Jeśli Twoja aplikacja jest przeznaczona dla użytkowników zewnętrznych, możesz chcieć dotrzeć do jak najszerszego grona odbiorców korzystających z kont Google, w tym z kont Google zarządzanych przez organizację Google Workspace.
Administratorzy Google Workspace mogą używać kontroli dostępu do interfejsów API, aby włączać i ograniczać dostęp do interfejsów Google Workspace API kont usługi oraz aplikacji klientów lub innych firm. Ta funkcja umożliwia administratorom Google Workspace ograniczenie dostępu tylko do identyfikatorów klientów OAuth, które są zaufane dla organizacji, co zmniejsza ryzyko związane z dostępem innych firm do usług Google.
Aby dotrzeć do jak najszerszego grona użytkowników kont Google i wzbudzić ich zaufanie, zalecamy:
- Prześlij aplikację do weryfikacji przez Google. W odpowiednich przypadkach musisz przesłać aplikację do weryfikacji marki, a także do weryfikacji zakresów wrażliwych i z ograniczeniami. Administratorzy Google Workspace mogą wyświetlać stan zweryfikowania aplikacji i mogą ufać aplikacjom zweryfikowanym przez Google bardziej niż aplikacjom o stanie niezweryfikowanym lub nieznanym.
- Administratorzy Google Workspace mogą przyznać identyfikatorom klienta OAuth aplikacji dostęp do usług objętych ograniczeniami i zakresów wysokiego ryzyka w tych usługach. Jeśli w dokumentach pomocy podasz identyfikator klienta OAuth aplikacji, możesz przekazać administratorom Google Workspace i osobom promującym Twoją aplikację w ich organizacjach informacje potrzebne do przyznania dostępu do aplikacji. Może to również pomóc im zrozumieć, jakie zmiany konfiguracji mogą być potrzebne, zanim aplikacja uzyska dostęp do danych organizacji.
- Regularnie sprawdzaj adres e-mail pomocy dla użytkowników, który podajesz podczas konfigurowania strony ekranu zgody OAuth. Administratorzy Google Workspace mogą wyświetlić ten adres e-mail, gdy sprawdzają dostęp aplikacji. Mogą też skontaktować się z Tobą, jeśli mają pytania lub wątpliwości.
Wpływ ustawień administratora Google Workspace na ważność tokena
Administratorzy Google Workspace mogą wdrożyć kilka ustawień, które pośrednio wpływają na ważność i czas życia tokenów OAuth.
- Kontrola sesji Google Cloud: administratorzy Google Workspace mogą ustawiać długość sesji w usługach Google Cloud (np. w konsoli Google Cloud czy gcloud CLI). To ustawienie dotyczy wszystkich aplikacji, w tym aplikacji innych firm, które wymagają autoryzacji użytkownika do korzystania z zakresów Google Cloud. Przekroczenie tego czasu trwania sesji może spowodować unieważnienie tokenów odświeżania powiązanych z tymi zakresami Google Cloud. Więcej informacji znajdziesz w artykule Ustawianie długości sesji dla usług Google Cloud.
- Ogólna kontrola sesji w usługach Google: administratorzy mogą też kontrolować czas trwania sesji w przeglądarce w przypadku usług takich jak Gmail w przeglądarce. Wymusza to ponowne zalogowanie się użytkowników w internetowym interfejsie Google po wygaśnięciu sesji. To ustawienie nie unieważnia jednak tokenów odświeżania OAuth przyznanych aplikacjom innych firm w celu uzyskania dostępu do danych interfejsu API (takich jak interfejsy API Gmaila, Dysku czy Kalendarza), chyba że zakresy są powiązane z Google Cloud. Więcej informacji znajdziesz w artykule Ustawianie długości sesji dla usług Google.
- Kontrola dostępu aplikacji: administratorzy mogą blokować aplikacje, ograniczać ich dostęp do określonych usług lub całkowicie go cofać, co powoduje unieważnienie powiązanych tokenów odświeżania.
- Przekazywanie dostępu w całej domenie: nie zmienia czasu życia tokenów, ale umożliwia administratorom wstępne autoryzowanie aplikacji, pomijanie zgody użytkownika i bezpośrednie zarządzanie dostępem aplikacji do danych organizacji.
Powiązywanie projektu z organizacją
Jeśli jesteś użytkownikiem Google Workspace, zdecydowanie zalecamy utworzenie projektu deweloperskiego w zasobie organizacji na koncie Google Workspace lub Cloud Identity. Dzięki temu możesz korzystać z funkcji zarządzania na poziomie przedsiębiorstwa, takich jak ważne powiadomienia, kontrola dostępu i zarządzanie cyklem życia projektu, bez powiązania ich z indywidualnym kontem dewelopera. W przeciwnym razie przeniesienie go na konto nowego właściciela w przyszłości może być trudne lub niemożliwe.
Podczas konfigurowania projektu deweloperskiego utwórz go w organizacji lub przenieś istniejące projekty do organizacji.