Проверка клиента OAuth

Клиенты Google OAuth, которые запрашивают определенные конфиденциальные области OAuth, подлежат проверке со стороны Google.

Если вы не подтвердите клиент OAuth вашего проекта скрипта, пользователи за пределами вашего домена увидят экран непроверенного приложения при попытке авторизовать ваш скрипт. Поток непроверенной авторизации позволяет этим пользователям авторизовать непроверенные приложения и использовать их, но только после подтверждения того, что они понимают риски. Общее количество неверифицированных пользователей приложения также ограничено.

Для получения дополнительной информации см. следующие статьи:

Экран непроверенного приложения
Рисунок 1. Экран непроверенного приложения.
Непроверенный процесс авторизации приложения
Рисунок 2. Процесс авторизации непроверенного приложения.

Это изменение применяется к веб-клиентам Google OAuth, включая те, которые используются всеми проектами Apps Script. Подтвердив свое приложение в Google , вы можете удалить экран непроверенного приложения из процесса авторизации и дать пользователям уверенность в том, что ваше приложение не является вредоносным.

Непроверенные приложения

Надстройки, веб-приложения и другие развертывания (например, приложения, использующие Apps Script API ) могут нуждаться в проверке.

Применимость

Если приложение использует конфиденциальные области OAuth, экран непроверенного приложения может появиться как часть процесса авторизации. Его наличие (и результирующий поток авторизации непроверенного приложения) зависит от того, из какой учетной записи опубликовано приложение и какая учетная запись пытается использовать приложение. Например, приложения, опубликованные в определенной организации Google Workspace, не приводят к процессу авторизации непроверенного приложения для учетных записей в этом домене, даже если приложение не было проверено.

В следующей таблице показано, какие ситуации приводят к непроверенному потоку авторизации приложения:

Клиент проверен Издатель – это аккаунт Google Workspace клиента А. Скрипт находится на общем диске клиента А. Издателем является учетная запись Gmail.
Пользователь – это аккаунт Google Workspace клиента А. Обычный поток аутентификации Обычный поток аутентификации Обычный поток аутентификации Непроверенный поток аутентификации
Пользователь – это аккаунт Google Workspace, не принадлежащий клиенту А. Обычный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации
Пользователь — учетная запись Gmail 1. Обычный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации

1 Любая учетная запись Gmail, включая учетную запись, используемую для публикации приложения.

Ограничение пользователя

Число пользователей, которые могут авторизовать приложение через поток непроверенных приложений, ограничено, чтобы ограничить возможные злоупотребления. Подробности см. в разделе Ограничения пользователей приложений OAuth .

Запрос проверки

Вы можете запросить проверку клиента OAuth, используемого вашим приложением, и связанного с ним проекта Cloud Platform (GCP) . Как только ваше приложение будет проверено, ваши пользователи больше не будут видеть экран непроверенного приложения. Кроме того, на ваше приложение больше не будет распространяться ограничение на количество пользователей .

Требования

Чтобы отправить свой OAuth-клиент на проверку, вы должны соответствовать следующим требованиям:

  1. Вы должны владеть веб-сайтом в домене. На сайте должны быть общедоступные страницы, описывающие ваше приложение и его политику конфиденциальности. Вы также должны подтвердить свое право собственности на сайт в Google .

  2. Проект Google Cloud, который использует ваш проект сценария, должен быть стандартным проектом Google Cloud , к которому у вас есть доступ для редактирования. Если ваш скрипт использует проект Google Cloud по умолчанию, вам необходимо переключиться на стандартный проект Google Cloud .

Кроме того, у вас должны быть следующие необходимые активы:

  • Имя приложения . Название приложения; это отображается на экране согласия. Оно должно совпадать с именем, используемым для приложения в других местах, например в списке опубликованных приложений в Google Workspace Marketplace .
  • Логотип приложения . Изображение логотипа приложения в формате JPEG, PNG или BMP для использования на экране согласия. Размер файла должен быть 1 МБ или меньше.
  • Электронная почта поддержки . Это электронное письмо, отображаемое на экране согласия, по которому пользователи могут связаться, если им нужна поддержка приложения. Это может быть ваш адрес электронной почты или группа Google, которой вы владеете или управляете.
  • Области применения . Список всех областей, которые использует ваше приложение. Вы можете просмотреть свои области в редакторе Apps Script.
  • Авторизованные домены . Это список доменов, содержащих информацию о вашем приложении. Все ссылки вашего приложения (например, страница обязательной политики конфиденциальности) должны размещаться на авторизованных доменах.
  • URL-адрес домашней страницы приложения . Расположение домашней страницы с описанием вашего приложения. Это местоположение должно размещаться в авторизованном домене.
  • URL-адрес политики конфиденциальности приложения . Местоположение страницы с описанием политики конфиденциальности вашего приложения. Это местоположение должно быть размещено в авторизованном домене.

В дополнение к указанным выше обязательным ресурсам вы можете дополнительно предоставить URL-адрес условий обслуживания приложения , который указывает на страницу с описанием условий обслуживания вашего приложения. Если это указано, это местоположение должно находиться в авторизованном домене.

Шаги

  1. Если вы еще этого не сделали, подтвердите право собственности на все авторизованные домены, которые вы используете для размещения политики конфиденциальности вашего проекта скрипта и другой информации. Подтвержденные владельцы доменов должны быть редакторами или владельцем проекта скрипта.
  2. В проекте Apps Script щелкните Обзор . В разделе «Области OAuth проекта» скопируйте области, которые использует ваш проект скрипта.
  3. Заполните экран согласия OAuth для проекта Google Cloud вашего приложения, используя собранные вами текстовые и URL-ресурсы.

    1. Перечислите авторизованные домены , на которых размещена информация вашего приложения (например, его политика конфиденциальности).
    2. Чтобы добавить области приложения, нажмите «Добавить или удалить области» . В появившемся диалоговом окне будет предпринята попытка автоматического определения областей API, которые вы включили в консоли Google Cloud (например, расширенные службы ). Вы можете выбрать области действия из этого списка, установив соответствующие флажки.

      Этот автоматически определяемый список не всегда включает области, используемые встроенными службами Apps Script. Эти области необходимо ввести в разделе «Добавить области вручную» .

      Когда все будет готово, нажмите «Обновить» .

  4. Когда вы введете всю необходимую информацию, нажмите « Сохранить» .

  5. Нажмите «Отправить на проверку», чтобы отправить запрос на проверку.

На большинство запросов на проверку ответ поступает в течение 24–72 часов. Вы можете проверить статус проверки в верхней части формы согласия OAuth. Когда проверка вашего клиента OAuth будет подтверждена, ваше приложение будет проверено.

,

Клиенты Google OAuth, которые запрашивают определенные конфиденциальные области OAuth, подлежат проверке со стороны Google.

Если вы не подтвердите OAuth-клиент вашего проекта скрипта, пользователи за пределами вашего домена увидят экран непроверенного приложения при попытке авторизовать ваш скрипт. Непроверенный поток авторизации позволяет этим пользователям авторизовать непроверенные приложения и использовать их, но только после подтверждения того, что они понимают риски. Общее количество неверифицированных пользователей приложения также ограничено.

Для получения дополнительной информации см. следующие статьи:

Экран непроверенного приложения
Рисунок 1. Экран непроверенного приложения.
Непроверенный процесс авторизации приложения
Рисунок 2. Процесс авторизации непроверенного приложения.

Это изменение применяется к веб-клиентам Google OAuth, включая те, которые используются всеми проектами Apps Script. Подтвердив свое приложение в Google , вы можете удалить экран непроверенного приложения из процесса авторизации и дать пользователям уверенность в том, что ваше приложение не является вредоносным.

Непроверенные приложения

Надстройки, веб-приложения и другие развертывания (например, приложения, использующие Apps Script API ) могут нуждаться в проверке.

Применимость

Если приложение использует конфиденциальные области OAuth, экран непроверенного приложения может появиться как часть процесса авторизации. Его наличие (и результирующий поток авторизации непроверенного приложения) зависит от того, из какой учетной записи опубликовано приложение и какая учетная запись пытается его использовать. Например, приложения, опубликованные в определенной организации Google Workspace, не приводят к процессу авторизации непроверенного приложения для учетных записей в этом домене, даже если приложение не было проверено.

В следующей таблице показано, какие ситуации приводят к непроверенному потоку авторизации приложения:

Клиент проверен Издатель – это аккаунт Google Workspace клиента А. Скрипт находится на общем диске клиента А. Издатель – учетная запись Gmail.
Пользователь – это аккаунт Google Workspace клиента А. Обычный поток аутентификации Обычный поток аутентификации Обычный поток аутентификации Непроверенный поток аутентификации
Пользователь – это аккаунт Google Workspace, не принадлежащий клиенту А. Обычный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации
Пользователь — учетная запись Gmail 1. Обычный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации Непроверенный поток аутентификации

1 Любая учетная запись Gmail, включая учетную запись, используемую для публикации приложения.

Ограничение пользователя

Число пользователей, которые могут авторизовать приложение через поток непроверенных приложений, ограничено, чтобы ограничить возможные злоупотребления. Подробности см. в разделе Ограничения пользователей приложений OAuth .

Запрос проверки

Вы можете запросить проверку клиента OAuth, используемого вашим приложением, и связанного с ним проекта Cloud Platform (GCP) . Как только ваше приложение будет проверено, ваши пользователи больше не будут видеть экран непроверенного приложения. Кроме того, на ваше приложение больше не будет распространяться ограничение на количество пользователей .

Требования

Чтобы отправить свой OAuth-клиент на проверку, вы должны соответствовать следующим требованиям:

  1. Вы должны владеть веб-сайтом в домене. На сайте должны быть общедоступные страницы, описывающие ваше приложение и его политику конфиденциальности. Вы также должны подтвердить свое право собственности на сайт в Google .

  2. Проект Google Cloud, который использует ваш проект сценария, должен быть стандартным проектом Google Cloud , к которому у вас есть доступ для редактирования. Если ваш скрипт использует проект Google Cloud по умолчанию, вам необходимо переключиться на стандартный проект Google Cloud .

Кроме того, у вас должны быть следующие необходимые активы:

  • Имя приложения . Название приложения; это отображается на экране согласия. Оно должно совпадать с именем, используемым для приложения в других местах, например в списке опубликованных приложений в Google Workspace Marketplace .
  • Логотип приложения . Изображение логотипа приложения в формате JPEG, PNG или BMP для использования на экране согласия. Размер файла должен быть 1 МБ или меньше.
  • Электронная почта поддержки . Это электронное письмо, отображаемое на экране согласия, по которому пользователи могут связаться, если им нужна поддержка приложения. Это может быть ваш адрес электронной почты или группа Google, которой вы владеете или управляете.
  • Области применения . Список всех областей, которые использует ваше приложение. Вы можете просмотреть свои области в редакторе Apps Script.
  • Авторизованные домены . Это список доменов, содержащих информацию о вашем приложении. Все ссылки вашего приложения (например, страница обязательной политики конфиденциальности) должны размещаться на авторизованных доменах.
  • URL-адрес домашней страницы приложения . Расположение домашней страницы с описанием вашего приложения. Это местоположение должно размещаться в авторизованном домене.
  • URL-адрес политики конфиденциальности приложения . Местоположение страницы с описанием политики конфиденциальности вашего приложения. Это местоположение должно быть размещено в авторизованном домене.

В дополнение к указанным выше обязательным ресурсам вы можете дополнительно предоставить URL-адрес условий обслуживания приложения , который указывает на страницу с описанием условий обслуживания вашего приложения. Если это указано, это местоположение должно находиться в авторизованном домене.

Шаги

  1. Если вы еще этого не сделали, подтвердите право собственности на все авторизованные домены, которые вы используете для размещения политики конфиденциальности вашего проекта скрипта и другой информации. Подтвержденные владельцы доменов должны быть редакторами или владельцем проекта скрипта.
  2. В проекте Apps Script щелкните Обзор . В разделе «Области OAuth проекта» скопируйте области, которые использует ваш проект скрипта.
  3. Заполните экран согласия OAuth для проекта Google Cloud вашего приложения, используя собранные вами текстовые и URL-ресурсы.

    1. Перечислите авторизованные домены , на которых размещена информация вашего приложения (например, его политика конфиденциальности).
    2. Чтобы добавить области приложения, нажмите «Добавить или удалить области» . В появившемся диалоговом окне будет предпринята попытка автоматического определения областей API, которые вы включили в консоли Google Cloud (например, расширенные службы ). Вы можете выбрать области действия из этого списка, установив соответствующие флажки.

      Этот автоматически определяемый список не всегда включает области, используемые встроенными службами Apps Script. Эти области необходимо ввести в разделе «Добавить области вручную» .

      Когда все будет готово, нажмите «Обновить» .

  4. Когда вы введете всю необходимую информацию, нажмите « Сохранить» .

  5. Нажмите «Отправить на проверку», чтобы отправить запрос на проверку.

На большинство запросов на проверку ответ поступает в течение 24–72 часов. Вы можете проверить статус проверки в верхней части формы согласия OAuth. Когда проверка вашего клиента OAuth будет подтверждена, ваше приложение будет проверено.