Jika aplikasi Anda menargetkan jenis pengguna eksternal, Anda mungkin ingin menjangkau audiens Akun Google seluas mungkin, yang mencakup Akun Google yang dikelola oleh organisasi Google Workspace.
Administrator Google Workspace dapat menggunakan kontrol akses API untuk mengaktifkan atau membatasi akses ke Google Workspace API untuk aplikasi milik pelanggan dan pihak ketiga serta akun layanan. Fitur ini memungkinkan administrator Google Workspace membatasi akses hanya ke ID klien OAuth yang dipercaya oleh organisasi, sehingga mengurangi risiko yang terkait dengan akses pihak ketiga ke Layanan Google.
Untuk menjangkau audiens Akun Google seluas mungkin dan menumbuhkan kepercayaan, sebaiknya lakukan hal-hal berikut:
- Kirimkan aplikasi Anda untuk diverifikasi oleh Google. Jika berlaku, Anda harus mengirimkan aplikasi untuk verifikasi merek, serta verifikasi cakupan sensitif dan terbatas. Admin Google Workspace dapat melihat status terverifikasi aplikasi Anda, dan mereka mungkin lebih memercayai aplikasi yang diverifikasi Google daripada aplikasi dengan status tidak terverifikasi atau tidak diketahui.
- Admin Google Workspace dapat memberi ID klien OAuth aplikasi Anda akses ke layanan yang dibatasi dan cakupan berisiko tinggi di dalamnya. Jika Anda menyertakan ID klien OAuth aplikasi di dokumen bantuan, Anda dapat memberikan informasi yang diperlukan kepada admin Google Workspace, dan pendukung aplikasi Anda dalam organisasi mereka, untuk memberikan akses ke aplikasi Anda. Hal ini juga dapat membantu mereka memahami perubahan konfigurasi apa yang mungkin diperlukan sebelum aplikasi Anda dapat mengakses data organisasi.
- Pantau secara rutin alamat email dukungan pengguna yang Anda berikan saat mengonfigurasi halaman Layar Izin OAuth Anda. Admin Google Workspace dapat melihat alamat email ini saat mereka meninjau akses aplikasi Anda, dan mereka mungkin menghubungi Anda untuk menanyakan pertanyaan dan kekhawatiran yang mungkin muncul.
Dampak kontrol administrator Google Workspace terhadap validitas token
Administrator Google Workspace dapat menerapkan beberapa kontrol yang secara tidak langsung memengaruhi validitas dan masa aktif token OAuth.
- Kontrol Sesi Google Cloud: Administrator Google Workspace dapat menetapkan durasi sesi untuk layanan Google Cloud (misalnya, Konsol Google Cloud, gcloud CLI). Setelan ini berlaku untuk aplikasi apa pun, termasuk aplikasi pihak ketiga, yang memerlukan otorisasi pengguna untuk cakupan Google Cloud. Melebihi durasi sesi ini dapat membatalkan validitas token refresh yang terkait dengan cakupan Google Cloud tersebut. Untuk mengetahui detail selengkapnya, lihat Menetapkan durasi sesi untuk layanan Google Cloud.
- Kontrol Sesi Layanan Google Umum: Administrator juga dapat mengontrol durasi sesi web untuk layanan seperti Gmail di web. Tindakan ini akan memaksa pengguna untuk login lagi ke antarmuka web Google setelah sesi berakhir. Namun, kontrol ini biasanya tidak membatalkan validitas token refresh OAuth yang diberikan kepada aplikasi pihak ketiga untuk mengakses data API (seperti API Gmail, Drive, atau Kalender), kecuali jika cakupannya secara khusus terkait dengan Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Menetapkan durasi sesi untuk layanan Google.
- Kontrol Akses Aplikasi: Administrator dapat memblokir aplikasi, membatasi aksesnya ke layanan tertentu, atau mencabut akses sepenuhnya, yang membuat token refresh terkait menjadi tidak valid.
- Delegasi Tingkat Domain (DWD): Meskipun DWD tidak mengubah masa aktif token, DWD memungkinkan administrator memberikan otorisasi awal untuk aplikasi, melewati persetujuan pengguna, dan mengelola akses aplikasi ke data organisasi secara langsung.
Menghubungkan project Anda dengan organisasi
Jika Anda adalah pengguna Google Workspace, sebaiknya project developer Anda dibuat di dalam resource organisasi dalam akun Google Workspace atau Cloud Identity Anda. Tindakan ini memungkinkan Anda menggunakan fitur pengelolaan perusahaan, seperti pemberitahuan penting, kontrol akses, dan pengelolaan siklus proses project, tanpa mengaitkannya dengan akun developer individu. Jika tidak, akan sulit (atau tidak mungkin) untuk mentransfer kepemilikan ke pemilik baru di masa mendatang.
Saat menyiapkan project developer, Anda dapat membuatnya di organisasi atau memigrasikan project yang sudah ada ke dalam organisasi.