Weryfikacja klienta OAuth

Klienty Google OAuth, które żądają określonych poufnych zakresów protokołu OAuth, są sprawdzane przez Google.

Jeśli nie zweryfikujesz klienta OAuth projektu skryptu, użytkownicy spoza Twojej domeny zobaczą ekran niezweryfikowanej aplikacji, gdy spróbują autoryzować Twój skrypt. Niezweryfikowany proces autoryzacji umożliwia użytkownikom autoryzowanie niezweryfikowanych aplikacji i korzystanie z nich, ale dopiero po potwierdzeniu, że zdają sobie sprawę z zagrożeń. Obowiązuje również limit łącznej liczby niezweryfikowanych użytkowników aplikacji.

Więcej informacji można znaleźć w następujących artykułach:

 

Ekran niezweryfikowanej aplikacji
Rysunek 1. Ekran niezweryfikowanej aplikacji
Niezweryfikowany proces autoryzacji aplikacji
Rysunek 2. Niezweryfikowany proces autoryzacji aplikacji

 

Ta zmiana dotyczy klientów internetowych Google OAuth, w tym klientów używanych we wszystkich projektach Apps Script. Weryfikując aplikację w Google, możesz usunąć z procesu autoryzacji ekran niezweryfikowanej aplikacji i zapewnić użytkownikom pewność, że aplikacja nie jest szkodliwa.

Niezweryfikowane aplikacje

Dodatki, aplikacje internetowe i inne wdrożenia (np. aplikacje korzystające z interfejsu Apps Script API) mogą wymagać weryfikacji.

Obowiązywanie

Jeśli aplikacja korzysta z poufnych zakresów protokołu OAuth, w ramach procesu autoryzacji może pojawić się ekran niezweryfikowanej aplikacji. Jej obecność (i powiązany z nią niezweryfikowany proces autoryzacji aplikacji) zależy od konta, na którym aplikacja została opublikowana i na którym koncie próbuje z niej korzystać. Na przykład aplikacje opublikowane w konkretnej organizacji Google Workspace nie generują niezweryfikowanego procesu autoryzacji aplikacji na kontach w tej domenie, nawet jeśli aplikacja nie została zweryfikowana.

W tabeli poniżej pokazujemy, w jakich sytuacjach następuje proces autoryzacji niezweryfikowanej aplikacji:

Klient jest zweryfikowany Wydawca to konto Google Workspace klienta A Skrypt znajduje się na dysku współdzielonym klienta A Wydawca ma konto Gmail
Użytkownik to konto Google Workspace klienta A Normalny proces uwierzytelniania Normalny proces uwierzytelniania Normalny proces uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik jest kontem Google Workspace nienależącym do klienta A. Normalny proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik korzysta z konta Gmail1 Normalny proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania

1 Dowolne konto Gmail, w tym konto użyte do opublikowania aplikacji.

Limit liczby użytkowników

Liczba użytkowników, którzy mogą autoryzować aplikację w ramach procesu niezweryfikowanej aplikacji, jest ograniczona, aby ograniczyć potencjalne nadużycia. Więcej informacji znajdziesz w artykule Limity użytkowników aplikacji OAuth.

Prośba o weryfikację

Możesz poprosić o weryfikację klienta OAuth używanego w Twojej aplikacji i powiązanego z nim projektu Cloud Platform (GCP). Po zweryfikowaniu aplikacji użytkownicy nie będą już widzieć ekranu niezweryfikowanej aplikacji. Ponadto Twoja aplikacja nie będzie już objęta limitem liczby kont użytkowników.

Wymagania

Aby przesłać klienta OAuth do weryfikacji, musisz spełnić te wymagania:

  1. Musisz mieć witrynę w domenie. W witrynie muszą znajdować się dostępne publicznie strony zawierające opis aplikacji i jej polityki prywatności. Musisz też potwierdzić w Google, że jesteś właścicielem witryny.

  2. Projekt Google Cloud używany przez projekt skryptu musi być standardowym projektem Google Cloud, w którym masz uprawnienia do edycji. Jeśli Twój skrypt używa domyślnego projektu Google Cloud, musisz przełączyć się na standardowy projekt Google Cloud.

Dodatkowo musisz mieć te wymagane komponenty:

  • Nazwa aplikacji. Nazwa aplikacji wyświetlana na ekranie zgody. Powinna ona odpowiadać nazwie używanej w innych lokalizacjach, np. w informacjach o opublikowanych aplikacjach w Google Workspace Marketplace.
  • Logo aplikacji. Logo aplikacji w formacie JPEG, PNG lub BMP, które będzie używane na ekranie zgody. Rozmiar pliku nie może przekraczać 1 MB.
  • Adres e-mail pomocy. Ten adres e-mail wyświetla się na ekranie zgody, aby użytkownicy mogli się z nim skontaktować w razie problemów z aplikacją. Może to być Twój adres e-mail albo Grupa dyskusyjna Google, która należy do Ciebie lub którą zarządzasz.
  • Zakresy. Lista wszystkich zakresów używanych przez aplikację. Możesz wyświetlić zakresy w edytorze Apps Script.
  • Autoryzowane domeny. To jest lista domen z informacjami o Twojej aplikacji. Wszystkie linki aplikacji (np. wymagana strona polityki prywatności) muszą być hostowane w autoryzowanych domenach.
  • URL strony głównej aplikacji. Lokalizacja strony głównej opisującej Twoją aplikację. Ta lokalizacja musi być hostowana w autoryzowanej domenie.
  • URL polityki prywatności aplikacji. Lokalizacja strony z opisem polityki prywatności Twojej aplikacji. Ta lokalizacja musi być hostowana w autoryzowanej domenie.

Oprócz wymaganych zasobów wymienionych powyżej możesz też opcjonalnie podać URL warunków korzystania z usługi, który prowadzi do strony z opisem warunków korzystania z aplikacji. Jeśli ta lokalizacja jest podana, musi znajdować się w autoryzowanej domenie.

Instrukcje

  1. Potwierdź własność wszystkich autoryzowanych domen, których używasz do hostowania polityki prywatności projektu skryptu i innych informacji. Zweryfikowani właściciele domen muszą być edytującymi lub właścicielami projektu skryptu.
  2. W projekcie Apps Script kliknij Przegląd . W sekcji Zakresy protokołu OAuth projektu skopiuj zakresy używane przez Twój projekt skryptu.

  3. Wypełnij ekran zgody OAuth projektu Google Cloud Twojej aplikacji, używając zebranych przez Ciebie zasobów tekstowych i adresów URL.

    1. Podaj Autoryzowane domeny, w których przechowywane są informacje o Twojej aplikacji (np. jej polityka prywatności).

    2. Aby dodać zakresy aplikacji, kliknij Dodaj lub usuń zakresy. W wyświetlonym oknie spróbuje automatycznie wykryć zakresy interfejsów API włączonych w konsoli Google Cloud (takich jak usługi zaawansowane). Możesz wybrać zakresy z tej listy, zaznaczając odpowiednie pola.

      Ta lista automatycznie wykrywana nie zawsze obejmuje zakresy używane przez wbudowane usługi Apps Script. Musisz wpisać te zakresy w sekcji Dodaj zakresy ręcznie.

      Gdy skończysz, kliknij Aktualizuj.

  4. Gdy wpiszesz wszystkie wymagane informacje, kliknij Zapisz.

  5. Kliknij Prześlij do weryfikacji, aby wysłać prośbę o weryfikację.

Większość próśb o weryfikację jest rozpatrywana w ciągu 24–72 godzin. Stan weryfikacji możesz sprawdzić u góry ekranu zgody OAuth. Po potwierdzeniu weryfikacji klienta OAuth Twoja aplikacja zostanie zweryfikowana.