Weryfikacja klienta OAuth

Klienty Google OAuth, które żądają określonych poufnych zakresów OAuth, podlegają weryfikacji przez Google.

Jeśli nie zweryfikujesz klienta OAuth projektu skryptu, podczas próby autoryzacji skryptu użytkownicy spoza domeny zobaczą ekran niezweryfikowanej aplikacji. Dzięki niezweryfikowanemu procesowi autoryzacji użytkownicy mogą autoryzować niezweryfikowane aplikacje i z nich korzystać, ale dopiero po potwierdzeniu, że znają zagrożenia. Obowiązuje również ograniczenie łącznej liczby niezweryfikowanych użytkowników aplikacji.

Więcej informacji można znaleźć w następujących artykułach:

 

Ekran niezweryfikowanej aplikacji
Rysunek 1. Ekran niezweryfikowanej aplikacji
Niezweryfikowany proces autoryzacji aplikacji
Rysunek 2. Proces niezweryfikowanej autoryzacji aplikacji

 

Ta zmiana obejmuje klienty internetowe Google OAuth, w tym te używane przez wszystkie projekty Apps Script. Weryfikując aplikację w Google, możesz usunąć ekran niezweryfikowanej aplikacji z procesu autoryzacji i dać użytkownikom pewność, że aplikacja nie jest szkodliwa.

Niezweryfikowane aplikacje

Dodatki, aplikacje internetowe i inne wdrożenia (np. aplikacje korzystające z interfejsu Apps Script API) mogą wymagać weryfikacji.

Obowiązywanie

Jeśli aplikacja używa poufnych zakresów OAuth, w procesie autoryzacji może pojawić się ekran niezweryfikowanej aplikacji. Jej obecność (i wynik niezweryfikowany proces autoryzacji aplikacji) zależy od konta, z którego została opublikowana, i tego, z jakiego konta próbuje korzystać. Na przykład aplikacje opublikowane w konkretnej organizacji Google Workspace nie powodują przeprowadzenia procedury autoryzacji niezweryfikowanej aplikacji w przypadku kont w tej domenie, nawet jeśli aplikacja nie została zweryfikowana.

W tabeli poniżej pokazujemy, co może spowodować przejście procesu autoryzacji niezweryfikowanej aplikacji:

Klient jest zweryfikowany Wydawca to konto Google Workspace klienta A Skrypt znajduje się na dysku współdzielonym klienta A Wydawca to konto Gmail
Użytkownik jest kontem Google Workspace klienta A Normalny przepływ uwierzytelniania Normalny przepływ uwierzytelniania Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik jest kontem Google Workspace, które nie należy do klienta A. Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik jest kontem Gmail1 Normalny przepływ uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Niezweryfikowany proces uwierzytelniania

1 Dowolne konto Gmail, w tym konto użyte do opublikowania aplikacji.

Limit liczby użytkowników

Liczba użytkowników, którzy mogą autoryzować aplikację w ramach procesu niezweryfikowanej aplikacji, jest ograniczona, by ograniczyć potencjalne nadużycia. Więcej informacji znajdziesz w artykule Limity użytkowników aplikacji OAuth.

Prośba o weryfikację

Możesz poprosić o weryfikację klienta OAuth używanego przez Twoją aplikację i powiązany z nim projekt Cloud Platform (GCP). Gdy Twoja aplikacja zostanie zweryfikowana, użytkownicy nie będą już widzieć ekranu niezweryfikowanej aplikacji. Oprócz tego aplikacja nie będzie już objęta limitem liczby użytkowników.

Wymagania

Aby przesłać klienta OAuth do weryfikacji, musisz spełniać te wymagania:

  1. Musisz być właścicielem witryny w domenie. W witrynie muszą być dostępne publicznie strony z opisem aplikacji i jej polityką prywatności. Musisz też potwierdzić w Google, że jesteś właścicielem witryny.

  2. Projekt Google Cloud, którego używa projekt skryptu, musi być standardowym projektem Google Cloud, do którego masz uprawnienia do edycji. Jeśli skrypt używa domyślnego projektu Google Cloud, musisz przełączyć się na standardowy projekt Google Cloud.

Dodatkowo musisz mieć te wymagane komponenty:

  • Nazwa aplikacji. Nazwa aplikacji wyświetlana na ekranie zgody. Powinna być taka sama jak nazwa aplikacji w innych lokalizacjach, na przykład w Google Workspace Marketplace w przypadku opublikowanych aplikacji.
  • Logo aplikacji. Obraz logo aplikacji w formacie JPEG, PNG lub BMP do użycia na ekranie zgody. Rozmiar pliku nie może przekraczać 1 MB.
  • Adres e-mail zespołu pomocy Jest to adres e-mail wyświetlany na ekranie zgody, aby użytkownicy mogli się z nim skontaktować w razie problemów z aplikacją. Może to być Twój adres e-mail lub grupa dyskusyjna Google, której jesteś właścicielem albo którą zarządzasz.
  • Zakresy. Lista wszystkich zakresów używanych przez aplikację. Zakresy możesz wyświetlić w edytorze Apps Script.
  • Autoryzowane domeny To jest lista domen z informacjami o Twojej aplikacji. Wszystkie linki aplikacji (np. wymagana strona polityki prywatności) muszą być hostowane w autoryzowanych domenach.
  • Adres URL strony głównej aplikacji. Lokalizacja strony głównej opisującej Twoją aplikację. Musi być hostowana w autoryzowanej domenie.
  • Adres URL polityki prywatności aplikacji. Lokalizacja strony z opisem polityki prywatności aplikacji. Ta lokalizacja musi być hostowana w autoryzowanej domenie.

Oprócz wymaganych wyżej wymienionych zasobów możesz opcjonalnie podać URL Warunków korzystania z aplikacji, który prowadzi do strony z opisem warunków korzystania z aplikacji. Jeśli ta lokalizacja została podana, musi znajdować się w autoryzowanej domenie.

Instrukcje

  1. Zweryfikuj własność wszystkich autoryzowanych domen, których używasz do hostowania polityki prywatności projektu skryptu i innych informacji. Zweryfikowani właściciele domen muszą być edytującymi lub właścicielem projektu skryptu.
  2. W projekcie Apps Script kliknij Przegląd . W sekcji Zakresy protokołu OAuth projektu skopiuj zakresy używane w projekcie skryptu.

  3. Wykonaj czynności dotyczące ekranu zgody OAuth dla projektu Google Cloud aplikacji, korzystając z zebranych zasobów tekstowych i URL.

    1. Podaj Autoryzowane domeny, w których są hostowane informacje o Twojej aplikacji (na przykład polityka prywatności).

    2. Aby dodać zakresy aplikacji, kliknij Dodaj lub usuń zakresy. Pojawi się okno, które spróbuje automatycznie wykryć zakresy dla interfejsów API włączonych w konsoli Google Cloud (takich jak usługi zaawansowane). Możesz wybrać zakresy z tej listy, zaznaczając odpowiednie pola.

      Ta automatycznie wykrywana lista nie zawsze obejmuje zakresy używane przez usługi wbudowane Apps Script. Zakresy musisz wpisać w sekcji Dodaj zakresy ręcznie.

      Gdy skończysz, kliknij Aktualizuj.

  4. Po wpisaniu wszystkich wymaganych informacji kliknij Zapisz.

  5. Aby rozpocząć proces weryfikacji, kliknij Prześlij do weryfikacji.

Odpowiedź na większość próśb o weryfikację przypada w ciągu 24–72 godzin. Stan weryfikacji możesz sprawdzić u góry formularza zgody OAuth. Po potwierdzeniu weryfikacji klienta OAuth aplikacja zostanie zweryfikowana.