Weryfikacja klienta OAuth

Klienty Google OAuth, które żądają określonych wrażliwych zakresów OAuth, podlegają weryfikacji przez Google.

Jeśli nie zweryfikujesz klienta OAuth projektu skryptu, użytkownicy spoza Twojej domeny zobaczą ekran niezweryfikowanej aplikacji podczas próby autoryzacji skryptu. W ramach niezweryfikowanej autoryzacji użytkownicy mogą autoryzować niezweryfikowane aplikacje i z nich korzystać, ale tylko po potwierdzeniu, że zdają sobie sprawę z zagrożeń. Obowiązuje też limit łącznej liczby niezweryfikowanych użytkowników aplikacji.

Więcej informacji można znaleźć w następujących artykułach:

 

Ekran niezweryfikowanej aplikacji
Rys. 1. Ekran niezweryfikowanej aplikacji
Proces niezweryfikowanej autoryzacji aplikacji
Rys. 2. Proces niezweryfikowanej autoryzacji aplikacji

 

Ta zmiana dotyczy klientów internetowych Google OAuth, w tym tych używanych przez wszystkie projekty Apps Script. Zweryfikuj swoją aplikację w Google, aby usunąć jej ekran z procesu autoryzacji i przekonać użytkowników, że Twoja aplikacja nie jest szkodliwa.

Niezweryfikowane aplikacje

Dodatki, aplikacje internetowe i inne wdrożenia (np. aplikacje korzystające z interfejsu Apps Script API) mogą wymagać weryfikacji.

Obowiązywanie

Jeśli aplikacja korzysta z wrażliwych zakresów OAuth, w procesie autoryzacji może pojawić się ekran niezweryfikowanej aplikacji. Obecność aplikacji (i wynik niezweryfikowanej autoryzacji aplikacji) zależy od tego, z którego konta została opublikowana i z jakiego konta próbuje z niej korzystać. Na przykład aplikacje opublikowane w określonej organizacji Google Workspace nie powodują niezweryfikowanego procesu autoryzacji aplikacji na kontach w tej domenie, nawet jeśli aplikacja nie została zweryfikowana.

W tabeli poniżej przedstawiono sytuacje, w których następuje proces niezweryfikowanej autoryzacji aplikacji:

Klient jest zweryfikowany Wydawca to konto Google Workspace klienta A Skrypt jest na dysku współdzielonym klienta A Wydawca to konto Gmail
Użytkownik jest kontem Google Workspace klienta A Normalny przepływ uwierzytelniania Normalny przepływ uwierzytelniania Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik jest kontem Google Workspace, które nie należy do klienta A. Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik jest kontem Gmail1. Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania

1 Dowolne konto Gmail, w tym konto użyte do opublikowania aplikacji.

Limit liczby użytkowników

Liczba użytkowników, którzy mogą autoryzować aplikację w ramach procesu niezweryfikowanego, jest ograniczona, aby ograniczyć potencjalne nadużycia. Więcej informacji znajdziesz w artykule Limity użytkowników aplikacji OAuth.

Prośba o weryfikację

Możesz poprosić o weryfikację klienta OAuth używanego przez Twoją aplikację i powiązany z nim projekt Cloud Platform (GCP). Gdy Twoja aplikacja zostanie zweryfikowana, użytkownicy nie będą już widzieć ekranu niezweryfikowanej aplikacji. Oprócz tego aplikacja nie będzie już objęta limitem liczby użytkowników.

Wymagania

Aby przesłać klienta OAuth do weryfikacji, musisz spełniać te wymagania:

  1. Musisz być właścicielem witryny w domenie. W witrynie muszą znajdować się dostępne publicznie strony z opisem aplikacji i jej polityką prywatności. Musisz też potwierdzić w Google, że jesteś właścicielem witryny.

  2. Projekt Google Cloud używany przez projekt skryptu musi być standardowym projektem Google Cloud, do którego masz uprawnienia do edycji. Jeśli skrypt używa swojego domyślnego projektu Google Cloud, musisz przełączyć się na standardowy projekt Google Cloud.

Dodatkowo musisz mieć te wymagane komponenty:

  • Nazwa aplikacji. Nazwa aplikacji wyświetlana na ekranie zgody. Nazwa powinna być taka sama jak nazwa aplikacji w innych lokalizacjach, takich jak lista opublikowanych aplikacji w Google Workspace Marketplace.
  • Logo aplikacji. Obraz logo aplikacji w formacie JPEG, PNG lub BMP do użycia na ekranie zgody. Rozmiar pliku nie może przekraczać 1 MB.
  • Adres e-mail zespołu pomocy. Jest to e-mail wyświetlany na ekranie zgody, aby użytkownicy mogli się z nim skontaktować, jeśli potrzebują pomocy w zakresie aplikacji. Może to być Twój adres e-mail lub grupa dyskusyjna Google, której jesteś właścicielem lub menedżerem.
  • Zakresy. Lista wszystkich zakresów używanych przez aplikację. Zakresy możesz wyświetlać w edytorze Apps Script.
  • Autoryzowane domeny. To jest lista domen zawierających informacje o Twojej aplikacji. Wszystkie linki aplikacji (np. wymagana strona polityki prywatności) muszą być hostowane w autoryzowanych domenach.
  • Adres URL strony głównej aplikacji. Lokalizacja strony głównej z opisem Twojej aplikacji. Musi być hostowana w autoryzowanej domenie.
  • Adres URL polityki prywatności aplikacji. Lokalizacja strony z opisem polityki prywatności aplikacji. Ta lokalizacja musi być hostowana w autoryzowanej domenie.

Oprócz wymaganych wymienionych powyżej zasobów możesz opcjonalnie podać URL warunków korzystania z aplikacji, który prowadzi do strony z opisem warunków korzystania z aplikacji. Jeśli jest podana, musi należeć do autoryzowanej domeny.

Kroki

  1. Potwierdź własność wszystkich autoryzowanych domen, których używasz do hostowania polityki prywatności projektu skryptu i innych informacji. Zweryfikowani właściciele domen muszą być edytującymi lub właścicielami projektu skryptu.
  2. W projekcie Apps Script kliknij Overview (Przegląd) . W sekcji Zakresy protokołu OAuth projektu skopiuj zakresy używane w projekcie skryptu.

  3. Wypełnij ekran zgody OAuth dla projektu Google Cloud aplikacji, korzystając z zebranych zasobów tekstowych i URL.

    1. Podaj Autoryzowane domeny, w których są hostowane informacje o Twojej aplikacji (np. polityka prywatności).

    2. Aby dodać zakresy aplikacji, kliknij Dodaj lub usuń zakresy. W wyświetlonym oknie pojawi się próba automatycznego wykrycia zakresów interfejsów API włączonych w konsoli Google Cloud (takich jak usługi zaawansowane). Możesz wybrać zakresy z tej listy, zaznaczając odpowiednie pola.

      Ta automatycznie wykrywana lista nie zawsze obejmuje zakresy używane przez usługi wbudowane Apps Script. Musisz wpisać te zakresy w sekcji Dodaj zakresy ręcznie.

      Gdy skończysz, kliknij Aktualizuj.

  4. Po wpisaniu wszystkich wymaganych informacji kliknij Zapisz.

  5. Aby rozpocząć weryfikację, kliknij Prześlij do weryfikacji.

Większość próśb o weryfikację otrzymuje odpowiedź w ciągu 24–72 godzin. Stan weryfikacji możesz sprawdzić u góry ekranu zgody OAuth. Po potwierdzeniu weryfikacji klienta OAuth aplikacja zostanie zweryfikowana.