Zustimmungsbildschirm prüfen. Wenn die Verifizierung Ihres OAuth-Clients bestätigt wurde, ist Ihre Anwendung verifiziert.