Verificação de marca

Todos os apps que acessam as APIs do Google precisam verificar se representam com precisão a identidade e a intenção, conforme especificado na Política de dados do usuário dos serviços de API do Google. Para proteger você e os usuários compartilhados do Google e do seu app, a tela de permissão e o aplicativo podem precisar de verificação do Google.

Se o app atender a todos os critérios a seguir, ele vai precisar de verificação:

  • No Console de APIs do Google, a configuração do app está definida para um tipo de usuário Externo e um status publicado de Publicado. Isso significa que o app está em produção e disponível para qualquer usuário com uma Conta do Google.
  • Você quer que o app mostre um logotipo ou nome de exibição na tela de permissão do OAuth.

Se você verificar as informações da marca do app, poderá aumentar a probabilidade de um usuário reconhecer sua marca e decidir conceder acesso ao app. As informações de marca verificadas também podem levar a menos revogações mais tarde, quando um usuário ou administrador do Google Workspace revisar apps e serviços de terceiros com acesso à conta. O processo automatizado de verificação de marca geralmente leva alguns minutos depois que você clica no botão Verificar marca. Em alguns casos, quando um resultado não pode ser determinado automaticamente, o app pode passar por um processo de análise manual que geralmente leva de 2 a 3 dias úteis.

Se as informações de marca do app permanecerem não verificadas, isso poderá resultar em menor confiança do usuário na solicitação de dados, o que pode levar a menos autorizações e mais revogações posteriormente.

A tela de permissão informa aos usuários quem está solicitando acesso aos dados e que tipo de dados o app precisa acessar em nome deles, conforme destacado na caixa 2 da figura 1.

Quando o app passa pelo processo de verificação de marca e recebe aprovação, é mais provável que a identidade do aplicativo e as políticas de dados do usuário sejam claramente compreendidas pela conta que está concedendo permissão. Essa compreensão clara pode aumentar a probabilidade de um titular da conta autorizar suas solicitações e manter o acesso ao revisar possíveis revogações na página da Conta do Google. O conteúdo configurado na página de marca do OAuth no Console do Cloud preenche os seguintes componentes:

  1. O nome e o logotipo do app (conforme mostrado na caixa 1 da figura 1)
  2. O e-mail de suporte ao usuário, que aparece depois que o nome do app é selecionado (caixa 2 da figura 1)
  3. Links para a Política de Privacidade e os Termos de Serviço (caixa 3 da figura 1)
Os rótulos numerados ilustram diferentes recursos de uma tela de permissão do OAuth de um projeto
            com informações de marca aprovadas.
Figura 1. Modelo da tela de permissão do OAuth.

Domínios autorizados

Como parte do processo de verificação de marca, o Google exige a verificação de todos os domínios que estão associados à tela de permissão e às credenciais do OAuth de um aplicativo. Pedimos que você verifique o componente de domínio disponível para registro em um sufixo público: o "domínio privado principal." Por exemplo, uma tela de permissão do OAuth configurada com uma página inicial do aplicativo de https://sub.example.com/product pede ao proprietário da conta para verificar a propriedade do domínio example.com.

A seção Domínios autorizados do editor da tela de permissão do OAuth precisa conter os domínios privados principais usados nos URIs da seção Domínio do app. Esses domínios incluem a página inicial do app, a Política de Privacidade e os Termos de Serviço. A seção Domínios autorizados também precisa incluir os URIs de redirecionamento e/ou as origens do JavaScript autorizadas nos tipos de cliente OAuth do "aplicativo da Web".

Verifique a propriedade dos domínios autorizados usando Google Search Console. Uma Conta do Google com permissões de proprietário para um domínio precisa estar associada ao projeto do Console de APIs que usa esse domínio autorizado. Para mais informações sobre as verificações de domínio no Google Search Console, consulte Verificar a propriedade do site.

Etapas para se preparar para a verificação

Todos os apps que usam as APIs do Google para solicitar acesso a dados precisam seguir estas etapas para concluir a verificação de marca:

  1. Confirme se o app não se enquadra em nenhum dos casos de uso na seção Exceções aos requisitos de verificação.
  2. Verifique se o app obedece aos requisitos de marca das APIs ou do produto associado. Por exemplo, consulte as diretrizes de marca para os escopos do Login do Google.
  3. Verifique a propriedade dos domínios autorizados do projeto no Google Search Console. Use uma Conta do Google associada ao projeto do Console de APIs como proprietário ou editor.
  4. Verifique se todas as informações de marca na tela de permissão do OAuth, como o nome do app, o e-mail de suporte , o URI da página inicial, o URI da Política de Privacidade etc., representam com precisão a identidade do app.

Requisitos da página inicial do aplicativo

Verifique se a página inicial atende aos seguintes requisitos:

  • A página inicial precisa ser acessível publicamente, e não apenas para usuários conectados ao site.
  • A relevância da página inicial para o app em revisão precisa ser clara.
  • Os links para a página do app na Google Play Store ou na página do Facebook não são considerados páginas iniciais válidas do aplicativo.

Requisitos do link da Política de Privacidade do aplicativo

Verifique se a Política de Privacidade do app atende aos seguintes requisitos:

  • A Política de Privacidade precisa estar visível para os usuários, hospedada no mesmo domínio da página inicial do aplicativo e vinculada à tela de permissão do OAuth do Console de APIs do Google. A página inicial precisa incluir uma descrição da funcionalidade do app, bem como links para a Política de Privacidade e os Termos de Serviço opcionais.
  • A Política de Privacidade precisa divulgar a maneira como o aplicativo acessa, usa, armazena ou compartilha dados do usuário do Google. Você precisa limitar o uso de dados do usuário do Google às práticas divulgadas na Política de Privacidade publicada.

Como enviar o app para verificação de marca

Um projeto do Console do Google Cloud organiza todos os seus recursos do Console do Cloud. Um projeto consiste em um conjunto de Contas do Google associadas que têm permissão para realizar operações de projeto, um conjunto de APIs ativadas e configurações de faturamento, autenticação e monitoramento dessas APIs. Por exemplo, um projeto pode conter um ou mais clientes OAuth, configurar APIs para uso por esses clientes e configurar uma tela de permissão do OAuth que é mostrada aos usuários antes que eles autorizem o acesso ao app.

Se algum dos seus clientes OAuth não estiver pronto para produção, sugerimos que você os exclua do projeto que está solicitando a verificação. É possível fazer isso na página "Clientes".

Para enviar para verificação, siga estas etapas:

  1. Verifique se o app obedece aos Termos de Serviço das APIs do Google e à Política de dados do usuário dos serviços de API do Google.
  2. Mantenha as funções de proprietário e editor das contas associadas do projeto atualizadas, bem como o e-mail de suporte ao usuário e as informações de contato do desenvolvedor da tela de consentimento do OAuth no Console do Cloud. Isso garante que os membros corretos da sua equipe sejam notificados sobre novos requisitos.
  3. Acesse a página de marca do OAuth do Console do Cloud.
  4. Clique no botão Seletor de projetos.
  5. Na caixa de diálogo Selecionar a partir de que aparece, selecione seu projeto. Se você não encontrar seu projeto, mas souber o ID do projeto, poderá criar um URL no navegador neste formato:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Substitua [PROJECT_ID] pelo ID do projeto que você quer usar.

  6. Na página Marca , forneça as informações de marca do app, incluindo nome, logotipo, informações de contato do desenvolvedor e links relevantes. As mudanças feitas são salvas como Marca de rascunho.
  7. Clique no botão Verificar marca para iniciar o processo de avaliação A análise automatizada geralmente é concluída em alguns minutos.
  8. Depois que a avaliação for concluída, revise o status. Se for bem-sucedido, o status mudará para Pronto para publicação. Se a verificação automatizada falhar, você poderá conferir os problemas detectados e corrigi-los ou solicitar uma análise manual.
  9. Clique no botão Publicar marca para ativar a nova marca ao vivo.
  10. Se o app também exigir verificação para escopos confidenciais ou restritos, acesse a Central de verificação do OAuth para acompanhar o Status de acesso aos dados e fornecer outras informações solicitadas, como um vídeo de demonstração. É necessário ter um status de marca publicado antes de solicitar a verificação para acesso a dados.

  11. Use o botão Adicionar ou remover escopos para declarar todos os escopos solicitados pelo app. Um conjunto inicial de escopos necessários para o Login do Google é preenchido previamente na Escopos não sensíveis seção. Os escopos adicionados são classificados como não sensíveis, sensitive, or restricted.
  12. Forneça até três links para qualquer documentação relevante de recursos relacionados no app.
  13. Forneça outras informações solicitadas sobre o app nas etapas seguintes.

Depois de publicar sua marca ou enviar uma solicitação de acesso a dados, a equipe de confiabilidade e segurança do Google poderá entrar em contato por e-mail com outras informações necessárias ou etapas que você precisa concluir. Verifique seus endereços de e-mail na seção Informações de contato do desenvolvedor e o e-mail de suporte da tela de permissão do OAuth para solicitações de mais informações. Você também pode conferir as páginas de marca ou da Central de verificação do projeto para confirmar o status atual da análise, incluindo se o processo de análise está pausado enquanto aguardamos sua resposta.

Exceções aos requisitos de verificação

Se o app for usado em algum dos cenários descritos nas seções a seguir, você não precisará enviá-lo para análise.

Uso pessoal

Um caso de uso é se você for o único usuário do app ou se ele for usado por apenas alguns usuários, todos conhecidos pessoalmente. Você e seu número limitado de usuários podem se sentir à vontade para avançar na tela de aplicativo não verificado e conceder acesso às suas contas pessoais.

Projetos usados em níveis de desenvolvimento, teste ou preparação

Para obedecer às políticas do OAuth 2.0 do Google, recomendamos que você tenha projetos diferentes para ambientes de teste e produção. Recomendamos que você só envie o app para verificação se quiser disponibilizá-lo para qualquer usuário com uma Conta do Google. Portanto, se o app estiver nas fases de desenvolvimento, teste ou preparação, a verificação não será necessária.

Se o app estiver nas fases de desenvolvimento ou teste, você poderá deixar o status de publicação na configuração padrão de Teste. Essa configuração significa que o app ainda está em desenvolvimento e só está disponível para os usuários que você adicionar à lista de usuários de teste. É necessário gerenciar a lista de Contas do Google envolvidas no desenvolvimento ou teste do app.

Mensagem de aviso informando que o Google não verificou um app em teste.
Figura 2. Tela de aviso do testador

Somente dados de serviço

Se o app usar uma conta de serviço para acessar apenas os próprios dados e não acessar dados do usuário (vinculados a uma Conta do Google), não será necessário enviar para verificação.

Para entender o que são contas de serviço, consulte Contas de serviço na documentação do Google Cloud. Para instruções sobre como usar uma conta de serviço, consulte Como usar o OAuth 2.0 para aplicativos de servidor para servidor aplicativos.

Somente para uso interno

Isso significa que o app é usado apenas por pessoas na sua organização do Google Workspace ou do Cloud Identity organization. O projeto precisa ser de propriedade da organização, e a tela de permissão do OAuth precisa ser configurada para um Interno tipo de usuário. Nesse caso, o app pode precisar da aprovação de um administrador da organização. Para mais informações, consulte Considerações adicionais para o Google Workspace.

Instalação em todo o domínio

Se você planeja que o app seja destinado apenas a usuários de uma organização do Google Workspace ou do Cloud Identity e sempre use a instalação em todo o domínio, o app não vai exigir a verificação de marca. No entanto, se o app usar escopos restritos ou confidenciais, a verificação de apps será necessária. Isso ocorre porque uma instalação em todo o domínio permite que um administrador de domínio conceda acesso a aplicativos internos e de terceiros aos dados dos usuários. Os administradores da organização são as únicas contas que podem adicionar o app a uma lista de permissões para uso nos domínios.

Saiba como tornar seu app uma instalação em todo o domínio nas Perguntas frequentes Meu aplicativo tem usuários com contas corporativas de outro domínio do Google Workspace.