Prześlij do weryfikacji marki

Wszystkie aplikacje, które mają dostęp do interfejsów API Google, muszą potwierdzić, że dokładnie przedstawiają swoją tożsamość i intencje zgodnie z zasadami dotyczącymi danych użytkownika w usługach interfejsów API Google. Aby chronić Ciebie oraz użytkowników Google i Twojej aplikacji, możemy poprosić Cię o weryfikację ekranu zgody i aplikacji.

Twoja aplikacja wymaga weryfikacji, jeśli spełnia wszystkie te kryteria:

  • W obiekcie Google API Consolekonfiguracja aplikacji jest ustawiona pod kątem typu użytkownika External. Oznacza to, że do Twojej aplikacji będzie mógł uzyskać dostęp każdy użytkownik mający konto Google.
  • Chcesz, aby aplikacja wyświetlała logo lub wyświetlaną nazwę na ekranie zgody OAuth.

Jeśli podasz zweryfikowane informacje o marce, możesz zwiększyć prawdopodobieństwo, że użytkownik rozpozna Twoją markę i przyzna dostęp do Twojej aplikacji. Zweryfikowane informacje o marce mogą ograniczyć liczbę unieważnień w późniejszym czasie, gdy użytkownik lub administrator Google Workspace sprawdzi aplikacje i usługi innych firm mające dostęp do Twojego konta. Proces weryfikacji marki na ekranie zgody OAuth zwykle zajmuje 2–3 dni robocze od momentu przesłania prośby do weryfikacji.

Jeśli nie prześlesz wniosku o weryfikację marki, może to spowodować zmniejszenie zaufania użytkowników do Twojej prośby o ich dane, co z kolei może skutkować mniejszą liczbą upoważnień użytkowników i większą liczbą unieważnień w późniejszym czasie.

Ekran zgody informuje użytkowników, kto prosi o dostęp do ich danych i do jakich danych aplikacja musi mieć dostęp w ich imieniu, co zostało zaznaczone w polu 2 na rys. 1.

Gdy Twoja aplikacja przejdzie proces weryfikacji marki i otrzyma zatwierdzenie, jest bardziej prawdopodobne, że zasady dotyczące tożsamości i danych użytkownika zawarte w aplikacji zostaną jasno określone dla konta, które przyznało Ci uprawnienia. Takie jasne pojęcie może zwiększyć prawdopodobieństwo, że właściciel konta autoryzuje Twoje żądania i zachowa do nich dostęp, gdy sprawdzi możliwe wycofanie zgody na stronie konta Google. Zawartość skonfigurowana w OAuth Consent Screen page w API Console zawiera te komponenty:

  1. Nazwa i logo aplikacji (jak w polu 1 na rys. 1).
  2. Adres e-mail zespołu pomocy dla użytkowników, który pojawia się po wybraniu nazwy aplikacji (pole 2 na rys. 1)
  3. Linki do polityki prywatności i warunków korzystania z usługi (pole 3 na ilustracji 1)
Etykiety numerowane ilustrują różne funkcje ekranu zgody OAuth z projektu z zatwierdzonymi informacjami o marce.
Rysunek 1. Makietka ekranu zgody OAuth.

Autoryzowane domeny

W ramach procesu weryfikacji marki Google wymaga weryfikacji wszystkich domen powiązanych z ekranem zgody OAuth aplikacji i danymi logowania. Sprawdź komponent domeny dostępny do rejestracji w publicznym sufiksie domeny „najlepsza domena prywatna”. Na przykład na ekranie zgody OAuth skonfigurowanym ze stroną główną aplikacji https://sub.example.com/product właściciel konta będzie musiał potwierdzić własność domeny example.com.

Sekcja Autoryzowane domeny w edytorze ekranu zgody OAuth musi zawierać najważniejsze domeny prywatne, które są używane w identyfikatorach URI w sekcji Domena aplikacji. Te domeny obejmują stronę główną aplikacji, politykę prywatności i warunki korzystania z usługi. Sekcja Autoryzowane domeny musi też zawierać identyfikatory URI przekierowania lub źródła JavaScript autoryzowane w typie klienta OAuth „Aplikacja internetowa”.

Potwierdź własność autoryzowanych domen przy użyciu Google Search Console. Konto Google z uprawnieniami właścicielawłaściciela musi być powiązane z API Console projektem, który korzysta z tej autoryzowanej domeny. Więcej informacji o potwierdzaniu własności domeny w Google Search Console znajdziesz w artykule Weryfikowanie własności witryny.

Czynności, które należy wykonać, aby przygotować się do weryfikacji

Aby ukończyć weryfikację marki, wszystkie aplikacje używające interfejsów API Google do wysyłania próśb o dostęp do danych muszą wykonać te czynności:

  1. Upewnij się, że Twoja aplikacja nie pasuje do żadnego z przypadków użycia podanych w sekcji Wyjątki od wymagań weryfikacji.
  2. Zadbaj o to, aby aplikacja była zgodna z wymaganiami dotyczącymi marki powiązanych interfejsów API lub usług. Na przykład zapoznaj się ze wskazówkami dotyczącymi promowania marki w zakresie zakresów logowania przez Google.
  3. Potwierdź własność autoryzowanych domen projektu w Google Search Console. Użyj konta Google powiązanego z Twoim API Console projektem jako właściciela lub edytującego.
  4. Upewnij się, że wszystkie informacje dotyczące marki na ekranie zgody OAuth, takie jak nazwa aplikacji, adres e-mail do zespołu pomocy, identyfikator URI strony głównej, identyfikator URI polityki prywatności itp., dokładnie opisują tożsamość aplikacji.

Wymagania dotyczące strony głównej aplikacji

Upewnij się, że strona główna spełnia te wymagania:

  • Strona główna musi być dostępna publicznie, a nie tylko dla zalogowanych użytkowników witryny.
  • Powiązanie strony głównej z aplikacją, która jest w trakcie sprawdzania, musi być jasne.
  • Linki do informacji o aplikacji w Sklepie Google Play lub do jej strony na Facebooku nie są uznawane za prawidłowe strony główne aplikacji.

Wymagania dotyczące linku do polityki prywatności aplikacji

Upewnij się, że polityka prywatności Twojej aplikacji spełnia te wymagania:

  • Polityka prywatności musi być widoczna dla użytkowników, hostowana w tej samej domenie co strona główna aplikacji i mieć link do niej na ekranie zgody OAuth na stronie Google API Console. Pamiętaj, że strona główna musi zawierać opis funkcji aplikacji, a także linki do polityki prywatności i opcjonalnych warunków korzystania z usługi.
  • Polityka prywatności musi informować o tym, w jaki sposób aplikacja uzyskuje dostęp do danych użytkownika Google, wykorzystuje je, przechowuje i udostępnia. Musisz ograniczyć korzystanie z danych użytkownika Google do metod określonych w opublikowanej polityce prywatności.

Jak przesłać aplikację do weryfikacji

Google API Console Projekt porządkuje wszystkie API Console zasoby. Projekt obejmuje zestaw powiązanych kont Google, które mają uprawnienia do wykonywania operacji na projekcie, zestaw włączonych interfejsów API oraz ustawienia rozliczeń, uwierzytelniania i monitorowania tych interfejsów. Projekt może na przykład zawierać co najmniej jednego klienta OAuth, konfigurować interfejsy API do użytku przez te klienty oraz ekran zgody OAuth, który jest wyświetlany użytkownikom przed autoryzowaniem dostępu do aplikacji.

Jeśli którykolwiek z klientów OAuth nie jest gotowy do użycia w środowisku produkcyjnym, zalecamy usunięcie go z projektu, który wymaga weryfikacji. Możesz to zrobić w sekcji Google API Console.

Aby przesłać prośbę o weryfikację:

  1. Zadbaj o to, by aplikacja była zgodna z Warunkami korzystania z interfejsów API Google i Zasadami dotyczącymi danych użytkownika w usługach interfejsów API Google.
  2. Zadbaj o to, by role właściciela i edytującego powiązane z projektem były aktualne, a także adres e-mail zespołu pomocy do użytkowników na ekranie zgody OAuth i informacje kontaktowe dewelopera w pliku API Console. Dzięki temu odpowiedni członkowie Twojego zespołu będą powiadamiani o nowych wymaganiach.
  3. Przejdź do API Consoleprotokołu OAuth Consent Screen page.
  4. Kliknij przycisk Selektor projektów.
  5. W wyświetlonym oknie Wybierz spośród wybierz projekt. Jeśli nie możesz znaleźć projektu, ale znasz jego identyfikator, możesz utworzyć adres URL w przeglądarce w tym formacie:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Zastąp [PROJECT_ID] identyfikatorem projektu, którego chcesz użyć.

  6. Kliknij przycisk Edit App (Edytuj aplikację).
  7. Wpisz niezbędne informacje na stronie ekranu zgody OAuth, a następnie kliknij przycisk Zapisz i kontynuuj.
  8. Użyj przycisku Dodaj lub usuń zakresy, aby zadeklarować wszystkie zakresy żądane przez Twoją aplikację. Początkowy zestaw zakresów wymaganych do logowania przez Google jest wstępnie wypełniony w sekcji Zakresy niewrażliwe. Dodane zakresy są klasyfikowane jako niewrażliwe ( sensitive, or restricted).
  9. Podaj maksymalnie 3 linki do dokumentacji dotyczącej powiązanych funkcji w aplikacji.
  10. Podaj wszystkie dodatkowe informacje wymagane w kolejnych krokach.

  11. Jeśli konfiguracja aplikacji wymaga weryfikacji, możesz przesłać ją do weryfikacji. Wypełnij wymagane pola i kliknij Prześlij, aby rozpocząć proces weryfikacji.

Gdy prześlesz aplikację, zespół Google ds. zaufania i bezpieczeństwa wyśle Ci e-maila z wszelkimi dodatkowymi informacjami i instrukcjami, które musisz wykonać. Sprawdź swoje adresy e-mail w sekcji Informacje kontaktowe dewelopera oraz adres e-mail do zespołu pomocy na ekranie zgody OAuth, aby uzyskać więcej informacji. Możesz też wyświetlić stronę ekranu zgody OAuth w projekcie, aby sprawdzić bieżący stan weryfikacji projektu, m.in. sprawdzić, czy proces weryfikacji jest wstrzymany do czasu oczekiwania na Twoją odpowiedź.

Wyjątki od wymagań weryfikacji

Jeśli Twoja aplikacja będzie używana w scenariuszu opisanym w poniższych sekcjach, nie musisz przesyłać jej do sprawdzenia.

Do użytku osobistego

Przykładem może być sytuacja, w której jesteś jedynym użytkownikiem aplikacji lub gdy korzysta z niej tylko kilku użytkowników, z których każdy jest Ci znany. Ty i Twoja ograniczona liczba użytkowników możecie bez problemu przechodzić do ekranu niezweryfikowanej aplikacji i przyznawać do niej dostęp swoim kontom osobistym.

Projekty używane na poziomach programowania, testowania lub testowania

Aby zapewnić zgodność z zasadami Google OAuth 2.0, zalecamy utworzenie różnych projektów na potrzeby środowiska testowego i produkcyjnego. Zalecamy przesłanie aplikacji do weryfikacji tylko wtedy, gdy chcesz udostępnić ją każdemu użytkownikowi, który ma konto Google. Dlatego jeśli Twoja aplikacja jest na etapie programowania, testowania lub testowania, weryfikacja nie jest wymagana.

Jeśli aplikacja jest na etapie programowania lub testowania, możesz pozostawić Stan publikacji wartość domyślną, czyli Testowanie. To ustawienie oznacza, że Twoja aplikacja jest nadal w fazie rozwoju i jest dostępna tylko dla użytkowników, których dodasz do listy testowych. Musisz zarządzać listą kont Google, które uczestniczą w programowaniu lub testowaniu Twojej aplikacji.

Komunikat informujący o tym, że aplikacja, która jest w trakcie testów, nie została jeszcze zweryfikowana przez Google.
Rysunek 2. Ekran ostrzegawczy testera

Tylko dane należące do usługi

Jeśli Twoja aplikacja używa konta usługi tylko do uzyskiwania dostępu do własnych danych i nie ma dostępu do żadnych danych użytkownika (powiązanych z kontem Google), nie musisz przesyłać jej do weryfikacji.

Aby dowiedzieć się, czym są konta usługi, przeczytaj sekcję Konta usługi w dokumentacji Google Cloud. Instrukcje korzystania z konta usługi znajdziesz w artykule o używaniu OAuth 2.0 w aplikacjach między serwerami.

Jest przeznaczony tylko do użytku wewnętrznego

Oznacza to, że aplikacja jest używana tylko przez osoby w Twojej organizacji Google Workspace lub Cloud Identity. Projekt musi należeć do organizacji, a ekran zgody OAuth należy skonfigurować pod kątem użytkownika Wewnętrzny. W takim przypadku aplikacja może wymagać zatwierdzenia przez administratora organizacji. Więcej informacji znajdziesz w artykule Dodatkowe uwagi o Google Workspace.

Instalacja w całej domenie

Jeśli chcesz, aby Twoja aplikacja była kierowana tylko do użytkowników organizacji Google Workspace lub Cloud Identity i zawsze używała instalacji w całej domenie, aplikacja nie będzie wymagała weryfikacji aplikacji. Dzieje się tak, ponieważ instalacja w całej domenie umożliwia administratorowi domeny przyznawanie aplikacjom zewnętrznym i wewnętrznym dostępu do danych użytkowników. Administratorzy organizacji są jedynymi kontami, które mogą dodawać aplikację do listy dozwolonych i używać jej w swoich domenach.

Informacje o tym, jak ustawić aplikację jako instalację w całej domenie, znajdziesz w odpowiedziach na najczęstsze pytania Moja aplikacja ma użytkowników, którzy mają konta firmowe z innej domeny Google Workspace.