所有存取 Google API 的應用程式都必須驗證,確保能準確呈現身分和意圖,如《Google API 服務使用者資料政策》所述。為保護您和 Google 與應用程式的共用使用者,您的同意畫面和應用程式可能需要經過 Google 驗證。
如果應用程式符合下列所有條件,就必須通過驗證:
- 在 Google API 控制台中,應用程式的設定會設為「外部」使用者類型,以及「已發布」狀態。這表示您的應用程式已進入正式版階段,擁有 Google 帳戶的使用者都能存取。
- 您希望應用程式在 OAuth 同意畫面中顯示標誌或顯示名稱。
驗證應用程式的品牌資訊後,使用者就更有可能認出您的品牌,並決定授予應用程式存取權。此外,如果使用者或 Google Workspace 管理員審查可存取帳戶的第三方應用程式和服務,驗證過的品牌資訊也能減少後續撤銷存取權的情況。點選「驗證品牌」按鈕後,自動化品牌驗證程序通常會在幾分鐘內完成。在某些情況下,如果系統無法自動判斷結果,您的應用程式可能會進入人工審查程序,通常需要 2 至 3 個工作天。
如果應用程式的品牌資訊未經驗證,使用者可能會對您要求存取他們資料的行為失去信任,導致授權次數減少,日後也可能撤銷授權。
OAuth 同意畫面
同意畫面會告知使用者,是誰要求存取他們的資料,以及您的應用程式需要代表他們存取哪種資料,如圖 1 的方塊 2 所示。
應用程式通過品牌驗證程序並獲得核准後,授予權限的帳戶就更有可能清楚瞭解應用程式的身分和使用者資料政策。清楚瞭解這些資訊後,帳戶持有人在Google 帳戶頁面查看可能的撤銷要求時,就更有可能授權您的要求,並維持存取權。您在 Cloud Console 的 OAuth「品牌」頁面中設定的內容,會填入下列元件:
- 您的應用程式名稱和標誌 (如圖 1 的方塊 1 所示)
- 使用者支援電子郵件地址,選取應用程式名稱後會顯示這個地址 (圖 1 的方塊 2)
- 隱私權政策和服務條款的連結 (圖 1 的方塊 3)
授權網域
在品牌驗證程序中,Google 會要求驗證與應用程式 OAuth 同意畫面和憑證相關聯的所有網域。我們要求您驗證可註冊的網域元件 (公開尾碼):即「頂層私人網域」。舉例來說,如果 OAuth 同意畫面設定的應用程式首頁為 https://sub.example.com/product,系統會要求帳戶持有人驗證 example.com 網域的擁有權。
OAuth 同意畫面編輯器的「已授權網域」部分,必須包含「應用程式網域」部分 URI 中使用的頂層私人網域。這些網域包括應用程式首頁、隱私權政策和服務條款。「授權網域」部分也必須包含「網頁應用程式」OAuth 用戶端類型中授權的重新導向 URI 和/或 JavaScript 來源。
使用 Google Search Console 驗證授權網域的擁有權。使用授權網域的 API 控制台專案,必須與具有網域擁有者權限的 Google 帳戶建立關聯。如要進一步瞭解 Google Search Console 中的網域驗證,請參閱「驗證網站擁有權」。
驗證前準備步驟
凡是使用 Google API 要求存取資料的應用程式,都必須完成下列步驟,進行品牌驗證:
- 確認應用程式不屬於「驗證規定例外情形」一節中的任何用途。
- 請確保應用程式符合相關聯 API 或產品的品牌宣傳規定。舉例來說,請參閱 Google 登入範圍的品牌宣傳指南。
- 在 Google Search Console 中,驗證專案授權網域的擁有權。使用與 API 控制台專案相關聯的 Google 帳戶,以「擁有者」或「編輯者」身分登入。
- 請確認 OAuth 同意畫面上的所有品牌資訊 (例如應用程式名稱、支援電子郵件地址、首頁 URI、隱私權政策 URI 等) 均如實呈現應用程式的身分。
應用程式首頁規定
請確認首頁符合下列規定:
- 首頁必須開放所有人存取,不能僅限網站的登入使用者存取。
- 首頁與受審應用程式的關聯性必須清楚明瞭。
- Google Play 商店的應用程式資訊頁面或 Facebook 粉絲專頁連結,不視為有效的應用程式首頁。
應用程式隱私權政策連結規定
請確認應用程式的隱私權政策符合下列規定:
- 隱私權政策必須向使用者顯示,且與應用程式首頁位於相同網域,並連結至 Google API 控制台的 OAuth 同意畫面。請注意,首頁必須包含應用程式功能說明,以及隱私權政策和選用服務條款的連結。
- 隱私權政策必須揭露應用程式存取、使用、儲存或分享 Google 使用者資料的方式。 您使用 Google 使用者資料時,必須遵守已發布隱私權政策揭露的做法。
如何將應用程式送交品牌驗證
Google Cloud 控制台專案會統整所有 Cloud 控制台資源。專案是由一組相關聯的 Google 帳戶 (有權執行專案作業)、一組已啟用的 API,以及這些 API 的計費、驗證和監控設定組成。舉例來說,專案可以包含一或多個 OAuth 用戶端、設定這些用戶端使用的 API,以及設定OAuth 同意畫面,在使用者授權存取應用程式前顯示。
如果任何 OAuth 用戶端尚未準備好用於正式環境,建議您從要求驗證的專案中刪除這些用戶端。您可以在「用戶端」頁面執行這項操作。
如要提交驗證,請按照下列步驟操作:
- 請確保應用程式符合《Google API 服務條款》和《Google API 服務使用者資料政策》的規定。
- 請在 Cloud Console 中,將專案相關聯帳戶的擁有者和編輯者角色,以及 OAuth 同意畫面使用者支援電子郵件和開發人員聯絡資訊,維持在最新狀態。確保團隊成員收到任何新規定通知。
- 前往 Cloud 控制台的 OAuth 品牌頁面。
- 按一下「專案選取器」按鈕。
-
在隨即顯示的「Select from」對話方塊中,選取所需專案。如果找不到專案,但知道專案 ID,可以在瀏覽器中依下列格式建構網址:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
將 [PROJECT_ID] 替換為要使用的專案 ID。
- 在「品牌」頁面中,提供應用程式的品牌資訊,包括應用程式名稱、標誌、開發人員聯絡資訊和相關連結。你所做的任何變更都會儲存為「品牌宣傳草稿」。
- 按一下「驗證品牌」按鈕,即可開始評估程序。自動審查通常會在幾分鐘內完成。
- 評估完成後,請查看狀態。如果成功,狀態會變更為「已完成發布準備」。如果自動驗證失敗,你可以查看偵測到的問題,並修正問題或要求人工審查。
- 按一下「發布品牌宣傳」按鈕,發布新品牌宣傳。
-
如果應用程式也需要驗證機密或受限制的範圍,請前往 OAuth 驗證中心追蹤「資料存取權狀態」,並提供任何額外要求提供的資訊,例如示範影片。請注意,您必須先發布品牌,才能要求驗證資料存取權。
- 使用「新增或移除範圍」按鈕,宣告應用程式要求的所有範圍。系統會在「非敏感範圍」部分預先填入 Google 登入所需的初始範圍。新增的範圍會分類為非敏感範圍 sensitive, or restricted。
- 針對應用程式中的相關功能,您最多可以提供三個相關說明文件的連結。
-
在後續步驟中,提供系統要求的應用程式相關額外資訊。
發布品牌或提交資料存取要求後,Google 信任與安全團隊可能會透過電子郵件與您聯絡,要求您提供其他資訊或完成必要步驟。請檢查「開發人員聯絡資訊」部分中的電子郵件地址,以及 OAuth 同意畫面中的支援電子郵件地址,查看是否有要求提供額外資訊的通知。您也可以查看專案的「品牌」或「驗證中心」頁面,確認專案目前的審查狀態,包括我們是否正在等待您的回覆,因此暫停審查程序。
驗證規定例外狀況
如果應用程式將用於下列章節所述的任何情境,則不必送交審查。
個人使用
舉例來說,如果您的應用程式只有您自己使用,或是只有少數使用者,且您認識這些人,您和少數使用者可能可以接受略過「未經驗證的應用程式」畫面,並授予個人帳戶應用程式存取權。
用於開發、測試或暫存層級的專案
為遵守 Google OAuth 2.0 政策,建議您為測試和實際工作環境建立不同的專案。建議您只在想讓擁有 Google 帳戶的所有使用者都能存取應用程式時,才提交應用程式以供驗證。因此,如果應用程式處於開發、測試或預備環境階段,就不需要驗證。
如果應用程式處於開發或測試階段,您可以將「發布狀態」保留在預設的「測試中」設定。這項設定表示應用程式仍在開發階段,只有新增至測試使用者清單的使用者才能存取。您必須管理參與應用程式開發或測試的 Google 帳戶清單。
僅限服務擁有的資料
如果應用程式只使用服務帳戶存取自己的資料,且不會存取任何使用者資料 (連結至 Google 帳戶),則無須申請驗證。
如要瞭解服務帳戶,請參閱 Google Cloud 說明文件中的「服務帳戶」。如需如何使用服務帳戶的操作說明,請參閱「針對伺服器對伺服器應用程式使用 OAuth 2.0」一文。
僅限內部使用
也就是說,只有 Google Workspace 或 Cloud Identity 機構的使用者能存取該應用程式。專案必須由機構擁有,且 OAuth 同意畫面需設為內部使用者類型。在這種情況下,您的應用程式可能需要經過機構管理員核准。詳情請參閱「Google Workspace 的其他注意事項」。
- 進一步瞭解公開和內部應用程式。
- 如要瞭解如何將應用程式標示為內部應用程式,請參閱常見問題解答:如何將應用程式標示為僅限內部使用?
全網域安裝
如果應用程式只會鎖定 Google Workspace 或 Cloud Identity 機構的使用者,且一律採用網域範圍安裝,則應用程式不需要進行品牌驗證。不過,如果應用程式使用 受限制或敏感範圍,則必須 通過應用程式驗證。這是因為全網域安裝可讓網域管理員授權第三方和內部應用程式存取使用者資料。只有機構管理員帳戶可以將應用程式加入允許清單,供網域內使用。
請參閱常見問題,瞭解如何將應用程式設為全網域安裝。 我的應用程式有來自其他 Google Workspace 網域的企業帳戶使用者。