אימות לקוח OAuth

לקוחות OAuth של Google שמבקשים היקפי OAuth רגישים מסוימים כפופים לאימות על ידי Google.

אם לא מאמתים את לקוח ה-OAuth של פרויקט הסקריפט, משתמשים מחוץ לדומיין שלכם יראו מסך unverified app (אפליקציה לא מאומתת) כשהם ינסו להעניק הרשאה לסקריפט. תהליך הרשאה לא מאומת מאפשר למשתמשים האלה לאשר אפליקציות לא מאומתות ולהשתמש בהן, אבל רק אחרי שהם מאשרים שהם מבינים את הסיכונים. גם למספר הכולל של משתמשי האפליקציה הלא מאומתים יש מכסה.

למידע נוסף, ראה הסעיפים הבאים:

 

מסך של אפליקציה לא מאומתת
איור 1: מסך של אפליקציה לא מאומתת
תהליך ההרשאה לאפליקציה לא מאומתת
איור 2: תהליך הרשאה לא מאומת לאפליקציה

 

השינוי הזה חל על לקוחות אינטרנט של Google OAuth, כולל אלה שבהם נעשה שימוש בכל פרויקטי Apps Script. אימות האפליקציה ב-Google מאפשר להסיר את המסך של האפליקציה הלא מאומתת מתהליך ההרשאה, ולתת למשתמשים ביטחון שהאפליקציה שלכם לא זדונית.

אפליקציות לא מאומתות

יכול להיות שתצטרכו לאמת תוספים, אפליקציות אינטרנט ופריסות אחרות (כמו אפליקציות שמשתמשות ב-Apps Script API).

תחולה

אם האפליקציה משתמשת בהיקפי OAuth רגישים, יכול להיות שמסך האפליקציה הלא מאומתת יופיע כחלק מתהליך ההרשאה. נוכחותו (והתהליך של הרשאת האפליקציה ללא אימות כתוצאה מכך) תלויים בחשבון שממנו האפליקציה פורסמה ובחשבון שמנסה להשתמש באפליקציה. לדוגמה, אפליקציות שפורסמו בארגון ספציפי ב-Google Workspace לא גורמות לתהליך הרשאת האפליקציה ללא אימות בחשבונות בדומיין הזה, גם אם האפליקציה לא אומתה.

בטבלה הבאה מפורטות המצבים שבהם תהליך האימות של הרשאת האפליקציה לא מתבצע:

הלקוח מאומת בעל התוכן הדיגיטלי הוא חשבון Google Workspace של לקוח א' הסקריפט נמצא באחסון שיתופי של לקוח א' בעל התוכן הדיגיטלי הוא חשבון Gmail
המשתמש הוא חשבון Google Workspace של לקוח א' תהליך אימות רגיל תהליך אימות רגיל תהליך אימות רגיל תהליך אימות לא מאומת
המשתמש הוא חשבון Google Workspace שלא של לקוח א' תהליך אימות רגיל תהליך אימות לא מאומת תהליך אימות לא מאומת תהליך אימות לא מאומת
המשתמש הוא חשבון Gmail1 תהליך אימות רגיל תהליך אימות לא מאומת תהליך אימות לא מאומת תהליך אימות לא מאומת

1כל חשבון Gmail, כולל החשבון שבו השתמשתם כדי לפרסם את האפליקציה.

מכסת משתמשים

כדי להגביל את הניצול לרעה האפשרי, יש מגבלה על מספר המשתמשים שיכולים לאשר אפליקציה דרך תהליך האימות של האפליקציה. פרטים נוספים זמינים במאמר מגבלות על משתמשי אפליקציות OAuth.

שליחת בקשת אימות

אתם יכולים לבקש אימות של לקוח ה-OAuth שבו משתמשת האפליקציה ושל הפרויקט ב-Cloud Platform ‏ (GCP) המשויך אליה. אחרי שהאפליקציה תאומת, המשתמשים לא יראו יותר את המסך של האפליקציה הלא מאומתת. בנוסף, האפליקציה שלכם לא תהיה כפופה יותר למכסת המשתמשים.

דרישות

כדי לשלוח את לקוח ה-OAuth לאימות, עליכם לעמוד בדרישות הבאות:

  1. אתם צריכים להיות הבעלים של אתר אינטרנט בדומיין. האתר חייב לארח דפים שגלויים לכולם ומתארים את האפליקציה ואת מדיניות הפרטיות שלה. בנוסף, עליכם לאמת את הבעלות שלכם על האתר מול Google.

  2. הפרויקט ב-Google Cloud שבו נעשה שימוש בפרויקט הסקריפט צריך להיות פרויקט רגיל ב-Google Cloud שיש לכם גישה לעריכה שלו. אם הסקריפט משתמש בפרויקט ברירת המחדל שלו ב-Google Cloud, צריך לעבור לפרויקט רגיל ב-Google Cloud.

בנוסף, צריכים להיות לכם הנכסים הנדרשים הבאים:

  • שם האפליקציה. שם האפליקציה. השם הזה מוצג במסך ההסכמה. השם צריך להיות זהה לשם שבו האפליקציה מוגדרת במיקומים אחרים, למשל בדף האפליקציה ב-Google Workspace Marketplace.
  • לוגו של האפליקציה. תמונה של לוגו האפליקציה בפורמט JPEG,‏ PNG או BMP לשימוש במסך ההסכמה. גודל הקובץ צריך להיות 1MB או פחות.
  • כתובת אימייל לתמיכה. זהו כתובת אימייל שמוצגת במסך ההסכמה, כדי שמשתמשים יוכלו לפנות אליה אם הם זקוקים לתמיכה באפליקציה. אפשר להשתמש בכתובת האימייל שלכם או בקבוצת Google שבבעלותכם או בניהולכם.
  • היקפים. רשימה של כל ההיקפים שבהם האפליקציה משתמשת. אפשר להציג את ההיקפים בעורך של Apps Script.
  • דומיינים מורשים. זוהי רשימה של דומיינים שמכילים מידע על האפליקציה. כל הקישורים של האפליקציה (כמו דף מדיניות הפרטיות הנדרש) חייבים להתארח בדומיינים מורשים.
  • כתובת ה-URL של דף הבית של האפליקציה. המיקום של דף הבית שמתאר את האפליקציה. המיקום הזה חייב להתארח בדומיין מורשה.
  • כתובת ה-URL של מדיניות הפרטיות של האפליקציה. המיקום של הדף שבו מתוארת מדיניות הפרטיות של האפליקציה. המיקום הזה חייב להתארח בדומיין מורשה.

בנוסף לנכסים הנדרשים שצוינו למעלה, אפשר לספק כתובת URL של התנאים וההגבלות של האפליקציה שמפנה לדף שמתאר את התנאים וההגבלות של האפליקציה. אם מציינים מיקום, הוא חייב להיות בדומיין מורשה.

שלבים

  1. אם עדיין לא עשיתם זאת, מאמתים את הבעלות על כל הדומיינים המורשים שבהם אתם מארחים את מדיניות הפרטיות של פרויקט הסקריפט ומידע נוסף. הבעלים המאומתים של הדומיינים חייבים להיות עורכים או הבעלים של פרויקט הסקריפט.
  2. בפרויקט של Apps Script, לוחצים על סקירה כללית . בקטע Project OAuth Scopes, מעתיקים את ההיקפים שבהם נעשה שימוש בפרויקט הסקריפט.
  3. ממלאים את מסך ההסכמה ל-OAuth בפרויקט Google Cloud של האפליקציה באמצעות נכסי הטקסט וכתובות ה-URL שאספתם.

    1. מציינים את הדומיינים המורשים שבהם מתארח המידע של האפליקציה (למשל מדיניות הפרטיות שלה).
    2. כדי להוסיף את היקפי הגישה של האפליקציה, לוחצים על הוספה או הסרה של היקפי גישה. בתיבת הדו-שיח שנפתחת מתבצעת ניסיונות לזהות באופן אוטומטי היקפים לממשקי API שהפעלתם במסוף Google Cloud (כמו שירותים מתקדמים). אפשר לבחור היקפים מהרשימה הזו על ידי סימון התיבות המתאימות.

      הרשימה הזו שזוהתה באופן אוטומטי לא תמיד כוללת היקפים שבהם נעשה שימוש על ידי שירותים מובנים של Apps Script. צריך להזין את ההיקפים האלה בקטע הוספת היקפי הרשאות באופן ידני.

      בסיום, לוחצים על עדכון.

  4. אחרי שמזינים את כל הפרטים הנדרשים, לוחצים על Save.

  5. לוחצים על שליחת בקשת אימות כדי להתחיל את בקשת האימות.

רוב בקשות האימות מקבלות תשובה תוך 24 עד 72 שעות. אפשר לבדוק את סטטוס האימות בחלק העליון של הטופס במסך ההסכמה של OAuth. אחרי האימות של לקוח ה-OAuth, האפליקציה מאומתת.