Todas las apps que acceden a las APIs de Google deben verificar que representan con precisión su identidad y su intención, según lo especifica la Política de Datos del Usuario de los Servicios de API de Google. Para protegerte a ti y a los usuarios compartidos de Google y tu app, es posible que Google deba verificar la aplicación y la pantalla de consentimiento.
Tu app requiere verificación si cumple con todos los siguientes criterios:
- En la Consola de API de Google, la configuración de tu app se establece para un tipo de usuario Externo y un estado publicado de Publicado. Esto significa que tu app está en producción y está disponible para cualquier usuario con una Cuenta de Google.
- Quieres que tu app muestre un logotipo o un nombre visible en la pantalla de consentimiento de OAuth.
Si verificas la información de la marca de tu app, puedes aumentar la probabilidad de que un usuario reconozca tu marca y decida otorgar acceso a tu app. La información de la marca verificada también puede generar menos revocaciones más adelante cuando un usuario o administrador de Google Workspace revisa las apps y los servicios de terceros con acceso a la cuenta. Por lo general, el proceso de verificación de la marca automatizado demora unos minutos después de que haces clic en el botón Verificar marca. En algunos casos, en los que no se puede determinar un resultado automáticamente, es posible que tu app se someta a un proceso de revisión manual que suele demorar entre 2 y 3 días hábiles.
Si la información de la marca de tu app no se verifica, es posible que disminuya la confianza del usuario en tu solicitud de sus datos, lo que puede generar menos autorizaciones de usuario y más revocaciones más adelante.
Pantalla de consentimiento de OAuth
La pantalla de consentimiento les indica a los usuarios quién solicita acceso a sus datos y a qué tipo de datos necesita acceder tu app en su nombre, como se destaca en el cuadro 2 de la figura 1.
Cuando tu app pasa por el proceso de verificación de la marca y recibe la aprobación, es más probable que la cuenta que otorga el permiso comprenda claramente la identidad de tu aplicación y las políticas de datos del usuario. Esta comprensión clara puede aumentar la probabilidad de que un titular de la cuenta autorice tus solicitudes y mantenga el acceso cuando revise las posibles revocaciones en la página de su Cuenta de Google. El contenido que configuras en la página Marca de OAuth de la consola de Cloud propaga los siguientes componentes:
- El nombre y el logotipo de tu app (como se muestra en el cuadro 1 de la figura 1)
- El correo electrónico de asistencia al usuario, que aparece después de seleccionar el nombre de la app (cuadro 2 de la figura 1)
- Vínculos a tu política de privacidad y a las Condiciones del Servicio (cuadro 3 de la figura 1)
Dominios autorizados
Como parte del proceso de verificación de la marca, Google requiere la verificación de todos los dominios que están asociados con la pantalla de consentimiento de OAuth y las credenciales de una aplicación. Te pedimos que verifiques el componente de dominio disponible para el registro en un sufijo público: el "dominio privado de nivel superior." Por ejemplo, una pantalla de consentimiento de OAuth configurada con una página principal de la aplicación de https://sub.example.com/product le pide al titular de la cuenta que verifique la propiedad del dominio example.com.
La sección Dominios autorizados del editor de la pantalla de consentimiento de OAuth debe contener los dominios privados de nivel superior que se usan en los URIs de la sección Dominio de la app. Estos dominios incluyen la página principal de la app, la política de privacidad y las Condiciones del Servicio. La sección Dominios autorizados también debe incluir los URIs de redireccionamiento o los orígenes de JavaScript autorizados en tus tipos de cliente de OAuth de "Aplicación web".
Verifica la propiedad de tus dominios autorizados con Google Search Console. Se debe asociar una Cuenta de Google con permisos de propietario para un dominio al proyecto de la Consola de API que usa ese dominio autorizado. Para obtener más información sobre las verificaciones de dominio en Google Search Console, consulta Verifica la propiedad de tu sitio.
Pasos para prepararse para la verificación
Todas las apps que usan las APIs de Google para solicitar acceso a los datos deben seguir los siguientes pasos para completar la verificación de la marca:
- Confirma que tu app no se encuentre en ninguno de los casos de uso de la sección Excepciones a los requisitos de verificación.
- Asegúrate de que tu app cumpla con los requisitos de la marca de las APIs o el producto asociados. Por ejemplo, consulta los lineamientos de desarrollo de la marca para los permisos de Acceso con Google.
- Verifica la propiedad de los dominios autorizados de tu proyecto en Google Search Console. Usa una Cuenta de Google asociada con tu proyecto de la Consola de API como propietario o editor.
- Asegúrate de que toda la información de la marca en la pantalla de consentimiento de OAuth, como el nombre de la app, el correo electrónico de asistencia, el URI de la página principal, el URI de la política de privacidad, etcétera, represente con precisión la identidad de la app.
Requisitos de la página principal de la aplicación
Asegúrate de que tu página principal cumpla con los siguientes requisitos:
- Tu página principal debe ser de acceso público y no solo para los usuarios registrados en tu sitio.
- La relevancia de tu página principal para la app que está en proceso de revisión debe ser clara.
- Los vínculos a la ficha de tu app en Google Play Store o a su página de Facebook no se consideran páginas principales de la aplicación válidas.
Requisitos del vínculo a la política de privacidad de la aplicación
Asegúrate de que la política de privacidad de tu app cumpla con los siguientes requisitos:
- La política de privacidad debe estar visible para los usuarios, alojada en el mismo dominio que la página principal de tu aplicación y vinculada a la pantalla de consentimiento de OAuth de la Consola de API de Google. Ten en cuenta que la página principal debe incluir una descripción de la funcionalidad de la app, así como vínculos a la política de privacidad y a las Condiciones del Servicio opcionales.
- La política de privacidad debe divulgar la manera en que tu aplicación accede a los datos del usuario de Google, los usa, almacena o comparte. Debes limitar el uso de los datos del usuario de Google a las prácticas que divulga tu política de privacidad publicada.
Cómo enviar tu app para la verificación de la marca
Un proyecto de consola de Google Cloud organiza todos tus recursos de consola de Cloud. Un proyecto consta de un conjunto de Cuentas de Google asociadas que tienen permiso para realizar operaciones del proyecto, un conjunto de APIs habilitadas y la configuración de facturación, autenticación y supervisión para esas APIs. Por ejemplo, un proyecto puede contener uno o más clientes de OAuth, configurar APIs para que las usen esos clientes y configurar una pantalla de consentimiento de OAuth que se muestre a los usuarios antes de que autoricen el acceso a tu app.
Si alguno de tus clientes de OAuth no está listo para la producción, te sugerimos que lo borres de el proyecto que solicita la verificación. Puedes hacerlo en la página Clientes.
Para enviar la app para su verificación, sigue estos pasos:
- Asegúrate de que tu app cumpla con las Condiciones del Servicio de las APIs de Google, y la Política de Datos del Usuario de los Servicios de API de Google.
- Mantén actualizados los roles de propietario y editor de las cuentas asociadas de tu proyecto, así como el correo electrónico de asistencia al usuario y la información de contacto del desarrollador de la pantalla de consentimiento de OAuth, en tu Cloud Console. Esto garantiza que se notifiquen los requisitos nuevos a los miembros correctos de tu equipo.
- Ve a la página Marca de OAuth de Cloud Console .
- Haz clic en el botón Selector de proyectos.
-
En el diálogo Seleccionar de que aparece, selecciona tu proyecto. Si no encuentras tu proyecto, pero conoces su ID, puedes crear una URL en tu navegador con el siguiente formato:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
Reemplaza [PROJECT_ID] por el ID del proyecto que deseas usar.
- En la página Marca, proporciona la información de la marca de tu app, incluido el nombre de la app, el logotipo, la información de contacto del desarrollador y los vínculos pertinentes. Todos los cambios que realices se guardarán como Marca en borrador.
- Haz clic en el botón Verificar marca para iniciar el proceso de evaluación. Por lo general, la revisión automatizada se completa en unos minutos.
- Una vez que se complete la evaluación, revisa el estado. Si se ejecuta de forma correcta, el estado cambia a Lista para publicar. Si falla la verificación automatizada puedes ver los problemas detectados y corregirlos o solicitar una revisión manual.
- Haz clic en el botón Publicar marca para activar la nueva marca live.
-
Si tu app también requiere verificación para permisos sensibles o restringidos, navega al OAuth Centro de verificación para hacer un seguimiento de tu Estado de acceso a los datos y proporcionar cualquier información adicional solicitada, como un video de demostración. Ten en cuenta que debes tener un estado de marca publicado antes de poder solicitar la verificación para el acceso a los datos.
- Usa el botón Agregar o quitar permisos para declarar todos los permisos solicitados por tu app. Un conjunto inicial de permisos necesarios para Acceso con Google se completa previamente en la Permisos no sensibles sección. Los permisos agregados se clasifican como no sensibles, sensitive, or restricted.
- Proporciona hasta tres vínculos a cualquier documentación pertinente para las funciones relacionadas de tu app.
-
Proporciona cualquier información adicional que se solicite sobre tu app en los pasos posteriores.
Después de publicar tu marca o enviar una solicitud de acceso a los datos, es posible que el equipo de Confianza y Seguridad de Google te envíe un correo electrónico de seguimiento con cualquier información adicional que necesite o los pasos que debes completar. Consulta tus direcciones de correo electrónico en la sección Información de contacto del desarrollador y el correo electrónico de asistencia de la pantalla de consentimiento de OAuth para ver si hay solicitudes de información adicional. También puedes ver las páginas Marca o Centro de verificación de tu proyecto para confirmar el estado de revisión actual del proyecto, incluido si el proceso de revisión se detiene mientras esperamos tu respuesta.
Excepciones a los requisitos de verificación
Si tu app se usará en cualquiera de las situaciones que se describen en las siguientes secciones, no es necesario que la envíes para su revisión.
Uso personal
Un caso de uso es si eres el único usuario de tu app o si solo la usan unos pocos usuarios, todos los cuales conoces personalmente. Es posible que tú y tu cantidad limitada de usuarios se sientan cómodos con avanzar por la pantalla de app no verificada y otorgar acceso a tus cuentas personales a tu app.
Proyectos que se usan en niveles de desarrollo, prueba o etapa de pruebas
Para cumplir con las políticas de OAuth 2.0 de Google, te recomendamos que tengas diferentes proyectos para los entornos de prueba y producción. Te recomendamos que solo envíes tu app para su verificación si deseas que esté disponible para cualquier usuario con una Cuenta de Google. Por lo tanto, si tu app está en las fases de desarrollo, prueba o etapa de pruebas, no se requiere la verificación.
Si tu app está en las fases de desarrollo o prueba, puedes dejar el estado de publicación en la configuración predeterminada de Prueba. Este parámetro de configuración significa que tu app aún está en desarrollo y solo está disponible para los usuarios que agregues a la lista de usuarios de prueba. Debes administrar la lista de Cuentas de Google que participan en el desarrollo o la prueba de tu app.
Solo datos de propiedad del servicio
Si tu app usa una cuenta de servicio para acceder solo a sus propios datos y no accede a ningún dato del usuario (vinculado a una Cuenta de Google), no es necesario que la envíes para su verificación.
Para comprender qué son las cuentas de servicio, consulta Cuentas de servicio en la documentación de Google Cloud. Para obtener instrucciones sobre cómo usar una cuenta de servicio, consulta Usa OAuth 2.0 para aplicaciones de servidor a servidor aplicaciones.
Solo para uso interno
Esto significa que la app solo la usan personas de tu organización de Google Workspace o Cloud Identity organization. La organización debe ser propietaria del proyecto, y su pantalla de consentimiento de OAuth debe configurarse para un Interno tipo de usuario. En este caso, es posible que tu app necesite la aprobación de un administrador de la organización. Para obtener más información, consulta Consideraciones adicionales para Google Workspace.
- Obtén más información sobre las aplicaciones internas y públicas.
- Obtén información para marcar tu app como interna en la sección de preguntas frecuentes ¿Cómo puedo marcar mi app como solo para uso interno?
Instalación en todo el dominio
Si planeas que tu app solo se dirija a los usuarios de una organización de Google Workspace o Cloud Identity y siempre use la instalación en todo el dominio, tu app no requerirá la verificación de la marca. Sin embargo, si tu app utiliza permisos sensibles o restringidos, se requiere la verificación de la app. Esto se debe a que una instalación en todo el dominio permite que un administrador del dominio otorgue acceso a aplicaciones internas y de terceros a los datos de tus usuarios. Los administradores de la organización son las únicas cuentas que pueden agregar la app a una lista de entidades permitidas para usarla dentro de sus dominios.
Obtén información para convertir tu app en una instalación en todo el dominio en la sección de preguntas frecuentes Mi aplicación tiene usuarios con cuentas empresariales de otro dominio de Google Workspace.