Отправить на проверку бренда

Все приложения, имеющие доступ к Google API, должны подтвердить, что они точно представляют свою личность и намерения, как указано в Политике данных пользователей API-сервисов Google . Чтобы защитить вас и общих пользователей Google и вашего приложения, вашему экрану согласия и приложению может потребоваться проверка Google.

Ваше приложение требует проверки, если оно соответствует всем следующим критериям:

  • В Google API Consoleконфигурация вашего приложения настроена для типа пользователя External . Это означает, что ваше приложение доступно любому пользователю с учетной записью Google.
  • Вы хотите, чтобы ваше приложение отображало логотип или отображаемое имя на экране согласия OAuth .

Если вы включите проверенную информацию о бренде, вы повысите вероятность того, что пользователь узнает ваш бренд и решит предоставить доступ к вашему приложению. Подтвержденная информация о бренде также может привести к меньшему количеству отзывов позже, когда пользователь или администратор Google Workspace проверяет сторонние приложения и службы, имеющие доступ к аккаунту . Процесс проверки бренда экрана согласия OAuth обычно занимает 2–3 рабочих дня после отправки на проверку.

Если вы не отправите заявку на проверку бренда, это может привести к снижению доверия пользователей к вашему запросу на их данные, что впоследствии может привести к меньшему количеству авторизаций пользователей и большему количеству отзывов.

Экран согласия сообщает пользователям, кто запрашивает доступ к их данным и к каким данным ваше приложение должно получить доступ от их имени, как показано в поле 2 на рисунке 1.

Когда ваше приложение проходит процесс проверки бренда и получает одобрение, учетная запись, дающая разрешение, с большей вероятностью будет четко понимать политики идентификации и пользовательских данных вашего приложения. Это четкое понимание может увеличить вероятность того, что владелец учетной записи авторизует ваши запросы и сохранит доступ, когда он просматривает возможные аннулирования на странице своей учетной записи Google. Содержимое, которое вы настраиваете для OAuth Consent Screen page в API Console , содержит следующие компоненты:

  1. Название и логотип вашего приложения (как показано в поле 1 на рисунке 1)
  2. Ваш адрес электронной почты службы поддержки пользователей, который появляется после выбора имени вашего приложения (поле 2 на рисунке 1).
  3. Ссылки на вашу политику конфиденциальности и условия обслуживания (вставка 3 на рис. 1)
Пронумерованные метки иллюстрируют различные функции экрана согласия OAuth из проекта с утвержденной информацией о бренде.
Рисунок 1. Макет экрана согласия OAuth.

Авторизованные домены

В рамках процесса проверки бренда Google требует проверки всех доменов, связанных с экраном согласия приложения OAuth и учетными данными. Мы просим вас проверить компонент домена, доступный для регистрации с общедоступным суффиксом: « верхний частный домен ». Например, экран согласия OAuth, настроенный с домашней страницей приложения https://sub.example.com/product , просит владельца учетной записи подтвердить право собственности на домен example.com .

Раздел « Авторизованные домены » редактора экрана согласия OAuth должен содержать основные частные домены, которые используются в URI раздела домена приложения . Эти домены включают домашнюю страницу приложения, политику конфиденциальности и условия обслуживания. Раздел « Авторизованные домены » также должен включать URI перенаправления и/или источники JavaScript, авторизованные в ваших типах клиентов OAuth «Веб-приложение».

Подтвердите право собственности на авторизованные домены с помощью Google Search Console . Аккаунт Google с правами владельца домена должен быть связан с проектом API Console , который использует этот авторизованный домен. Дополнительные сведения о подтверждении домена в Google Search Console см. в разделе Подтверждение права собственности на сайт .

Этапы подготовки к проверке

Все приложения, которые используют API Google для запроса доступа к данным, должны выполнить следующие шаги, чтобы завершить проверку бренда:

  1. Убедитесь, что ваше приложение не подпадает ни под один из вариантов использования в разделе « Исключения из требований проверки ».
  2. Убедитесь, что ваше приложение соответствует требованиям к брендингу связанных API или продукта. Например, ознакомьтесь с рекомендациями по фирменному стилю для областей входа в Google.
  3. Подтвердите право собственности на авторизованные домены вашего проекта в Google Search Console . Используйте учетную запись Google, связанную с вашим проектом API Console , в качестве владельца или редактора.
  4. Убедитесь, что вся информация о бренде на экране согласия OAuth, такая как имя приложения, адрес электронной почты службы поддержки, URI домашней страницы, URI политики конфиденциальности и т. д., точно отражает личность приложения.

Требования к домашней странице приложения

Убедитесь, что ваша домашняя страница соответствует следующим требованиям:

  • Ваша домашняя страница должна быть общедоступной, а не только для зарегистрированных пользователей вашего сайта.
  • Актуальность вашей домашней страницы для рассматриваемого приложения должна быть ясной.
  • Ссылки на список вашего приложения в Google Play Store или на его страницу в Facebook не считаются действительными домашними страницами приложения.

Требования к ссылке политики конфиденциальности приложения

Убедитесь, что политика конфиденциальности вашего приложения соответствует следующим требованиям:

  • Политика конфиденциальности должна быть видна пользователям, размещена в том же домене, что и домашняя страница вашего приложения, и на нее должна быть ссылка на экране согласия OAuth Google API Console. Обратите внимание, что главная страница должна содержать описание функций приложения, а также ссылки на политику конфиденциальности и дополнительные условия обслуживания.
  • Политика конфиденциальности должна раскрывать, каким образом ваше приложение получает доступ, использует, хранит или передает пользовательские данные Google. Вы должны ограничить использование пользовательских данных Google методами, описанными в опубликованной вами политике конфиденциальности.

Как отправить приложение на проверку

Проект Google API Console организует все ваши ресурсы API Console . Проект состоит из набора связанных учетных записей Google, у которых есть разрешение на выполнение операций проекта, набора включенных API и настроек выставления счетов, проверки подлинности и мониторинга для этих API. Например, проект может содержать одного или нескольких клиентов OAuth, настраивать API для использования этими клиентами и настраивать экран согласия OAuth , который отображается пользователям до того, как они разрешат доступ к вашему приложению.

Если какой-либо из ваших клиентов OAuth не готов к работе, мы предлагаем вам удалить его из проекта, запрашивающего проверку. Вы можете сделать это в Google API Console.

Чтобы отправить на проверку, выполните следующие действия:

  1. Убедитесь, что ваше приложение соответствует Условиям использования API Google и Политике данных пользователей служб API Google .
  2. Поддерживайте актуальность ролей владельца и редактора связанных с вашим проектом учетных записей, а также адрес электронной почты службы поддержки пользователей на экране согласия OAuth и контактную информацию разработчика в вашем API Console. Это гарантирует, что нужные члены вашей команды будут уведомлены о любых новых требованиях.
  3. Перейдите к API ConsoleOAuth Consent Screen page.
  4. Нажмите кнопку выбора проекта .

  5. В появившемся диалоговом окне « Выбрать из » выберите свой проект. Если вы не можете найти свой проект, но знаете его идентификатор, вы можете создать URL-адрес в своем браузере в следующем формате:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Замените [PROJECT_ID] идентификатором проекта, который вы хотите использовать.

  6. Нажмите кнопку « Изменить приложение ».
  7. Введите необходимую информацию на странице экрана согласия OAuth, а затем нажмите кнопку Сохранить и продолжить .
  8. Используйте кнопку Добавить или удалить области , чтобы объявить все области, запрошенные вашим приложением. Начальный набор областей, необходимых для входа в Google, предварительно указан в разделе Неконфиденциальные области . Добавленные области действия классифицируются как неконфиденциальные, sensitive, or restricted.
  9. Предоставьте до трех ссылок на любую соответствующую документацию по связанным функциям в вашем приложении.

  10. Предоставьте любую дополнительную информацию, которая запрашивается о вашем приложении, на последующих шагах.

  11. Если предоставленная вами конфигурация приложения требует проверки, у вас есть возможность отправить приложение на проверку. Заполните необходимые поля и нажмите « Отправить », чтобы начать процесс проверки.

После того, как вы отправите свое приложение, команда Google Trust & Safety отправит вам по электронной почте всю необходимую им дополнительную информацию или шаги, которые вы должны выполнить. Проверьте свои адреса электронной почты в разделе контактной информации разработчика и адрес электронной почты службы поддержки на экране согласия OAuth на наличие запросов на дополнительную информацию. Вы также можете просмотреть страницу экрана согласия OAuth вашего проекта, чтобы подтвердить текущий статус проверки вашего проекта, в том числе узнать, приостановлен ли процесс проверки, пока мы ждем вашего ответа.

Исключения из требований проверки

Если ваше приложение будет использоваться в любом из сценариев, описанных в следующих разделах, вам не нужно отправлять его на проверку.

Персональное использование

Один из вариантов использования — если вы являетесь единственным пользователем своего приложения или если ваше приложение используется только несколькими пользователями, каждый из которых известен вам лично. Вам и вашему ограниченному числу пользователей может быть удобно продвигаться по экрану непроверенного приложения и предоставлять своим личным учетным записям доступ к вашему приложению.

Проекты, используемые на уровнях разработки, тестирования или подготовки

Чтобы соответствовать политикам Google OAuth 2.0, мы рекомендуем вам иметь разные проекты для тестовой и рабочей среды. Мы рекомендуем отправлять приложение на проверку только в том случае, если вы хотите сделать его доступным для любого пользователя с учетной записью Google. Поэтому, если ваше приложение находится на этапах разработки, тестирования или подготовки, проверка не требуется.

Если ваше приложение находится на этапах разработки или тестирования, вы можете оставить для параметра Статус публикации значение по умолчанию Тестирование . Этот параметр означает, что ваше приложение все еще находится в разработке и доступно только пользователям, которых вы добавили в список тестовых пользователей. Вы должны управлять списком учетных записей Google, которые участвуют в разработке или тестировании вашего приложения.

Предупреждающее сообщение о том, что Google не проверил приложение, которое проходит тестирование.
Рисунок 2. Экран предупреждения тестера

Только данные, принадлежащие службе

Если ваше приложение использует учетную запись службы для доступа только к своим собственным данным и не имеет доступа к каким-либо пользовательским данным (связанным с учетной записью Google), вам не нужно отправлять данные для проверки.

Чтобы понять, что такое учетные записи служб, см. раздел Учетные записи служб в документации Google Cloud. Инструкции по использованию учетной записи службы см. в разделе Использование OAuth 2.0 для межсерверных приложений .

Только для внутреннего пользования

Это означает, что приложение используется только людьми из вашей организации Google Workspace или Cloud Identity. Проект должен принадлежать организации, а его экран согласия OAuth должен быть настроен для внутреннего типа пользователя . В этом случае вашему приложению может потребоваться одобрение администратора организации. Дополнительные сведения см. в разделе Дополнительные рекомендации по Google Workspace .

Установка для всего домена

Если вы планируете настроить таргетинг своего приложения только на пользователей организации Google Workspace или Cloud Identity и всегда использовать установку на уровне домена , вам не потребуется проверка приложения. Это связано с тем, что установка на уровне домена позволяет администратору домена предоставлять сторонним и внутренним приложениям доступ к данным ваших пользователей. Администраторы организации — единственные учетные записи, которые могут добавить приложение в белый список для использования в своих доменах.

Узнайте, как выполнить установку для всего домена, в разделе часто задаваемых вопросов В моем приложении есть пользователи с корпоративными учетными записями из другого домена Google Workspace .