OAuth-Clientüberprüfung

Google OAuth-Clients, die bestimmte vertrauliche OAuth-Bereiche anfordern, werden von Google überprüft.

Wenn Sie den OAuth-Client Ihres Skriptprojekts nicht überprüfen, sehen Nutzer außerhalb Ihrer Domain einen Bildschirm mit einer nicht überprüften Anwendung, wenn sie Ihr Skript autorisieren möchten. Durch einen nicht überprüften Autorisierungsvorgang können diese Nutzer ungeprüfte Apps autorisieren und verwenden, aber erst nachdem sie bestätigt haben, dass sie sich der Risiken bewusst sind. Es gilt ebenfalls ein Limit für die Gesamtzahl der nicht bestätigten App-Nutzer.

Weitere Informationen finden Sie in folgenden Artikeln:

 

Nicht überprüfter App-Bildschirm
Abbildung 1: Bildschirm für nicht überprüfte Anwendung
Ungeprüfte App-Autorisierung
Abbildung 2: Ablauf der Autorisierung einer nicht überprüften Anwendung

 

Diese Änderung gilt für Google OAuth-Webclients, einschließlich derer, die von allen Apps Script-Projekten verwendet werden. Wenn Sie Ihre Anwendung bei Google verifizieren, können Sie den Bildschirm der ungeprüften Anwendung aus Ihrem Autorisierungsvorgang entfernen und Ihren Nutzern die Gewissheit geben, dass Ihre Anwendung nicht schädlich ist.

Nicht überprüfte Apps

Add-ons, Webanwendungen und andere Bereitstellungen (z. B. Anwendungen, die die Apps Script API verwenden) müssen möglicherweise verifiziert werden.

Geltungsbereich

Wenn die Anwendung vertrauliche OAuth-Bereiche verwendet, wird der Bildschirm der ungeprüften Anwendung möglicherweise als Teil des Autorisierungsvorgangs angezeigt. Ihre Präsenz und der daraus resultierende, nicht überprüfte Autorisierungsvorgang für die Anwendung hängt davon ab, über welches Konto die Anwendung veröffentlicht wird und über welches Konto die Anwendung verwendet werden soll. Beispielsweise führen Apps, die in einer bestimmten Google Workspace-Organisation veröffentlicht werden, nicht zum Autorisierungsvorgang für Konten in dieser Domain, selbst wenn die Anwendung nicht bestätigt wurde.

Die folgende Tabelle zeigt, in welchen Situationen der Autorisierungsvorgang für eine ungeprüfte App zur Folge hat:

Kunde wurde bestätigt Der Publisher ist ein Google Workspace-Konto von Kunde A Script befindet sich in der geteilten Ablage von Kunde A Publisher ist ein Gmail-Konto
Der Nutzer ist ein Google Workspace-Konto von Kunde A Normaler Authentifizierungsablauf Normaler Authentifizierungsablauf Normaler Authentifizierungsablauf Nicht überprüfter Authentifizierungsvorgang
Der Nutzer ist ein Google Workspace-Konto nicht von Kunde A Normaler Authentifizierungsablauf Nicht überprüfter Authentifizierungsvorgang Nicht überprüfter Authentifizierungsvorgang Nicht überprüfter Authentifizierungsvorgang
Der Nutzer ist ein Gmail-Konto1 Normaler Authentifizierungsablauf Nicht überprüfter Authentifizierungsvorgang Nicht überprüfter Authentifizierungsvorgang Nicht überprüfter Authentifizierungsvorgang

1Jedes Gmail-Konto, einschließlich des Kontos, das zum Veröffentlichen der App verwendet wird.

Nutzerobergrenze

Die Anzahl der Nutzer, die eine Anwendung über den Ablauf nicht überprüfter Anwendungen autorisieren können, ist begrenzt, um möglichen Missbrauch zu begrenzen. Weitere Informationen finden Sie unter Nutzerbeschränkungen für OAuth-Anwendungen.

Überprüfung wird angefordert

Sie können eine Überprüfung des OAuth-Clients, der von Ihrer Anwendung und dem zugehörigen Cloud Platform-Projekt (GCP) verwendet wird, anfordern. Nachdem Ihre Anwendung verifiziert wurde, sehen Nutzer den Bildschirm der ungeprüften Anwendung nicht mehr. Außerdem unterliegt Ihre Anwendung nicht mehr der Nutzerobergrenze.

Voraussetzungen

Sie müssen die folgenden Anforderungen erfüllen, um Ihren OAuth-Client zur Überprüfung einzureichen:

  1. Sie müssen Inhaber einer Website in einer Domain sein. Die Website muss öffentlich zugängliche Seiten hosten, auf denen Ihre App und ihre Datenschutzerklärung beschrieben werden. Du musst außerdem bei Google bestätigen, dass du der Inhaber der Website bist.

  2. Das von Ihrem Skriptprojekt verwendete Google Cloud-Projekt muss ein Google Cloud-Standardprojekt sein, für das Sie Bearbeitungszugriff haben. Wenn Ihr Skript das Google Cloud-Standardprojekt verwendet, müssen Sie zu einem Google Cloud-Standardprojekt wechseln.

Außerdem benötigen Sie die folgenden erforderlichen Assets:

  • Name der Anwendung: Der Name der App; wird auf dem Zustimmungsbildschirm angezeigt. Er sollte mit dem Namen übereinstimmen, der an anderen Orten für die Anwendung verwendet wird, z. B. im Eintrag Google Workspace Marketplace für veröffentlichte Apps.
  • Anwendungslogo: Ein App-Logo im JPEG-, PNG- oder BMP-Format, das auf dem Zustimmungsbildschirm verwendet wird. Die Datei darf maximal 1 MB groß sein.
  • Support-E-Mail-Adresse. Diese E-Mail-Adresse wird auf dem Zustimmungsbildschirm angezeigt und kann von Nutzern kontaktiert werden, wenn sie Unterstützung für die Anwendung benötigen. Das kann Ihre E-Mail-Adresse oder eine Google-Gruppe sein, deren Inhaber Sie sind oder die Sie verwalten.
  • Bereiche. Die Liste aller Bereiche, die von Ihrer Anwendung verwendet werden. Sie können die Bereiche im Apps Script-Editor ansehen.
  • Autorisierte Domains Dies ist eine Liste von Domains mit Informationen zu Ihrer App. Alle Links Ihrer Anwendung, z. B. die erforderliche Seite mit der Datenschutzerklärung, müssen in autorisierten Domains gehostet werden.
  • URL der Startseite der Anwendung: Der Speicherort einer Startseite, die Ihre App beschreibt. Dieser Standort muss in einer autorisierten Domain gehostet werden.
  • URL der Datenschutzerklärung für die Anwendung: Der Speicherort einer Seite, auf der die Datenschutzerklärung Ihrer App beschrieben wird. Dieser Standort muss in einer autorisierten Domain gehostet werden.

Zusätzlich zu den oben erforderlichen Assets können Sie optional eine URL für die Nutzungsbedingungen angeben, die auf eine Seite mit den Nutzungsbedingungen Ihrer App verweist. Wenn dieser Standort angegeben wird, muss er sich in einer autorisierten Domain befinden.

Schritte

  1. Falls noch nicht geschehen, bestätigen Sie die Inhaberschaft aller autorisierten Domains, die Sie zum Hosten der Datenschutzerklärung und anderer Informationen Ihres Skriptprojekts verwenden. Die bestätigten Inhaber der Domains müssen Bearbeiter oder Inhaber des Skriptprojekts sein.
  2. Klicken Sie im Apps Script-Projekt auf Übersicht . Kopieren Sie unter Projekt-OAuth-Bereiche die Bereiche, die Ihr Skriptprojekt verwendet.
  3. Füllen Sie den OAuth-Zustimmungsbildschirm für das Google Cloud-Projekt Ihrer Anwendung aus. Verwenden Sie dazu die gesammelten Text- und URL-Assets.

    1. Geben Sie die autorisierten Domains an, in denen die Informationen Ihrer App, z. B. die Datenschutzerklärung, gehostet werden.
    2. Klicken Sie zum Hinzufügen von Anwendungsbereichen auf Bereiche hinzufügen oder entfernen. Im daraufhin angezeigten Dialogfeld wird versucht, Bereiche für APIs, die Sie in der Google Cloud Console aktiviert haben (z. B. erweiterte Dienste), automatisch zu erkennen. Sie können Bereiche aus dieser Liste auswählen, indem Sie die entsprechenden Kästchen anklicken.

      Diese automatisch erkannte Liste enthält nicht immer Bereiche, die von integrierten Apps Script-Diensten verwendet werden. Sie müssen diese Bereiche unter Bereiche manuell hinzufügen eingeben.

      Wenn Sie fertig sind, klicken Sie auf Aktualisieren.

  4. Wenn Sie alle erforderlichen Informationen eingegeben haben, klicken Sie auf Speichern.

  5. Klicken Sie auf Zur Bestätigung einreichen, um einen Überprüfungsantrag zu starten.

Die meisten Bestätigungsanfragen erhalten innerhalb von 24 bis 72 Stunden eine Antwort. Sie können den Bestätigungsstatus oben im Formular für den OAuth-Zustimmungsbildschirm prüfen. Wenn die Überprüfung Ihres OAuth-Clients bestätigt ist, gilt dies auch für Ihre Anwendung.