Proyectos de Apps Script que solicitan permisos sensibles de OAuth.
Los clientes de OAuth de Google que solicitan ciertos permisos sensibles de OAuth están sujetos a la verificación de Google. Para obtener una descripción general del proceso de autorización, consulta Autorización para los servicios de Google.
No se requiere verificación para los proyectos de Google Apps Script cuyo propietario y usuarios pertenecen al mismo dominio o cliente de Google Workspace.
Si no verificas el cliente de OAuth de tu proyecto de secuencia de comandos, los usuarios fuera de tu dominio verán una pantalla de app no verificada cuando intenten autorizar tu secuencia de comandos. Un flujo de autorización no verificado permite que estos usuarios autoricen apps no verificadas y las usen, pero solo después de confirmar que comprenden los riesgos. También se limita la cantidad total de usuarios de apps no verificadas.
Para obtener más información, consulta los siguientes artículos:
- Apps sin verificar
- Preguntas frecuentes sobre la verificación de aplicaciones de OAuth
- Política de Datos del Usuario de los Servicios de la API de Google
Este cambio se aplica a los clientes web de OAuth de Google, incluidos los que usan todos los proyectos de Apps Script. Si verificas tu app con Google, puedes quitar la pantalla de app no verificada de tu flujo de autorización y darles a los usuarios la confianza de que tu app no es maliciosa.
Apps sin verificar
Es posible que los complementos de Google Workspace, las apps web y otras implementaciones (como las apps que usan la API de Apps Script) necesiten verificación.
Los complementos ya no se verifican como parte del proceso de revisión de complementos de Google Workspace, y deben verificarse antes de publicar un complemento.
Aplicabilidad
Si la app usa permisos sensibles de OAuth, es posible que aparezca la pantalla de app no verificada como parte del flujo de autorización. Su presencia (y el flujo de autorización de apps no verificadas resultante) depende de la cuenta desde la que se publica la app y de la cuenta que intenta usarla. Por ejemplo, las apps publicadas internamente dentro de una organización específica de Google Workspace no generan el flujo de autorización de apps no verificadas para las cuentas de ese dominio, incluso si la app no se verificó.
En la siguiente tabla, se muestran las situaciones que generan el flujo de autorización de apps no verificadas:
| El cliente está verificado | El publicador es una cuenta de Google Workspace del cliente A | La secuencia de comandos está en una unidad compartida del cliente A | El publicador es una cuenta de Gmail | |
|---|---|---|---|---|
| El usuario es una cuenta de Google Workspace del cliente A | Flujo de autorización normal | Flujo de autorización normal | Flujo de autorización normal | Flujo de autorización no verificado |
| El usuario es una cuenta de Google Workspace que no pertenece al cliente A | Flujo de autorización normal | Flujo de autorización no verificado | Flujo de autorización no verificado | Flujo de autorización no verificado |
| El usuario es una cuenta de Gmail1 | Flujo de autorización normal | Flujo de autorización no verificado | Flujo de autorización no verificado | Flujo de autorización no verificado |
1 Cualquier cuenta de Gmail, incluida la cuenta que se usa para publicar la app.
Límite de usuarios
La cantidad de usuarios que pueden autorizar una app con el flujo de apps no verificadas está limitada para evitar posibles abusos. Consulta Límites de usuarios de aplicaciones de OAuth para obtener más detalles.
Solicitar verificación
Puedes solicitar la verificación del cliente de OAuth que usa tu app y su proyecto de Google Cloud asociado. Una vez que se verifique tu app, los usuarios ya no verán la pantalla de app no verificada. Además, tu app ya no estará sujeta al límite de usuarios.
Requisitos
Para enviar tu cliente de OAuth para su verificación, debes cumplir con los siguientes requisitos:
Debes tener un sitio web en un dominio. El sitio debe alojar páginas de acceso público que describan tu app y su política de privacidad. También debes verificar con Google que eres propietario del sitio.
No es necesario que publiques tu app desde una cuenta de este dominio, pero el propietario del dominio debe ser editor o propietario del proyecto de secuencia de comandos.
El proyecto de Google Cloud que usa tu proyecto de secuencia de comandos debe ser un proyecto estándar de Google Cloud para el que tengas acceso de edición. Si tu secuencia de comandos usa su proyecto predeterminado de Google Cloud, debes cambiar a un proyecto estándar de Google Cloud.
Además, debes tener los siguientes recursos obligatorios:
- Nombre de la aplicación. Es el nombre de la app, que se muestra en la pantalla de consentimiento. Debe coincidir con el nombre que se usa para la app en otras ubicaciones, como la ficha de Google Workspace Marketplace para las apps publicadas.
- Logotipo de la aplicación. Es una imagen JPEG, PNG o BMP del logotipo de la app para usar en la pantalla de consentimiento. El tamaño del archivo debe ser de 1 MB o menos.
- Correo electrónico de asistencia. Es un correo electrónico que se muestra en la pantalla de consentimiento para que los usuarios se comuniquen si necesitan asistencia para la app. Puede ser tu dirección de correo electrónico o un Grupo de Google que te pertenezca o que administres.
- Permisos. Es la lista de todos los permisos que usa tu app. Puedes ver tus permisos en el editor de Apps Script.
- Dominios autorizados. Es una lista de dominios que contienen información sobre tu app. Todos los vínculos de tu aplicación (como la página obligatoria de la política de privacidad) deben alojarse en dominios autorizados.
- URL de la página principal de la aplicación. Es la ubicación de una página principal que describe tu app. Esta ubicación debe alojarse en un dominio autorizado.
- URL de la política de privacidad de la aplicación. Es la ubicación de una página que describe la política de privacidad de tu app. Esta ubicación debe alojarse en un dominio autorizado.
Además de los recursos obligatorios anteriores, puedes proporcionar, de manera opcional, una URL de las Condiciones del Servicio de la aplicación que apunte a una página que describa las Condiciones del Servicio de tu app. Si se proporciona, esta ubicación debe estar en un dominio autorizado.
Pasos
- Si aún no lo hiciste, verifica la propiedad de todos los dominios autorizados que usas para alojar la política de privacidad de tu proyecto de secuencia de comandos y otra información. Los propietarios verificados de los dominios deben ser editores o el propietario del proyecto de secuencia de comandos.
- En el proyecto de Apps Script, haz clic en Descripción general . En Permisos de OAuth del proyecto, copia los permisos que usa tu proyecto de secuencia de comandos.
-
- Enumera los dominios autorizados en los que se aloja la información de tu app (como su política de privacidad).
Para agregar los permisos de tu aplicación, haz clic en Agregar o quitar permisos. El diálogo resultante intenta detectar automáticamente los permisos de las APIs que habilitaste en la consola de Google Cloud (como los servicios avanzados). Para seleccionar permisos de esta lista, marca las casillas correspondientes.
Esta lista detectada automáticamente no siempre incluye los permisos que usan los servicios integrados de Apps Script Apps Script. Debes ingresar estos permisos en Agregar permisos manualmente.
Cuando termines, haz clic en Actualizar.
Cuando hayas ingresado toda la información obligatoria, haz clic en Guardar.
Haz clic en Enviar para verificación para iniciar una solicitud de verificación.
La mayoría de las solicitudes de verificación reciben una respuesta en un plazo de 24 a 72 horas. Puedes consultar el Estado de verificación en la parte superior del formulario de la pantalla de consentimiento de OAuth. Cuando se confirme la verificación de tu cliente de OAuth, se verificará tu app.
Si se verifica tu app y, luego, decides cambiar a otro proyecto de Google Cloud, debes repetir estos pasos para mantener la app verificada.