Google API'lerine erişen tüm uygulamalar, Google'ın API Hizmetleri Kullanıcı Verileri Politikası'nda belirtildiği şekilde kimliklerini ve amaçlarını doğru şekilde temsil ettiklerini doğrulamalıdır. Sizi, Google'ı ve uygulamanızı kullanan kullanıcıları korumak için kullanıcı rızası ekranınızın ve uygulamanızın Google tarafından doğrulanması gerekebilir.
Uygulamanız aşağıdaki ölçütlerin tümünü karşılıyorsa doğrulama gerektirir:
- Google API Console'da uygulamanızın yapılandırması Harici kullanıcı türü ve Yayınlandı yayınlanma durumu için ayarlanmıştır. Bu, uygulamanızın üretimde olduğu ve Google Hesabı olan tüm kullanıcılar tarafından kullanılabildiği anlamına gelir.
- Uygulamanızın OAuth kullanıcı rızası ekranında bir logo veya görünen ad göstermesini istiyorsanız.
Uygulamanızın marka bilgilerini doğruladığınızda, kullanıcının markanızı tanıması ve uygulamanıza erişim izni vermesi olasılığını artırabilirsiniz. Doğrulanmış marka bilgileri, daha sonra kullanıcı veya Google Workspace yöneticisi hesaba erişimi olan üçüncü taraf uygulamalarını ve hizmetlerini incelerken daha az sayıda iptal işlemine de yol açabilir. Otomatik marka doğrulama işlemi, Markayı Doğrula düğmesini tıkladıktan sonra genellikle birkaç dakika sürer. Sonucun otomatik olarak belirlenemediği bazı durumlarda uygulamanız, genellikle 2-3 iş günü süren manuel inceleme sürecine tabi tutulabilir.
Uygulamanızın markalama bilgileri doğrulanmazsa kullanıcıların veri isteklerinize duyduğu güven azalabilir. Bu durum, daha az kullanıcı yetkilendirmesine ve daha fazla iptale yol açabilir.
OAuth izin ekranı
Kullanıcı rızası ekranında, kullanıcılara verilerine kimin erişim istediği ve uygulamanızın kullanıcı adına hangi tür verilere erişmesi gerektiği bildirilir. Bu bilgiler, Şekil 1'deki 2. kutuda vurgulanmıştır.
Uygulamanız marka doğrulama sürecinden geçip onay aldığında, izin veren hesap tarafından uygulamanızın kimliği ve kullanıcı verileri politikaları daha net anlaşılır. Bu net anlayış, hesap sahibinin isteklerinizi yetkilendirme ve Google Hesabı sayfasında olası iptalleri incelerken erişimi sürdürme olasılığını artırabilir. Cloud Console'daki OAuth Markalama sayfasında yapılandırdığınız içerik aşağıdaki bileşenleri doldurur:
- Uygulama adınız ve logonuz (Şekil 1'deki 1. kutuda gösterildiği gibi)
- Uygulama adınız seçildikten sonra görünen kullanıcı desteği e-posta adresiniz (Şekil 1'deki 2. kutu)
- Gizlilik politikanızın ve hizmet şartlarınızın bağlantıları (Şekil 1'deki kutu 3)
Yetkilendirilen alanlar
Google, marka doğrulama sürecinin bir parçası olarak bir uygulamanın OAuth kullanıcı rızası ekranı ve kimlik bilgileriyle ilişkili tüm alan adlarının doğrulanmasını zorunlu kılar. Genel sonekte kayda açık olan alan bileşenini doğrulamanızı isteriz: "en üstteki özel alan". Örneğin, https://sub.example.com/product uygulama ana sayfasıyla yapılandırılmış bir OAuth kullanıcı rızası ekranı, hesap sahibinden example.com alan adının sahipliğini doğrulaması ister.
OAuth kullanıcı rızası ekranı düzenleyicisinin Yetkili alanlar bölümü, Uygulama alanı bölümünün URI'lerinde kullanılan üst düzey özel alanları içermelidir. Bu alanlar arasında uygulama ana sayfası, gizlilik politikası ve hizmet şartları yer alır. Yetkilendirilmiş alanlar bölümü, "Web uygulaması" OAuth istemci türlerinizde yetkilendirilmiş yönlendirme URI'larını ve/veya JavaScript kaynaklarını da içermelidir.
Google Search Console'u kullanarak yetkilendirilmiş alanlarınızın sahipliğini doğrulayın. Yetkili alan adını kullanan API Konsolu projesiyle, bir alan adı için sahip izinlerine sahip bir Google Hesabı ilişkilendirilmelidir. Google Search Console'da alan doğrulama hakkında daha fazla bilgi için Site sahipliğinizi doğrulama başlıklı makaleyi inceleyin.
Doğrulamaya hazırlanma adımları
Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamaların marka doğrulamasını tamamlamak için aşağıdaki adımları uygulaması gerekir:
- Uygulamanızın, Doğrulama şartlarıyla ilgili istisnalar bölümündeki kullanım alanlarından herhangi birine girmediğini onaylayın.
- Uygulamanızın, ilişkili API'lerin veya ürünün markalama koşullarına uygun olduğundan emin olun. Örneğin, Google ile oturum açma kapsamlarına ilişkin markalama kurallarına bakın.
- Projenizin yetkili alan adlarının sahipliğini Google Search Console'da doğrulayın. API Console projenizle ilişkili bir Google Hesabı'nı Sahip veya Düzenleyen olarak kullanın.
- OAuth kullanıcı rızası ekranındaki tüm marka bilgileri (ör. uygulama adı, destek e-postası, ana sayfa URI'si, gizlilik politikası URI'si vb.) uygulamanın kimliğini doğru şekilde temsil etmelidir.
Uygulama ana sayfası koşulları
Ana sayfanızın aşağıdaki koşulları karşıladığından emin olun:
- Ana sayfanız yalnızca sitenize giriş yapmış kullanıcılar tarafından değil, herkes tarafından erişilebilir olmalıdır.
- Ana sayfanızın, incelenen uygulamayla alaka düzeyi net olmalıdır.
- Uygulamanızın Google Play Store'daki girişine veya Facebook sayfasına yönlendiren bağlantılar geçerli uygulama ana sayfaları olarak kabul edilmez.
Uygulamanın gizlilik politikası bağlantısı şartları
Uygulamanızın gizlilik politikasının aşağıdaki koşulları karşıladığından emin olun:
- Gizlilik politikası, kullanıcılar tarafından görülebilir olmalı, uygulamanızın ana sayfasıyla aynı alan adında barındırılmalı ve Google API Konsolu'nun OAuth kullanıcı rızası ekranında bağlantısı verilmelidir. Ana sayfada uygulamanın işlevselliğinin açıklaması, gizlilik politikası bağlantıları ve isteğe bağlı hizmet şartları bağlantıları bulunmalıdır.
- Gizlilik politikası, uygulamanızın Google kullanıcı verilerine erişme, bunları kullanma, depolama veya paylaşma şeklini açıklamalıdır. Google kullanıcı verilerini kullanımınızı, yayınladığınız gizlilik politikanızda açıklanan uygulamalarla sınırlamanız gerekir.
Uygulamanızı marka doğrulaması için gönderme
Google Cloud Console projesi, tüm Cloud Console kaynaklarınızı düzenler. Bir proje, proje işlemlerini gerçekleştirme iznine sahip bir dizi ilişkili Google Hesabı, etkinleştirilmiş bir dizi API ve bu API'lerin faturalandırma, kimlik doğrulama ve izleme ayarlarından oluşur. Örneğin, bir proje bir veya daha fazla OAuth istemcisi içerebilir, bu istemciler tarafından kullanılacak API'leri yapılandırabilir ve kullanıcılar uygulamanıza erişimi yetkilendirmeden önce gösterilen bir OAuth kullanıcı rızası ekranı yapılandırabilir.
OAuth istemcilerinizden herhangi biri üretime hazır değilse bunları doğrulama isteğinde bulunan projeden silmenizi öneririz. Bu işlemi Müşteriler sayfasında yapabilirsiniz.
Doğrulama için göndermek üzere aşağıdaki adımları uygulayın:
- Uygulamanızın Google API'leri Hizmet Şartları'na ve Google API Hizmetleri Kullanıcı Verileri Politikası'na uygun olduğundan emin olun.
- Cloud Console'da projenizin ilişkili hesaplarının sahibi ve düzenleyici rollerini, OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini güncel tutun. Bu sayede, ekibinizin doğru üyeleri yeni şartlardan haberdar edilir.
- Cloud Console OAuth Markalama sayfasına gidin.
- Proje seçici düğmesini tıklayın.
-
Açılan Şundan seçin iletişim kutusunda projenizi seçin. Projenizi bulamıyorsanız ancak proje kimliğinizi biliyorsanız tarayıcınızda aşağıdaki biçimde bir URL oluşturabilirsiniz:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
[PROJECT_ID] kısmını, kullanmak istediğiniz proje kimliğiyle değiştirin.
- Markalama sayfasında, uygulama adı, logo, geliştirici iletişim bilgileri ve ilgili bağlantılar dahil olmak üzere uygulamanızın marka bilgilerini sağlayın. Yaptığınız tüm değişiklikler Markalama Taslağı olarak kaydedilir.
- Değerlendirme sürecini başlatmak için Markayı Doğrula düğmesini tıklayın. Otomatik inceleme genellikle birkaç dakika içinde tamamlanır.
- Değerlendirme tamamlandıktan sonra durumu inceleyin. İşlem başarılı olursa durum Yayınlanmaya hazır olarak değişir. Otomatik doğrulama başarısız olursa tespit edilen sorunları görebilir, bunları düzeltebilir veya manuel inceleme isteğinde bulunabilirsiniz.
- Yeni markalamayı yayınlamak için Markalamayı yayınla düğmesini tıklayın.
-
Uygulamanızın hassas veya kısıtlı kapsamlar için de doğrulama gerektirmesi durumunda Veri erişimi durumunuzu takip etmek ve istenen ek bilgileri (ör. tanıtım videosu) sağlamak için OAuth Doğrulama Merkezi'ne gidin. Veri erişimi için doğrulama isteğinde bulunabilmeniz için yayınlanmış bir markalama durumunuzun olması gerektiğini unutmayın.
- Uygulamanızın istediği tüm kapsamları tanımlamak için Kapsam ekleme veya kaldırma düğmesini kullanın. Google ile Oturum Açma için gerekli olan ilk kapsam grubu, Hassas olmayan kapsamlar bölümünde önceden doldurulur. Eklenen kapsamlar hassas olmayan olarak sınıflandırılır. sensitive, or restricted.
- Uygulamanızdaki ilgili özelliklerle ilgili tüm belgeler için en fazla üç bağlantı sağlayın.
-
Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.
Markanızı yayınladıktan veya veri erişimi isteği gönderdikten sonra Google'ın Güven ve Güvenlik ekibi, ihtiyaç duyduğu ek bilgiler veya tamamlamanız gereken adımlar için e-posta yoluyla sizinle iletişime geçebilir. Ek bilgi istekleri için Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth kullanıcı rızası ekranınızın destek e-posta adresini kontrol edin. Ayrıca, projenizin mevcut inceleme durumunu (ör. yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı) onaylamak için projenizin Markalama veya Doğrulama Merkezi sayfalarını da görüntüleyebilirsiniz.
Doğrulama koşullarıyla ilgili istisnalar
Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa incelemeye göndermeniz gerekmez.
Kişisel kullanım
Uygulamanızın tek kullanıcısıysanız veya uygulamanız yalnızca birkaç kullanıcı tarafından kullanılıyorsa (bu kullanıcıların hepsini şahsen tanıyorsanız) bu yöntem kullanılabilir. Siz ve sınırlı sayıdaki kullanıcılarınız, doğrulanmamış uygulama ekranında ilerleyip kişisel hesaplarınızın uygulamanıza erişmesine izin vermeyi tercih edebilirsiniz.
Geliştirme, test veya hazırlık katmanlarında kullanılan projeler
Google OAuth 2.0 Politikaları'na uymak için test ve üretim ortamları için farklı projeler kullanmanızı öneririz. Uygulamanızı yalnızca Google Hesabı olan tüm kullanıcıların kullanımına sunmak istiyorsanız doğrulama için göndermenizi öneririz. Bu nedenle, uygulamanız geliştirme, test veya hazırlık aşamasındaysa doğrulama gerekmez.
Uygulamanız geliştirme veya test aşamasındaysa Yayınlanma Durumu'nu Test varsayılan ayarında bırakabilirsiniz. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca test kullanıcıları listesine eklediğiniz kullanıcılar tarafından kullanılabildiği anlamına gelir. Uygulamanızın geliştirilmesine veya test edilmesine dahil olan Google Hesapları listesini yönetmeniz gerekir.
Yalnızca hizmete ait veriler
Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve herhangi bir kullanıcı verisine (Google Hesabı'na bağlı) erişmiyorsa doğrulama için göndermeniz gerekmez.
Hizmet hesaplarının ne olduğunu anlamak için Google Cloud belgelerindeki Hizmet hesapları bölümünü inceleyin. Hizmet hesabı kullanmayla ilgili talimatlar için Sunucudan sunucuya uygulamalar için OAuth 2.0'ı kullanma başlıklı makaleyi inceleyin.
Yalnızca dahili kullanım
Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kullanıcılar tarafından kullanıldığı anlamına gelir. Proje kuruluşa ait olmalı ve OAuth kullanıcı rızası ekranı Dahili kullanıcı türü için yapılandırılmalıdır. Bu durumda, uygulamanızın bir kuruluş yöneticisi tarafından onaylanması gerekebilir. Daha fazla bilgi için Google Workspace ile ilgili ek dikkat edilmesi gerekenler başlıklı makaleyi inceleyin.
- Herkese açık ve dahili uygulamalar hakkında daha fazla bilgi edinin.
- Uygulamanızı dahili olarak nasıl işaretleyeceğinizi SSS bölümündeki Uygulamamı nasıl yalnızca dahili olarak işaretleyebilirim? başlıklı makaleden öğrenebilirsiniz.
Alan genelinde yükleme
Uygulamanızın yalnızca Google Workspace veya Cloud Identity kuruluşlarının kullanıcılarını hedeflemesini ve her zaman alan genelinde kurulum kullanmasını planlıyorsanız uygulamanızın marka doğrulaması yapması gerekmez. Ancak uygulamanız kısıtlı veya hassas kapsamlar kullanıyorsa uygulama doğrulaması gerekir. Bunun nedeni, alan genelinde yükleme yapıldığında alan yöneticisinin üçüncü taraf ve dahili uygulamalara kullanıcılarınızın verilerine erişim izni vermesidir. Uygulamayı alanlarında kullanmak üzere izin verilenler listesine yalnızca kuruluş yöneticileri ekleyebilir.
Uygulamanızı alan genelinde yükleme haline getirme hakkında bilgi edinmek için SSS bölümüne bakın. Uygulamamda başka bir Google Workspace alanından kurumsal hesapları olan kullanıcılar var.