אימות לקוח OAuth

לקוחות OAuth של Google שמבקשים היקפי הרשאות OAuth מסוימים כפופים לאימות של Google.

אם לא מאמתים את לקוח ה-OAuth של פרויקט הסקריפט, משתמשים מחוץ לדומיין יראו מסך אפליקציה לא מאומתת כשהם ינסו לאשר את הסקריפט. תהליך הרשאה לא מאומת מאפשר למשתמשים האלה לאשר אפליקציות לא מאומתות ולהשתמש בהן, אבל רק לאחר שהם מאשרים שהם מבינים את הסיכונים. גם המספר הכולל של משתמשים באפליקציות לא מאומתות מוגבל.

למידע נוסף, ראה הסעיפים הבאים:

 

מסך אפליקציה לא מאומתת
איור 1: מסך אפליקציה לא מאומתת
תהליך הרשאה לאפליקציה לא מאומתת
איור 2: תהליך ההרשאה לאפליקציות לא מאומתות

 

השינוי הזה חל על לקוחות אינטרנט של OAuth של Google, כולל לקוחות שבהם נעשה שימוש בכל הפרויקטים של Apps Script. על ידי אימות האפליקציה באמצעות Google, אתם יכולים להסיר את מסך האפליקציה הלא מאומתת מתהליך ההרשאה שלכם ולהבטיח למשתמשים בטוחים שהאפליקציה לא זדונית.

אפליקציות לא מאומתות

יכול להיות שצריך לאמת תוספים, אפליקציות אינטרנט ופריסות אחרות (כמו אפליקציות שמשתמשות ב-Apps Script API).

המוצרים שעליהם חל המבצע

אם האפליקציה משתמשת בהיקפים רגישים של OAuth, יכול להיות שמסך האפליקציה הלא מאומתת יופיע כחלק מתהליך ההרשאה. הנוכחות שלה (ותהליך ההרשאה לאפליקציות לא מאומת) תלויים בחשבון שממנו מתפרסמת האפליקציה ובאיזה חשבון מנסה להשתמש בה. לדוגמה, אפליקציות שמתפרסמות בארגון מסוים ב-Google Workspace לא מובילות לתהליך ההרשאה לאפליקציה שלא אומתה בחשבונות בדומיין הזה, גם אם האפליקציה לא אומתה.

הטבלה הבאה ממחישה אילו מצבים מובילים לתהליך ההרשאה לאפליקציה לא מאומתת:

הלקוח מאומת בעל התוכן הדיגיטלי הוא חשבון Google Workspace של לקוח א' הסקריפט נמצא באחסון שיתופי של לקוח א' בעל אפליקציה הוא חשבון Gmail
המשתמש הוא חשבון Google Workspace של לקוח א' תהליך אימות רגיל תהליך אימות רגיל תהליך אימות רגיל תהליך אימות לא מאומת
המשתמש הוא חשבון Google Workspace לא של לקוח א' תהליך אימות רגיל תהליך אימות לא מאומת תהליך אימות לא מאומת תהליך אימות לא מאומת
המשתמש הוא חשבון Gmail1 תהליך אימות רגיל תהליך אימות לא מאומת תהליך אימות לא מאומת תהליך אימות לא מאומת

1כל חשבון Gmail, כולל החשבון שמשמש לפרסום האפליקציה.

מכסת משתמשים

מספר המשתמשים שיכולים לתת הרשאה לאפליקציה באמצעות תהליך האימות של האפליקציה מוגבל כדי להגביל את האפשרות לניצול לרעה. לפרטים נוספים, ראו מגבלות על משתמשים באפליקציות OAuth.

נשלחה בקשת אימות

אתם יכולים לבקש אימות של לקוח ה-OAuth שהאפליקציה משתמשת בו, ושל הפרויקט ב-Cloud Platform (GCP) שמשויך אליו. אחרי שהאפליקציה תאומת, המשתמשים לא יוכלו לראות יותר את מסך האפליקציה הלא מאומתת. בנוסף, האפליקציה שלכם כבר לא תהיה כפופה למכסת משתמשים.

דרישות

כדי לשלוח את לקוח OAuth לאימות, עליכם לעמוד בדרישות הבאות:

  1. אתם צריכים להיות הבעלים של אתר בדומיין. האתר חייב לארח דפים נגישים לציבור שמתארים את האפליקציה ואת מדיניות הפרטיות שלה. אתם צריכים גם לאמת את הבעלות על האתר באמצעות Google.

  2. הפרויקט ב-Google Cloud שבו משתמש הסקריפט צריך להיות פרויקט רגיל ב-Google Cloud שיש לכם בו גישת עריכה. אם הסקריפט משתמש בפרויקט ברירת המחדל שלו ב-Google Cloud, צריך לעבור לפרויקט רגיל ב-Google Cloud.

בנוסף, צריכים להיות לכם הנכסים הנדרשים הבאים:

  • שם האפליקציה. שם האפליקציה. הוא מוצג במסך ההסכמה. היא צריכה להיות זהה לשם של האפליקציה במיקומים אחרים, כמו בדף האפליקציה ב-Google Workspace Marketplace לאפליקציות שפורסמו.
  • לוגו האפליקציה. תמונה של לוגו האפליקציה בפורמט JPEG, PNG או BMP, שצריך להשתמש בה במסך ההסכמה. גודל הקובץ צריך להיות 1MB לכל היותר.
  • כתובת אימייל לתמיכה. זהו אימייל שמוצג במסך ההסכמה ומאפשר למשתמשים ליצור קשר אם הם צריכים תמיכה באפליקציה. זו יכולה להיות כתובת האימייל שלכם או קבוצה ב-Google שנמצאת בבעלותכם או שאתם מנהלים.
  • היקפים. רשימה של כל היקפי ההרשאות שהאפליקציה משתמשת בהם. אפשר לצפות בהיקפים בעורך Apps Script.
  • דומיינים מורשים. זוהי רשימת דומיינים שמכילים מידע על האפליקציה. כל הקישורים לאפליקציה (כמו דף החובה של מדיניות הפרטיות) חייבים להתארח בדומיינים מורשים.
  • כתובת ה-URL של דף הבית של האפליקציה. המיקום של דף הבית שמתאר את האפליקציה שלכם. המיקום חייב להתארח בדומיין מורשה.
  • כתובת ה-URL של מדיניות הפרטיות של האפליקציה. מיקום הדף שמתאר את מדיניות הפרטיות של האפליקציה. המיקום הזה חייב להתארח בדומיין מורשה.

בנוסף לנכסים הנדרשים שצוינו למעלה, אפשר לספק כתובת URL של התנאים וההגבלות של האפליקציה שמפנה לדף שמתאר את התנאים וההגבלות של האפליקציה. אם צוין, המיקום הזה חייב להיות בדומיין מורשה.

מה עושים

  1. אם עדיין לא עשית זאת, עליך לאמת את הבעלות על כל הדומיינים המורשים שבהם משתמשים לאירוח מדיניות הפרטיות של פרויקט הסקריפט ומידע נוסף. הבעלים המאומתים של הדומיינים צריכים להיות עורכים או הבעלים של פרויקט הסקריפט.
  2. בפרויקט Apps Script, לוחצים על Overview (סקירה כללית) . בקטע Project OAuth Scopes, מעתיקים את היקפי ההרשאות שבהם משתמש פרויקט הסקריפט.

  3. משלימים את מסך ההסכמה ל-OAuth בפרויקט של האפליקציה ב-Google Cloud באמצעות נכסי הטקסט וכתובת ה-URL שנאספו.

    1. צריך לציין את הדומיינים המורשים שבהם מתארחים פרטי האפליקציה (למשל, מדיניות הפרטיות שלה).

    2. כדי להוסיף את היקפי ההרשאות של האפליקציה, לוחצים על הוספה או הסרה של היקפי הרשאות. בתיבת הדו-שיח שמופיעה, המערכת מנסה לזהות באופן אוטומטי היקפים של ממשקי API שהפעלתם במסוף Google Cloud (כמו שירותים מתקדמים). כדי לבחור היקפים מהרשימה הזו, אפשר לסמן את התיבות המתאימות.

      הרשימה שזוהתה באופן אוטומטי לא תמיד כוללת היקפי הרשאות שמשמשים את השירותים המובנים של Apps Script. צריך להזין את ההיקפים האלה בקטע הוספה ידנית של היקפים.

      בסיום, לוחצים על עדכון.

  4. אחרי שמזינים את כל הפרטים הנדרשים, לוחצים על שמירה.

  5. כדי להתחיל בקשת אימות, לוחצים על שליחה לאימות.

רוב בקשות האימות מתקבלות תוך 24 עד 72 שעות. אפשר לבדוק את סטטוס האימות בחלק העליון של טופס מסך ההסכמה ל-OAuth. לאחר אישור האימות של לקוח OAuth, האפליקציה מאומתת.