Gửi để xác minh thương hiệu

Tất cả ứng dụng truy cập vào các API của Google đều phải xác minh rằng chúng thể hiện chính xác danh tính và ý định của mình theo quy định trong Chính sách dữ liệu người dùng của Dịch vụ API của Google. Để bảo vệ bạn và những người dùng chung của Google cũng như ứng dụng của bạn, ứng dụng và màn hình xin phép của bạn có thể cần được Google xác minh.

Ứng dụng của bạn cần được xác minh nếu đáp ứng tất cả các tiêu chí sau:

  • Trong Google API Console, cấu hình của ứng dụng được đặt cho loại người dùng là External. Điều này có nghĩa là mọi người dùng có Tài khoản Google đều có thể truy cập vào ứng dụng của bạn.
  • Bạn muốn ứng dụng của mình hiển thị biểu trưng hoặc tên hiển thị trên màn hình xin phép bằng OAuth.

Nếu bạn cung cấp thông tin thương hiệu đã xác minh, bạn có thể làm tăng khả năng người dùng nhận ra thương hiệu của bạn và quyết định cấp quyền truy cập vào ứng dụng. Thông tin thương hiệu đã xác minh cũng có thể giúp giảm trường hợp thu hồi sau này khi người dùng hoặc quản trị viên Google Workspace xem xét các ứng dụng và dịch vụ bên thứ ba có quyền truy cập vào tài khoản. Quy trình xác minh thương hiệu trên màn hình xin phép bằng OAuth thường mất 2-3 ngày làm việc sau khi bạn gửi biểu mẫu xác minh.

Nếu bạn không gửi đơn đăng ký xác minh thương hiệu, điều đó có thể làm giảm sự tin tưởng của người dùng đối với yêu cầu của bạn đối với dữ liệu của họ. Điều này có thể dẫn đến việc người dùng ít được uỷ quyền hơn và sau này bị thu hồi nhiều hơn.

Màn hình xin phép cho người dùng biết ai đang yêu cầu quyền truy cập vào dữ liệu của họ và loại dữ liệu mà ứng dụng của bạn cần thay mặt họ truy cập, như được nêu bật trong Hộp 2 trên hình 1.

Khi ứng dụng của bạn trải qua quy trình xác minh thương hiệu và được phê duyệt, tài khoản cấp quyền sẽ có thể hiểu rõ chính sách về danh tính và dữ liệu người dùng của ứng dụng. Việc hiểu rõ này có thể làm tăng khả năng chủ tài khoản cho phép yêu cầu của bạn và duy trì quyền truy cập khi họ xem xét các trường hợp thu hồi có thể xảy ra trên trang Tài khoản Google. Nội dung bạn định cấu hình trên OAuth Consent Screen page trong API Console sẽ điền các thành phần sau:

  1. Tên và biểu trưng của ứng dụng (như trong Hộp 1 của hình 1)
  2. Email hỗ trợ người dùng xuất hiện sau khi bạn chọn tên ứng dụng (Hộp 2 trên hình 1)
  3. Đường liên kết tới chính sách quyền riêng tư và điều khoản dịch vụ (Hộp 3 trong hình 1)
Nhãn được đánh số minh hoạ nhiều tính năng của màn hình xin phép bằng OAuth trong một dự án có thông tin thương hiệu đã được phê duyệt.
Hình 1. Bản minh hoạ màn hình xin phép bằng OAuth.

Miền được uỷ quyền

Trong quy trình xác minh thương hiệu, Google yêu cầu xác minh tất cả những miền liên kết với thông tin đăng nhập và màn hình xin phép bằng OAuth của ứng dụng. Chúng tôi yêu cầu bạn xác minh thành phần miền có thể đăng ký theo hậu tố công khai: "miền riêng tư hàng đầu". Ví dụ: màn hình xin phép bằng OAuth được định cấu hình bằng trang chủ của ứng dụng https://sub.example.com/product sẽ yêu cầu chủ tài khoản xác minh quyền sở hữu miền example.com.

Phần Miền được phép của trình chỉnh sửa màn hình xin phép bằng OAuth cần chứa các miền riêng tư cấp cao nhất được dùng trong các URI của phần Miền ứng dụng. Những miền này bao gồm trang chủ của ứng dụng, chính sách quyền riêng tư và điều khoản dịch vụ. Phần Miền được phép cũng cần bao gồm các URI chuyển hướng và/hoặc nguồn gốc JavaScript được uỷ quyền trong loại ứng dụng OAuth "Ứng dụng web" của bạn.

Xác minh quyền sở hữu đối với miền được uỷ quyền bằng Google Search Console. Tài khoản Google có quyền của chủ sở hữu đối với một miền phải được liên kết với API Console dự án sử dụng miền được uỷ quyền đó. Để biết thêm thông tin về việc xác minh miền trong Google Search Console, hãy xem bài viết Xác minh quyền sở hữu trang web của bạn.

Các bước chuẩn bị cho quy trình xác minh

Tất cả ứng dụng dùng API của Google để yêu cầu quyền truy cập vào dữ liệu đều phải thực hiện những bước sau để hoàn tất quy trình xác minh thương hiệu:

  1. Xác nhận rằng ứng dụng của bạn không thuộc bất cứ trường hợp sử dụng nào trong phần Ngoại lệ đối với yêu cầu xác minh.
  2. Đảm bảo rằng ứng dụng của bạn tuân thủ các yêu cầu về xây dựng thương hiệu của các API hoặc sản phẩm liên quan. Ví dụ: xem nguyên tắc sử dụng thương hiệu cho phạm vi Đăng nhập bằng Google.
  3. Xác minh quyền sở hữu đối với các miền được cấp phép của dự án trong Google Search Console. Sử dụng một Tài khoản Google liên kết với dự án API Console của bạn với vai trò là Chủ sở hữu hoặc Người chỉnh sửa.
  4. Đảm bảo tất cả thông tin thương hiệu trên màn hình xin phép bằng OAuth (chẳng hạn như tên ứng dụng, email hỗ trợ, URI trang chủ, URI chính sách quyền riêng tư, v.v.) thể hiện chính xác danh tính của ứng dụng.

Yêu cầu về trang chủ của đơn đăng ký

Đảm bảo rằng trang chủ của bạn đáp ứng các yêu cầu sau:

  • Trang chủ của bạn phải cho phép truy cập công khai chứ không chỉ người dùng đã đăng nhập vào trang web mới truy cập được.
  • Bạn phải thể hiện rõ mức độ liên quan của trang chủ với ứng dụng đang được xem xét.
  • Các đường liên kết đến trang thông tin về ứng dụng của bạn trên Cửa hàng Google Play hoặc trang Facebook của ứng dụng đó không được coi là trang chủ hợp lệ của ứng dụng.

Các yêu cầu về đường liên kết đến chính sách quyền riêng tư của ứng dụng

Hãy đảm bảo rằng chính sách quyền riêng tư của ứng dụng đáp ứng các yêu cầu sau:

  • Chính sách quyền riêng tư phải hiển thị cho người dùng, được lưu trữ trong cùng một miền với trang chủ của ứng dụng và được liên kết trên màn hình xin phép bằng OAuth của Google API Console. Xin lưu ý rằng trang chủ phải có phần mô tả chức năng của ứng dụng cũng như các đường liên kết đến chính sách quyền riêng tư và điều khoản dịch vụ không bắt buộc.
  • Chính sách quyền riêng tư phải công bố cách thức ứng dụng của bạn truy cập, sử dụng, lưu trữ hoặc chia sẻ dữ liệu người dùng của Google. Bạn chỉ được sử dụng dữ liệu người dùng của Google theo các phương thức mà chính sách quyền riêng tư bạn đã phát hành công bố.

Cách gửi ứng dụng để xác minh

Một Google API Console dự án sắp xếp toàn bộ API Console tài nguyên của bạn. Mỗi dự án bao gồm một nhóm Tài khoản Google được liên kết có quyền thực hiện hoạt động của dự án, một nhóm các API được bật, cũng như các chế độ cài đặt thanh toán, xác thực và giám sát cho những API đó. Ví dụ: một dự án có thể chứa một hoặc nhiều ứng dụng OAuth, định cấu hình API để các ứng dụng đó sử dụng và định cấu hình màn hình xin phép bằng OAuth để người dùng nhìn thấy trước khi họ cho phép truy cập vào ứng dụng của bạn.

Nếu có ứng dụng OAuth chưa sẵn sàng để phát hành chính thức, bạn nên xoá những ứng dụng đó khỏi dự án đang yêu cầu xác minh. Bạn có thể thực hiện việc này trong Google API Console.

Để gửi đi xác minh, hãy làm theo các bước sau:

  1. Đảm bảo ứng dụng của bạn tuân thủ Điều khoản dịch vụ API của GoogleChính sách dữ liệu người dùng của Dịch vụ API của Google.
  2. Luôn cập nhật vai trò chủ sở hữu và người chỉnh sửa của các tài khoản được liên kết trong dự án, cũng như email hỗ trợ người dùng và thông tin liên hệ của nhà phát triển trên màn hình xin phép bằng OAuth trong API Console. Điều này đảm bảo rằng các thành viên chính xác trong nhóm sẽ nhận được thông báo về mọi yêu cầu mới.
  3. Truy cập vào API Console OAuth Consent Screen page.
  4. Nhấp vào nút Project selector (Bộ chọn dự án).
  5. Trên hộp thoại Chọn từ xuất hiện, hãy chọn dự án của bạn. Nếu không tìm thấy dự án nhưng biết mã dự án, bạn có thể tạo một URL trong trình duyệt theo định dạng sau:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Thay thế [PROJECT_ID] bằng mã dự án mà bạn muốn sử dụng.

  6. Chọn nút Chỉnh sửa ứng dụng.
  7. Nhập thông tin cần thiết trên trang màn hình xin phép bằng OAuth, sau đó chọn nút Lưu và tiếp tục.
  8. Sử dụng nút Thêm hoặc xoá phạm vi để khai báo tất cả phạm vi mà ứng dụng của bạn yêu cầu. Một nhóm phạm vi ban đầu cần thiết cho tính năng Đăng nhập bằng Google đã được điền sẵn trong mục Phạm vi không nhạy cảm. Các phạm vi đã thêm được phân loại là không nhạy cảm, sensitive, or restricted.
  9. Cung cấp tối đa 3 đường liên kết đến tài liệu bất kỳ liên quan đến các tính năng liên quan trong ứng dụng của bạn.
  10. Hãy cung cấp mọi thông tin bổ sung theo yêu cầu về ứng dụng của bạn trong các bước tiếp theo.

  11. Nếu cấu hình ứng dụng bạn cung cấp yêu cầu xác minh, bạn có thể gửi ứng dụng để xác minh. Điền vào các trường bắt buộc rồi nhấp vào Gửi để bắt đầu quy trình xác minh.

Sau khi bạn gửi ứng dụng, Nhóm phụ trách vấn đề Tin cậy và An toàn của Google sẽ liên hệ với bạn qua email để cung cấp thêm thông tin họ cần hoặc các bước bạn phải hoàn tất. Hãy kiểm tra địa chỉ email của bạn trong phần Thông tin liên hệ của nhà phát triển và email hỗ trợ trên màn hình xin phép bằng OAuth để yêu cầu cung cấp thêm thông tin. Bạn cũng có thể xem trang màn hình xin phép bằng OAuth của dự án để xác nhận trạng thái xem xét hiện tại của dự án, bao gồm cả việc liệu quy trình xem xét có tạm dừng hay không trong khi chúng tôi đợi phản hồi của bạn.

Trường hợp ngoại lệ đối với các yêu cầu xác minh

Nếu ứng dụng của bạn sẽ được dùng trong bất kỳ trường hợp nào được mô tả trong các phần sau, thì bạn không cần gửi ứng dụng đó đi xem xét.

Sử dụng cá nhân

Một trường hợp sử dụng là khi bạn là người dùng duy nhất của ứng dụng hoặc khi chỉ có một số ít người dùng sử dụng ứng dụng của bạn, tất cả đều được biết đến với bạn. Bạn và một số ít người dùng có thể dễ dàng di chuyển qua màn hình ứng dụng chưa được xác minh và cấp quyền truy cập vào ứng dụng cho tài khoản cá nhân của bạn.

Các dự án được dùng ở cấp Phát triển, Kiểm thử hoặc Giai đoạn

Để tuân thủ Chính sách của Google OAuth 2.0, bạn nên có nhiều dự án cho môi trường thử nghiệm và sản xuất. Bạn chỉ nên gửi ứng dụng để xác minh nếu muốn cung cấp ứng dụng cho bất kỳ người dùng nào có Tài khoản Google. Do đó, nếu ứng dụng của bạn đang trong giai đoạn phát triển, kiểm thử hoặc thử nghiệm thì bạn không bắt buộc phải xác minh.

Nếu ứng dụng của bạn đang trong giai đoạn phát triển hoặc kiểm thử, thì bạn có thể giữ nguyên Trạng thái phát hành trong phần cài đặt mặc định của Thử nghiệm. Chế độ cài đặt này có nghĩa là ứng dụng của bạn vẫn đang trong quá trình phát triển và chỉ dành cho những người dùng mà bạn thêm vào danh sách người dùng thử nghiệm. Bạn phải quản lý danh sách Tài khoản Google liên quan đến quá trình phát triển hoặc thử nghiệm ứng dụng của bạn.

Thông báo cảnh báo rằng Google chưa xác minh ứng dụng đang trong quá trình thử nghiệm.
Hình 2. Màn hình cảnh báo dành cho người thử nghiệm

Chỉ dữ liệu do dịch vụ sở hữu

Nếu ứng dụng của bạn chỉ sử dụng tài khoản dịch vụ để truy cập vào dữ liệu của riêng ứng dụng đó và không truy cập vào dữ liệu người dùng nào (liên kết với Tài khoản Google), thì bạn không cần gửi yêu cầu xác minh.

Để tìm hiểu về tài khoản dịch vụ, hãy xem phần Tài khoản dịch vụ trong tài liệu của Google Cloud. Để biết hướng dẫn về cách sử dụng tài khoản dịch vụ, hãy xem phần Sử dụng OAuth 2.0 cho các ứng dụng từ máy chủ đến máy chủ.

Chỉ sử dụng nội bộ

Điều này có nghĩa là chỉ những người trong tổ chức Google Workspace hoặc Cloud Identity của bạn mới có thể sử dụng ứng dụng này. Dự án phải do tổ chức sở hữu và cần định cấu hình màn hình xin phép bằng OAuth của dự án cho loại người dùng Nội bộ. Trong trường hợp này, ứng dụng của bạn có thể cần được quản trị viên tổ chức phê duyệt. Để biết thêm thông tin, hãy xem bài viết Những điểm khác cần cân nhắc đối với Google Workspace.

Cài đặt trên toàn miền

Nếu bạn định để ứng dụng chỉ nhắm đến người dùng của tổ chức Google Workspace hoặc Cloud Identity và luôn sử dụng tính năng cài đặt trên toàn miền, thì ứng dụng của bạn sẽ không yêu cầu xác minh ứng dụng. Lý do là việc cài đặt trên toàn miền cho phép quản trị viên miền cấp cho các ứng dụng nội bộ và ứng dụng bên thứ ba quyền truy cập vào dữ liệu của người dùng. Quản trị viên tổ chức là những tài khoản duy nhất có thể thêm ứng dụng vào danh sách cho phép để sử dụng trong miền của họ.

Tìm hiểu cách giúp ứng dụng của bạn trở thành Cài đặt trên toàn miền trong phần Câu hỏi thường gặp Ứng dụng của tôi có người dùng có tài khoản doanh nghiệp thuộc một miền Google Workspace khác.