Xác minh thương hiệu

Tất cả ứng dụng truy cập vào các API của Google đều phải xác minh rằng chúng thể hiện chính xác danh tính và ý định của mình theo quy định của Chính sách dữ liệu người dùng của Dịch vụ API của Google. Để bảo vệ bạn và những người dùng dùng chung Google và ứng dụng của bạn, Google có thể cần xác minh màn hình xin phép và ứng dụng của bạn.

Ứng dụng của bạn cần được xác minh nếu đáp ứng tất cả các tiêu chí sau:

  • Trong Google API Console, cấu hình ứng dụng của bạn được đặt cho loại người dùng là Bên ngoài và trạng thái phát hành là Đã phát hành. Điều này có nghĩa là ứng dụng của bạn đang ở giai đoạn phát hành công khai và người dùng có Tài khoản Google đều có thể sử dụng ứng dụng.
  • Bạn muốn ứng dụng của mình hiển thị biểu trưng hoặc tên hiển thị trên màn hình xin phép OAuth.

Nếu xác minh thông tin thương hiệu của ứng dụng, bạn có thể tăng khả năng người dùng nhận ra thương hiệu của bạn và quyết định cấp quyền truy cập cho ứng dụng của bạn. Thông tin thương hiệu đã xác minh cũng có thể dẫn đến ít trường hợp thu hồi hơn sau này khi người dùng hoặc quản trị viên Google Workspace xem xét các ứng dụng và dịch vụ bên thứ ba có quyền truy cập vào tài khoản. Quy trình xác minh thương hiệu tự động thường mất vài phút sau khi bạn nhấp vào nút Xác minh thương hiệu. Trong một số trường hợp, khi không thể tự động xác định kết quả, ứng dụng của bạn có thể trải qua quy trình xem xét thủ công thường mất 2-3 ngày làm việc.

Nếu thông tin thương hiệu của ứng dụng vẫn chưa được xác minh, thì điều này có thể khiến người dùng giảm bớt lòng tin đối với yêu cầu của bạn về dữ liệu của họ, dẫn đến việc ít người dùng cấp quyền hơn và nhiều người dùng thu hồi quyền hơn sau này.

Màn hình xin phép cho người dùng biết ai đang yêu cầu quyền truy cập vào dữ liệu của họ và loại dữ liệu mà ứng dụng của bạn cần truy cập thay cho họ, như được làm nổi bật trong Ô 2 của hình 1.

Khi ứng dụng của bạn trải qua quy trình xác minh thương hiệu và được phê duyệt, tài khoản cấp quyền sẽ dễ dàng hiểu rõ hơn về chính sách nhận dạng và dữ liệu người dùng của ứng dụng. Việc hiểu rõ này có thể làm tăng khả năng chủ sở hữu tài khoản uỷ quyền cho các yêu cầu của bạn và duy trì quyền truy cập khi họ xem xét các trường hợp thu hồi có thể xảy ra trên trang Tài khoản Google của họ. Nội dung mà bạn định cấu hình trên trang Thương hiệu của OAuth trong Cloud Console sẽ điền sẵn các thành phần sau:

  1. Tên và biểu trưng ứng dụng của bạn (như trong Hộp 1 của hình 1)
  2. Email hỗ trợ người dùng của bạn, xuất hiện sau khi bạn chọn tên ứng dụng (Hộp 2 trong hình 1)
  3. Đường liên kết đến chính sách quyền riêng tư và điều khoản dịch vụ của bạn (Hộp 3 trong hình 1)
Các nhãn được đánh số minh hoạ các tính năng khác nhau của màn hình xin phép OAuth trong một dự án có thông tin thương hiệu đã được phê duyệt.
Hình 1. Bản mô phỏng màn hình xin phép bằng OAuth.

Miền được uỷ quyền

Trong quy trình xác minh thương hiệu, Google yêu cầu xác minh tất cả các miền được liên kết với màn hình xin phép và thông tin đăng nhập OAuth của một ứng dụng. Chúng tôi yêu cầu bạn xác minh thành phần miền có thể đăng ký trên một hậu tố công khai: "miền riêng tư hàng đầu". Ví dụ: màn hình xin phép OAuth được định cấu hình bằng trang chủ ứng dụng https://sub.example.com/product sẽ yêu cầu chủ tài khoản xác minh quyền sở hữu miền example.com.

Phần Miền được uỷ quyền của trình chỉnh sửa màn hình xin phép OAuth cần chứa các miền riêng tư cấp cao nhất được dùng trong URI của phần Miền ứng dụng. Các miền này bao gồm trang chủ của ứng dụng, chính sách quyền riêng tư và điều khoản dịch vụ. Mục Miền được uỷ quyền cũng cần phải bao gồm các URI chuyển hướng và/hoặc nguồn gốc JavaScript được uỷ quyền trong các loại ứng dụng OAuth "Ứng dụng web".

Xác minh quyền sở hữu các miền được uỷ quyền bằng Google Search Console. Bạn phải liên kết một Tài khoản Google có quyền của chủ sở hữu đối với một miền với dự án API Console sử dụng miền được uỷ quyền đó. Để biết thêm thông tin về việc xác minh miền trong Google Search Console, hãy xem bài viết Xác minh quyền sở hữu trang web.

Các bước chuẩn bị cho quy trình xác minh

Tất cả ứng dụng sử dụng các API của Google để yêu cầu quyền truy cập vào dữ liệu đều phải thực hiện các bước sau để hoàn tất quy trình xác minh thương hiệu:

  1. Xác nhận rằng ứng dụng của bạn không thuộc bất kỳ trường hợp sử dụng nào trong phần Các trường hợp ngoại lệ đối với yêu cầu xác minh.
  2. Đảm bảo rằng ứng dụng của bạn tuân thủ các yêu cầu về việc sử dụng thương hiệu của API hoặc sản phẩm được liên kết. Ví dụ: hãy xem nguyên tắc sử dụng thương hiệu cho các phạm vi Đăng nhập bằng Google.
  3. Xác minh quyền sở hữu các miền được uỷ quyền của dự án trong Google Search Console. Sử dụng Tài khoản Google được liên kết với dự án API Console của bạn với tư cách là Chủ sở hữu hoặc Người chỉnh sửa.
  4. Đảm bảo rằng tất cả thông tin về thương hiệu trên màn hình xin phép OAuth, chẳng hạn như tên ứng dụng, email hỗ trợ, URI trang chủ, URI chính sách quyền riêng tư, v.v., đều thể hiện chính xác danh tính của ứng dụng.

Yêu cầu đối với trang chủ của ứng dụng

Đảm bảo rằng trang chủ của bạn đáp ứng các yêu cầu sau:

  • Trang chủ của bạn phải có thể truy cập công khai, chứ không chỉ dành cho người dùng đã đăng nhập vào trang web của bạn.
  • Bạn phải nêu rõ mức độ liên quan của trang chủ với ứng dụng đang được xem xét.
  • Đường liên kết đến trang thông tin của ứng dụng trên Cửa hàng Google Play hoặc trang Facebook của ứng dụng không được coi là trang chủ hợp lệ của ứng dụng.

Yêu cầu về đường liên kết đến chính sách quyền riêng tư của ứng dụng

Đảm bảo rằng chính sách quyền riêng tư của ứng dụng đáp ứng các yêu cầu sau:

  • Người dùng phải nhìn thấy chính sách quyền riêng tư, được lưu trữ trong cùng miền với trang chủ của ứng dụng và được liên kết trên màn hình xin phép bằng OAuth của Bảng điều khiển API của Google. Xin lưu ý rằng trang chủ phải có phần mô tả chức năng của ứng dụng, cũng như đường liên kết đến chính sách quyền riêng tư và điều khoản dịch vụ (không bắt buộc).
  • Chính sách quyền riêng tư phải nêu rõ cách ứng dụng của bạn truy cập, sử dụng, lưu trữ hoặc chia sẻ dữ liệu người dùng Google. Bạn phải giới hạn việc sử dụng dữ liệu người dùng Google theo các phương thức mà chính sách quyền riêng tư đã xuất bản của bạn công bố.

Cách gửi ứng dụng của bạn để xác minh thương hiệu

Dự án trên Google Cloud Console sắp xếp tất cả tài nguyên trên Cloud Console. Một dự án bao gồm một nhóm Tài khoản Google được liên kết có quyền thực hiện các thao tác trên dự án, một nhóm API đã bật và chế độ cài đặt thanh toán, xác thực và giám sát cho các API đó. Ví dụ: một dự án có thể chứa một hoặc nhiều ứng dụng OAuth, định cấu hình các API để những ứng dụng đó sử dụng và định cấu hình một màn hình xin phép OAuth sẽ xuất hiện trước khi người dùng cho phép truy cập vào ứng dụng của bạn.

Nếu bất kỳ ứng dụng OAuth nào của bạn chưa sẵn sàng cho quá trình sản xuất, bạn nên xoá ứng dụng đó khỏi dự án đang yêu cầu xác minh. Bạn có thể thực hiện việc này trên trang Khách hàng.

Để gửi yêu cầu xác minh, hãy làm theo các bước sau:

  1. Đảm bảo ứng dụng của bạn tuân thủ Điều khoản dịch vụ về các API của GoogleChính sách dữ liệu người dùng của các dịch vụ API của Google.
  2. Luôn cập nhật vai trò chủ sở hữu và người chỉnh sửa của các tài khoản được liên kết với dự án, cũng như email hỗ trợ người dùng và thông tin liên hệ của nhà phát triển trên màn hình đồng ý OAuth trong Cloud Console. Việc này giúp đảm bảo các thành viên liên quan trong nhóm của bạn được thông báo về mọi yêu cầu mới.
  3. Chuyển đến Cloud Console Trang xây dựng thương hiệu OAuth.
  4. Nhấp vào nút Bộ chọn dự án.
  5. Trong hộp thoại Chọn từ xuất hiện, hãy chọn dự án của bạn. Nếu không tìm thấy dự án nhưng biết mã dự án, bạn có thể tạo một URL trong trình duyệt theo định dạng sau:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Thay [PROJECT_ID] bằng mã dự án mà bạn muốn sử dụng.

  6. Trong trang Xây dựng thương hiệu, hãy cung cấp thông tin xây dựng thương hiệu cho ứng dụng của bạn, bao gồm tên ứng dụng, biểu trưng, thông tin liên hệ của nhà phát triển và các đường liên kết có liên quan. Mọi thay đổi bạn thực hiện đều được lưu dưới dạng Thương hiệu nháp.
  7. Nhấp vào nút Xác minh thương hiệu để bắt đầu quy trình đánh giá. Quy trình xem xét tự động thường hoàn tất trong vòng vài phút.
  8. Sau khi quá trình đánh giá hoàn tất, hãy xem trạng thái. Nếu thành công, trạng thái sẽ thay đổi thành Sẵn sàng phát hành. Nếu quá trình xác minh tự động không thành công, bạn có thể xem các vấn đề được phát hiện và khắc phục hoặc yêu cầu xem xét thủ công.
  9. Nhấp vào nút Xuất bản thương hiệu để áp dụng thương hiệu mới.
  10. Nếu ứng dụng của bạn cũng yêu cầu xác minh cho các phạm vi nhạy cảm hoặc bị hạn chế, hãy chuyển đến Trung tâm xác minh OAuth để theo dõi Trạng thái quyền truy cập dữ liệu và cung cấp mọi thông tin bổ sung được yêu cầu, chẳng hạn như video minh hoạ. Xin lưu ý rằng bạn phải có trạng thái thương hiệu đã xuất bản trước khi có thể yêu cầu xác minh để truy cập vào dữ liệu.

  11. Sử dụng nút Thêm hoặc xoá phạm vi để khai báo tất cả các phạm vi mà ứng dụng của bạn yêu cầu. Một nhóm phạm vi ban đầu cần thiết cho tính năng Đăng nhập bằng Google sẽ được điền sẵn trong phần Phạm vi không nhạy cảm. Các phạm vi được thêm được phân loại là không nhạy cảm, sensitive, or restricted.
  12. Cung cấp tối đa 3 đường liên kết đến mọi tài liệu có liên quan cho các tính năng liên quan trong ứng dụng của bạn.
  13. Cung cấp mọi thông tin bổ sung được yêu cầu về ứng dụng của bạn trong các bước tiếp theo.

Sau khi bạn xuất bản thông tin nhận diện thương hiệu hoặc gửi yêu cầu truy cập dữ liệu, Nhóm An toàn và đáng tin cậy của Google có thể liên hệ với bạn qua email để yêu cầu bạn cung cấp thêm thông tin hoặc hoàn tất các bước cần thiết. Kiểm tra địa chỉ email của bạn trong mục Thông tin liên hệ của nhà phát triển và email hỗ trợ của màn hình xin phép OAuth để biết các yêu cầu cung cấp thêm thông tin. Bạn cũng có thể xem trang Thương hiệu hoặc Trung tâm xác minh của dự án để xác nhận trạng thái xem xét hiện tại của dự án, bao gồm cả việc quy trình xem xét có bị tạm dừng hay không trong khi chúng tôi chờ bạn trả lời.

Các trường hợp ngoại lệ đối với yêu cầu xác minh

Nếu ứng dụng của bạn sẽ được dùng trong bất kỳ trường hợp nào được mô tả trong các phần sau, thì bạn không cần gửi ứng dụng đó đi xem xét.

Sử dụng cá nhân

Một trường hợp sử dụng là nếu bạn là người dùng duy nhất của ứng dụng hoặc nếu ứng dụng của bạn chỉ được một số ít người dùng sử dụng và bạn biết rõ tất cả những người dùng đó. Bạn và một số ít người dùng có thể cảm thấy thoải mái khi chuyển qua màn hình ứng dụng chưa được xác minh và cấp cho tài khoản cá nhân của bạn quyền truy cập vào ứng dụng.

Các dự án được dùng trong các cấp Phát triển, Kiểm thử hoặc Dàn dựng

Để tuân thủ Chính sách về Google OAuth 2.0, bạn nên có các dự án riêng cho môi trường kiểm thử và môi trường phát hành công khai. Bạn chỉ nên gửi ứng dụng của mình để xác minh nếu muốn cung cấp ứng dụng cho mọi người dùng có Tài khoản Google. Do đó, nếu ứng dụng của bạn đang trong giai đoạn phát triển, kiểm thử hoặc dàn dựng, thì bạn không cần xác minh.

Nếu ứng dụng của bạn đang trong giai đoạn phát triển hoặc kiểm thử, bạn có thể để Trạng thái xuất bản ở chế độ cài đặt mặc định là Kiểm thử. Chế độ cài đặt này có nghĩa là ứng dụng của bạn vẫn đang trong quá trình phát triển và chỉ những người dùng mà bạn thêm vào danh sách người dùng thử nghiệm mới có thể sử dụng. Bạn phải quản lý danh sách Tài khoản Google tham gia vào quá trình phát triển hoặc kiểm thử ứng dụng của bạn.

Thông báo cảnh báo rằng Google chưa xác minh một ứng dụng đang được kiểm thử.
Hình 2. Màn hình cảnh báo cho người kiểm thử

Chỉ dữ liệu thuộc sở hữu của dịch vụ

Nếu ứng dụng của bạn sử dụng tài khoản dịch vụ chỉ để truy cập vào dữ liệu của chính ứng dụng và không truy cập vào bất kỳ dữ liệu nào của người dùng (được liên kết với Tài khoản Google), thì bạn không cần gửi yêu cầu xác minh.

Để tìm hiểu tài khoản dịch vụ là gì, hãy xem phần Tài khoản dịch vụ trong tài liệu của Google Cloud. Để biết hướng dẫn về cách sử dụng tài khoản dịch vụ, hãy xem phần Sử dụng OAuth 2.0 cho các ứng dụng từ máy chủ đến máy chủ.

Chỉ sử dụng nội bộ

Điều này có nghĩa là chỉ những người dùng thuộc tổ chức Google Workspace hoặc Cloud Identity của bạn mới có thể sử dụng ứng dụng này. Dự án phải thuộc sở hữu của tổ chức và màn hình xin phép OAuth của dự án cần được định cấu hình cho Loại người dùngNội bộ. Trong trường hợp này, ứng dụng của bạn có thể cần được quản trị viên tổ chức phê duyệt. Để biết thêm thông tin, hãy xem bài viết Những điểm cần lưu ý khác đối với Google Workspace.

Cài đặt trên toàn miền

Nếu bạn dự định ứng dụng của mình chỉ nhắm đến người dùng của một tổ chức Google Workspace hoặc Cloud Identity và luôn sử dụng quy trình cài đặt trên toàn miền, thì ứng dụng của bạn sẽ không yêu cầu xác minh thương hiệu. Tuy nhiên, nếu ứng dụng của bạn sử dụng các phạm vi nhạy cảm hoặc bị hạn chế, thì bạn phải xác minh ứng dụng. Lý do là vì chế độ cài đặt trên toàn miền cho phép quản trị viên miền cấp cho các ứng dụng bên thứ ba và ứng dụng nội bộ quyền truy cập vào dữ liệu của người dùng. Quản trị viên tổ chức là những tài khoản duy nhất có thể thêm ứng dụng vào danh sách cho phép để sử dụng trong miền của họ.

Tìm hiểu cách cài đặt ứng dụng trên toàn miền trong phần Câu hỏi thường gặp Ứng dụng của tôi có người dùng có tài khoản doanh nghiệp thuộc một miền Google Workspace khác.