Weryfikacja klienta OAuth

Klienci OAuth Google, którzy żądają określonych poufnych zakresów OAuth, podlegają weryfikacji przez Google.

Jeśli nie zweryfikujesz klienta OAuth projektu skryptu, użytkownicy spoza Twojej domeny zobaczą ekran niezweryfikowanej aplikacji, gdy spróbują autoryzować skrypt. Niezweryfikowany proces autoryzacji umożliwia tym użytkownikom autoryzowanie niezweryfikowanych aplikacji i korzystanie z nich, ale tylko po potwierdzeniu, że rozumieją związane z tym ryzyko. Łączna liczba niezweryfikowanych użytkowników aplikacji jest również ograniczona.

Więcej informacji można znaleźć w następujących artykułach:

 

Ekran niezweryfikowanej aplikacji
Rysunek 1. Ekran niezweryfikowanej aplikacji
Proces autoryzacji niezweryfikowanej aplikacji
Rysunek 2. Proces autoryzacji niezweryfikowanej aplikacji

 

Ta zmiana dotyczy klientów internetowych Google OAuth, w tym tych, których używają wszystkie projekty Apps Script. Przekazując aplikację do weryfikacji Google, możesz usunąć ekran niezweryfikowanej aplikacji z procesu autoryzacji i zapewnić użytkownikom, że aplikacja nie jest szkodliwa.

Niezweryfikowane aplikacje

Dodatki, aplikacje internetowe i inne wdrożenia (np. aplikacje korzystające z interfejsu Apps Script API) mogą wymagać weryfikacji.

Obowiązywanie

Jeśli aplikacja korzysta z poufnych zakresów protokołu OAuth, w ramach procesu autoryzacji może pojawić się ekran niezweryfikowanej aplikacji. Jego obecność (i wynikający z tego proces autoryzacji niezweryfikowanej aplikacji) zależy od tego, z którego konta została opublikowana aplikacja i które konto próbuje z niej korzystać. Na przykład aplikacje opublikowane w konkretnej organizacji Google Workspace nie powodują procesu autoryzacji niezweryfikowanej aplikacji na kontach w tej domenie, nawet jeśli aplikacja nie została zweryfikowana.

W tabeli poniżej wyjaśniamy, w jakich sytuacjach uruchamia się proces autoryzacji aplikacji bez weryfikacji:

Klient jest zweryfikowany Wydawca to konto Google Workspace klienta A Skrypt znajduje się na dysku współdzielonym klienta A. wydawca jest kontem Gmail,
Użytkownik jest użytkownikiem konta Google Workspace klienta A Normalny proces uwierzytelniania Normalny proces uwierzytelniania Normalny proces uwierzytelniania Niezweryfikowany proces uwierzytelniania
Użytkownik ma konto Google Workspace nie należące do klienta A. Normalny proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Proces uwierzytelniania bez weryfikacji Niezweryfikowany proces uwierzytelniania
Użytkownik ma konto Gmail1 Normalny proces uwierzytelniania Niezweryfikowany proces uwierzytelniania Proces uwierzytelniania bez weryfikacji Niezweryfikowany proces uwierzytelniania

1 Dowolny adres Gmail, w tym konto użyte do opublikowania aplikacji.

Limit liczby użytkowników

Aby ograniczyć możliwość nadużyć, liczba użytkowników, którzy mogą autoryzować aplikację w ramach procesu niezweryfikowanej aplikacji, jest ograniczona. Więcej informacji znajdziesz w artykule Ograniczenia dotyczące użytkowników aplikacji OAuth.

Prośba o weryfikację

Możesz poprosić o weryfikację klienta OAuth używanego przez Twoją aplikację i powiązanego z nią projektu Cloud Platform (GCP). Po zweryfikowaniu aplikacji użytkownicy nie będą już widzieć ekranu niezweryfikowanej aplikacji. Ponadto Twoja aplikacja nie będzie już objęta limitem liczby kont użytkowników.

Wymagania

Aby przesłać klienta OAuth do weryfikacji, musisz spełnić te wymagania:

  1. Musisz być właścicielem witryny w domenie. Witryna musi zawierać publicznie dostępne strony z informacjami o aplikacji i polityką prywatności. Musisz też potwierdzić w Google, że jesteś właścicielem witryny.

  2. Projekt Google Cloud, którego używa Twój projekt skryptu, musi być standardowym projektem Google Cloud, do którego masz uprawnienia do edycji. Jeśli Twój skrypt używa domyślnego projektu Google Cloud, musisz przełączyć się na standardowy projekt Google Cloud.

Dodatkowo musisz mieć te wymagane komponenty:

  • Nazwa aplikacji. Nazwa aplikacji wyświetlana na ekranie zgody. Powinna ona być zgodna z nazwą używaną w innych miejscach, takich jak lista opublikowanych aplikacji w Google Workspace Marketplace.
  • Logo aplikacji. Logo aplikacji w formacie JPEG, PNG lub BMP do użycia na ekranie zgody. Rozmiar pliku nie może przekraczać 1 MB.
  • Adres e-mail do zespołu pomocy. Jest to adres e-mail wyświetlany na ekranie zgody, pod którym użytkownicy mogą się skontaktować, jeśli potrzebują pomocy dotyczącej aplikacji. Może to być Twój adres e-mail lub grupa dyskusyjna Google, której jesteś właścicielem lub którą zarządzasz.
  • Zakresy. Lista wszystkich zakresów używanych przez Twoją aplikację. Możesz wyświetlić zakresy w edytorze Apps Script.
  • Autoryzowane domeny. Oto lista domen zawierających informacje o aplikacji. Wszystkie linki do aplikacji (np. do wymaganej strony polityki prywatności) muszą być hostowane w autoryzowanych domenach.
  • URL strony głównej aplikacji. Lokalizacja strony głównej opisującej aplikację. Ta lokalizacja musi być hostowana w autoryzowanej domenie.
  • Adres URL polityki prywatności aplikacji. Lokalizacja strony z opisem polityki prywatności Twojej aplikacji. Ta lokalizacja musi być hostowana w autoryzowanej domenie.

Oprócz wymaganych zasobów wymienionych powyżej możesz opcjonalnie podać adres URL warunków korzystania z aplikacji, który wskazuje na stronę z opisem warunków korzystania z aplikacji. Jeśli została podana, lokalizacja musi znajdować się w autoryzowanej domenie.

Kroki

  1. Jeśli jeszcze tego nie zrobiono, potwierdź własność wszystkich autoryzowanych domen, które są używane do hostowania polityki prywatności i innych informacji projektu skryptu. Zweryfikowani właściciele domen muszą być edytorami lub właścicielami projektu skryptu.
  2. W projekcie Apps Script kliknij Informacje ogólne . W sekcji Zakresy protokołu OAuth projektu skopiuj zakresy, których używa projekt skryptu.

  3. Wypełnij ekran zgody OAuth w projekcie Google Cloud Twojej aplikacji, używając zebranych zasobów tekstowych i adresów URL.

    1. Podaj Autoryzowane domeny, w których są przechowywane informacje o Twojej aplikacji (np. jej polityka prywatności).

    2. Aby dodać zakresy aplikacji, kliknij Dodaj lub usuń zakresy. W wynikającym oknie nastąpi automatyczne wykrywanie zakresów interfejsów API włączonych w konsoli Google Cloud (np. usług zaawansowanych). Możesz wybrać zakresy z tej listy, zaznaczając odpowiednie pola.

      Ta lista automatycznie wykrywana nie zawsze zawiera zakresy używane przez wbudowane usługi Apps Script. Musisz je wpisać w sekcji Ręczne dodawanie zakresów.

      Gdy skończysz, kliknij Aktualizuj.

  4. Po wpisaniu wszystkich wymaganych informacji kliknij Zapisz.

  5. Kliknij Prześlij do weryfikacji, aby wysłać prośbę o weryfikację.

Większość próśb o weryfikację rozpatrujemy w ciągu 24–72 godzin. Stan weryfikacji możesz sprawdzić u góry ekranu zgody OAuth. Po potwierdzeniu weryfikacji klienta OAuth Twoja aplikacja zostanie zweryfikowana.