Se o app for destinado a um tipo de usuário externo, talvez seja necessário atender ao maior público possível de Contas do Google, que inclui as administradas por uma organização do Google Workspace.
Os administradores do Google Workspace podem usar controles de acesso à API para permitir ou restringir o acesso às APIs do Google Workspace para aplicativos do cliente ou de terceiros e contas de serviço. Esse recurso permite que os administradores do Google Workspace restrinjam o acesso apenas a IDs de cliente OAuth confiáveis pela organização, o que reduz o risco associado ao acesso de terceiros aos Serviços do Google.
Para alcançar o maior público possível de Contas do Google e promover a confiança, recomendamos o seguinte:
- Envie seu app para verificação pelo Google. Se aplicável, envie o app para verificação de marca, bem como a verificação de escopos sensíveis e restritos. Os administradores do Google Workspace podem conferir o status verificado do seu app e confiar mais em apps verificados pelo Google do que em apps com um status não verificado ou desconhecido.
- Os administradores do Google Workspace podem conceder aos IDs de cliente OAuth do seu app acesso a serviços restritos e aos escopos de alto risco. Se você incluir o ID de cliente OAuth do seu app nos documentos de ajuda, poderá fornecer aos administradores do Google Workspace e aos defensores do seu app nas organizações as informações necessárias para conceder acesso ao app. Isso também pode ajudar a entender quais mudanças de configuração podem ser necessárias antes que o app possa acessar os dados de uma organização.
- Monitore regularmente o endereço de e-mail de suporte ao usuário fornecido ao configurar a página da tela de permissão OAuth. Os administradores do Google Workspace podem conferir esse endereço de e-mail ao analisar o acesso do seu app e entrar em contato com você para fazer perguntas e expressar preocupações.
O impacto dos controles de administrador do Google Workspace na validade do token
Os administradores do Google Workspace podem implementar vários controles que afetam indiretamente a validade e a vida útil dos tokens OAuth.
- Controle de sessão do Google Cloud: os administradores do Google Workspace podem definir a duração da sessão para os serviços do Google Cloud (por exemplo, o console do Google Cloud e a CLI gcloud). Essa configuração se aplica a qualquer aplicativo, incluindo apps de terceiros, que exija autorização do usuário para os escopos do Google Cloud. Exceder essa duração da sessão pode invalidar os tokens de atualização associados a esses escopos do Google Cloud. Para mais detalhes, consulte Definir a duração da sessão para serviços do Google Cloud.
- Controle de sessão dos Serviços gerais do Google:os administradores também podem controlar a duração da sessão da Web para serviços como o Gmail na Web. Isso força os usuários a fazer login novamente na a interface da Web do Google após a expiração da sessão. No entanto, esse controle normalmente não invalida os tokens de atualização do OAuth concedidos a aplicativos de terceiros para acessar dados da API (como APIs do Gmail, Drive ou Agenda), a menos que os escopos estejam especificamente relacionados ao Google Cloud. Para mais informações, consulte Definir a duração da sessão para serviços do Google.
- Controle de acesso de apps:os administradores podem bloquear apps, limitar o acesso a determinados serviços ou revogar o acesso completamente, o que torna os tokens de atualização associados inválidos.
- Delegação em todo o domínio (DWD): embora a DWD não mude a vida útil do token, ela permite que os administradores pré-autorizem apps, ignorando o consentimento do usuário e gerenciando diretamente o acesso do app aos dados da organização.
Associar seu projeto a uma organização
Se você é um usuário do Google Workspace, é altamente recomendável que o projeto de desenvolvedor seja criado em um recurso de organização na sua conta do Google Workspace ou do Cloud Identity. Isso permite que você use recursos de gerenciamento empresarial, como notificações importantes, controle de acesso e gerenciamento do ciclo de vida do projeto, sem vinculá-lo a uma conta de desenvolvedor individual. Caso contrário, pode ser difícil (ou impossível) transferir para um novo proprietário no futuro.
Ao configurar o projeto de desenvolvedor, crie-o em uma organização ou migre seus projetos atuais para uma organização.