Se la tua app è destinata a un tipo di utente esterno, potresti voler raggiungere il pubblico più ampio possibile di Account Google, che include gli Account Google amministrati da un'organizzazione Google Workspace.
Gli amministratori di Google Workspace possono utilizzare i controlli di accesso alle API per abilitare o limitare l'accesso alle API di Google Workspace per gli account di servizio e le applicazioni di proprietà dei clienti e di terze parti. Questa funzionalità consente agli amministratori di Google Workspace di limitare l'accesso solo agli ID client OAuth attendibili dall'organizzazione, riducendo così il rischio associato all'accesso di terze parti ai servizi Google.
Per raggiungere il pubblico più ampio possibile di Account Google e promuovere la fiducia, ti consigliamo il seguente:
- Richiedere la verifica della tua app da parte di Google. Se applicabile, devi richiedere la verifica del brand della tua app, nonché la verifica degli ambiti sensibili e con restrizioni. Gli amministratori di Google Workspace possono visualizzare lo stato di verifica della tua app e potrebbero considerare più attendibili le app verificate da Google rispetto a quelle con uno stato non verificato o sconosciuto.
- Gli amministratori di Google Workspace possono concedere agli ID client OAuth della tua app l'accesso ai servizi con restrizioni e gli ambiti ad alto rischio al loro interno. Se includi l'ID client OAuth della tua app nei documenti di assistenza, puoi fornire agli amministratori di Google Workspace e ai sostenitori della tua app all'interno delle loro organizzazioni, le informazioni necessarie per concedere l'accesso alla tua app. Inoltre, può aiutarli a comprendere quali modifiche alla configurazione potrebbero essere necessarie prima che la tua app possa accedere ai dati di un'organizzazione.
- Monitora regolarmente l'indirizzo email di assistenza utenti che fornisci quando configuri il tuo OAuth schermata di consenso. Gli amministratori di Google Workspace possono visualizzare questo indirizzo email quando esaminano l'accesso alla tua app e potrebbero contattarti per eventuali domande e dubbi.
Impatto dei controlli dell'amministratore di Google Workspace sulla validità dei token
Gli amministratori di Google Workspace possono implementare diversi controlli che influiscono indirettamente sulla validità e sulla durata dei token OAuth.
- Controllo sessione di Google Cloud: gli amministratori di Google Workspace possono impostare la durata della sessione per i servizi Google Cloud (ad es. console Google Cloud, gcloud CLI). Questa impostazione si applica a qualsiasi applicazione, incluse le app di terze parti, che richieda l'autorizzazione dell'utente per gli ambiti Google Cloud. Il superamento di questa durata della sessione può invalidare i token di aggiornamento associati con questi ambiti Google Cloud. Per maggiori dettagli, vedi Impostare la durata della sessione per i servizi Google Cloud.
- Controllo sessione dei servizi Google generali: gli amministratori possono anche controllare la durata della sessione web per servizi come Gmail sul web. In questo modo, gli utenti sono costretti ad accedere di nuovo a l'interfaccia web di Google dopo la scadenza della sessione. Tuttavia, questo controllo in genere non invalida i token di aggiornamento OAuth concessi alle applicazioni di terze parti per l'accesso ai dati API (ad es. API Gmail, Drive o Calendar), a meno che gli ambiti non siano specificamente correlati a Google Cloud. Per ulteriori informazioni, vedi Impostare la durata della sessione per i servizi Google.
- Controllo accesso app: gli amministratori possono bloccare le app, limitarne l'accesso a determinati servizi o revocare completamente l'accesso, il che rende non validi i token di aggiornamento associati.
- Delega a livello di dominio (DWD): sebbene la DWD non modifichi la durata dei token, consente agli amministratori di pre-autorizzare le app, ignorando il consenso dell'utente e gestendo l'accesso dell'app ai dati dell'organizzazione.
Associare il progetto a un'organizzazione
Se sei un utente di Google Workspace, ti consigliamo vivamente di creare il tuo progetto di sviluppo all'interno di una risorsa organizzazione nel tuo account Google Workspace o Cloud Identity. In questo modo, puoi utilizzare le funzionalità di gestione aziendale, come notifiche importanti, controllo dell'accesso e gestione del ciclo di vita del progetto, senza collegarlo a un singolo account sviluppatore. In caso contrario, potrebbe essere difficile (o impossibile) trasferire il progetto a un nuovo proprietario in futuro.
Quando configuri il progetto di sviluppo, crealo in un'organizzazione o esegui la migrazione dei progetti esistenti in un'organizzazione.