Progetti Apps Script che richiedono ambiti OAuth sensibili.
I client Google OAuth che richiedono determinati ambiti OAuth sensibili sono soggetti alla verifica da parte di Google. Per una panoramica generale della procedura di autorizzazione, consulta Autorizzazione per i servizi Google.
La verifica non è obbligatoria per i progetti Google Apps Script il cui proprietario e i cui utenti appartengono allo stesso dominio o cliente Google Workspace.
Se non verifichi il client OAuth del progetto di script, gli utenti al di fuori del tuo dominio vedranno una schermata di app non verificata quando tentano di autorizzare lo script. Un flusso di autorizzazione non verificato consente a questi utenti di autorizzare e utilizzare le app non verificate, ma solo dopo aver confermato di aver compreso i rischi. Anche il numero totale di utenti di app non verificate è limitato.
Per ulteriori informazioni, leggi i seguenti articoli:
- App non verificate
- Domande frequenti sulla verifica delle applicazioni OAuth
- Servizi API Google: norme relative ai dati utente
Questa modifica si applica ai client web Google OAuth, inclusi quelli utilizzati da tutti i progetti Apps Script. Verificando la tua app con Google, puoi rimuovere la schermata dell'app non verificata dal flusso di autorizzazione e dare agli utenti la certezza che la tua app non è dannosa.
App non verificate
I componenti aggiuntivi di Google Workspace, le app web e altri deployment (ad esempio le app che utilizzano l' API Apps Script) potrebbero richiedere la verifica.
I componenti aggiuntivi non vengono più verificati nell'ambito della procedura di revisione dei componenti aggiuntivi di Google Workspace e devono essere verificati prima della pubblicazione.
Applicabilità
Se l'app utilizza ambiti OAuth sensibili, la schermata dell'app non verificata potrebbe essere visualizzata come parte del flusso di autorizzazione. La sua presenza (e il flusso di autorizzazione dell'app non verificata risultante) dipende dall'account da cui viene pubblicata l'app e dall'account che tenta di utilizzarla. Ad esempio, le app pubblicate internamente all'interno di un'organizzazione Google Workspace specifica non comportano il flusso di autorizzazione dell'app non verificata per gli account in quel dominio, anche se l'app non è stata verificata.
La tabella seguente illustra le situazioni che comportano il flusso di autorizzazione dell'app non verificata:
| Il client è verificato | L'editore è un account Google Workspace del cliente A | Lo script si trova in un Drive condiviso del cliente A | L'editore è un account Gmail | |
|---|---|---|---|---|
| L'utente è un account Google Workspace del cliente A | Flusso di autenticazione normale | Flusso di autenticazione normale | Flusso di autenticazione normale | Flusso di autenticazione non verificato |
| L'utente è un account Google Workspace non del cliente A | Flusso di autenticazione normale | Flusso di autenticazione non verificato | Flusso di autenticazione non verificato | Flusso di autenticazione non verificato |
| L'utente è un account Gmail1 | Flusso di autenticazione normale | Flusso di autenticazione non verificato | Flusso di autenticazione non verificato | Flusso di autenticazione non verificato |
1 Qualsiasi account Gmail, incluso l'account utilizzato per pubblicare l'app.
Tetto massimo di utenti
Il numero di utenti che possono autorizzare un'app utilizzando il flusso di app non verificata è limitato per ridurre al minimo i possibili abusi. Per maggiori dettagli, consulta Limiti utente delle applicazioni OAuth.
Richiedi verifica
Puoi richiedere la verifica del client OAuth utilizzato dalla tua app e del progetto Google Cloud associato. Una volta verificata l'app, gli utenti non vedranno più la schermata dell'app non verificata. Inoltre, la tua app non è più soggetta al tetto massimo di utenti.
Requisiti
Per inviare il client OAuth per la verifica, devi soddisfare i seguenti requisiti:
Devi essere proprietario di un sito web su un dominio. Il sito deve ospitare pagine accessibili pubblicamente che descrivono la tua app e le relative norme sulla privacy. Devi anche verificare la proprietà del sito con Google.
Non devi pubblicare l'app da un account in questo dominio, ma il proprietario del dominio deve essere un editor o il proprietario del progetto di script.
Il progetto Google Cloud utilizzato dal progetto di script deve essere un progetto Google Cloud standard per il quale hai accesso in modifica. Se lo script utilizza il progetto Google Cloud predefinito, devi passare a un progetto cloud standard di Google Cloud.
Inoltre, devi disporre dei seguenti asset obbligatori:
- Nome dell'applicazione. Il nome dell'app, che viene visualizzato nella schermata di consenso. Deve corrispondere al nome utilizzato per l'app in altre posizioni, ad esempio nella scheda del Google Workspace Marketplace per le app pubblicate.
- Logo dell'applicazione. Un'immagine JPEG, PNG o BMP del logo dell'app da utilizzare nella schermata per il consenso. La dimensione del file deve essere pari o inferiore a 1 MB.
- Email di assistenza. Si tratta di un'email visualizzata nella schermata per il consenso che gli utenti possono contattare se hanno bisogno di assistenza per l'app. Può essere il tuo indirizzo email o un gruppo Google di cui sei proprietario o amministratore.
- Ambiti. L'elenco di tutti gli ambiti utilizzati dall' app. Puoi visualizzare gli ambiti nell'editor di Apps Script.
- Domini autorizzati. Si tratta di un elenco di domini contenenti informazioni sulla tua app. Tutti i link dell'applicazione (ad esempio la pagina delle norme sulla privacy obbligatoria) devono essere ospitati su domini autorizzati.
- URL della home page dell'applicazione. La posizione di una home page che descrive la tua app. Questa posizione deve essere ospitata su un dominio autorizzato.
- URL delle norme sulla privacy dell'applicazione. La posizione di una pagina che descrive le norme sulla privacy dell'app. Questa posizione deve essere ospitata su un dominio autorizzato.
Oltre agli asset obbligatori precedenti, puoi fornire facoltativamente un URL dei termini di servizio dell'applicazione che rimanda a una pagina che descrive i termini di servizio dell'app. Se fornita, questa posizione deve trovarsi in un dominio autorizzato.
Passaggi
- Se non l'hai già fatto, verifica la proprietà di tutti i domini autorizzati che utilizzi per ospitare le norme sulla privacy e altre informazioni del progetto di script. I proprietari verificati dei domini devono essere editor o proprietari del progetto di script.
- Nel progetto Apps Script, fai clic su Panoramica . In Ambiti OAuth del progetto, copia gli ambiti utilizzati dal progetto di script.
Completa la schermata per il consenso OAuth per il progetto Google Cloud della tua applicazione utilizzando gli asset di testo e URL che hai raccolto.
- Elenca i domini autorizzati in cui sono ospitate le informazioni dell'app (ad esempio le norme sulla privacy).
Per aggiungere gli ambiti dell'applicazione, fai clic su Aggiungi o rimuovi ambiti. La finestra di dialogo risultante tenta di rilevare automaticamente gli ambiti per le API che hai abilitato nella console Google Cloud (ad esempio i servizi avanzati). Puoi selezionare gli ambiti da questo elenco selezionando le caselle corrispondenti.
Questo elenco rilevato automaticamente non include sempre gli ambiti utilizzati da Apps Script servizi integrati. Devi inserire questi ambiti in Aggiungi ambiti manualmente.
Una volta terminato, fai clic su Aggiorna.
Dopo aver inserito tutte le informazioni richieste, fai clic su Salva.
Fai clic su Invia per la verifica per avviare una richiesta di verifica.
La maggior parte delle richieste di verifica riceve una risposta entro 24-72 ore. Puoi controllare lo stato della verifica nella parte superiore del modulo della schermata di consenso OAuth. Quando la verifica del client OAuth viene confermata, l'app viene verificata.
Se la tua app viene verificata e in un secondo momento decidi di passare a un altro progetto Google Cloud, devi ripetere questi passaggi per mantenere la verifica dell'app.