Если ваше приложение ориентировано на внешних пользователей , вам, возможно, стоит обратиться к максимально широкой аудитории учетных записей Google, включая учетные записи Google, управляемые организацией Google Workspace.
Администраторы Google Workspace могут использовать средства контроля доступа к API для включения или ограничения доступа к API Google Workspace для приложений и сервисных учетных записей, принадлежащих клиентам и сторонним разработчикам. Эта функция позволяет администраторам Google Workspace ограничивать доступ только для идентификаторов клиентов OAuth, которым организация доверяет, что снижает риски, связанные с доступом третьих лиц к сервисам Google.
Для охвата максимально широкой аудитории аккаунтов Google и укрепления доверия мы рекомендуем следующее:
- Отправьте свое приложение на проверку в Google. При необходимости вам потребуется пройти проверку на соответствие фирменному стилю , а также проверку на конфиденциальность и ограниченный доступ. Администраторы Google Workspace могут видеть статус проверки вашего приложения, и они могут больше доверять приложениям, проверенным Google, чем приложениям с непроверенным или неизвестным статусом.
- Администраторы Google Workspace могут предоставлять идентификаторы клиентов OAuth вашего приложения доступ к ограниченным сервисам и областям повышенного риска. Если вы укажете идентификатор клиента OAuth вашего приложения в справочных документах, вы сможете предоставить администраторам Google Workspace и представителям вашего приложения в их организациях информацию, необходимую для предоставления доступа к вашему приложению. Это также поможет им понять, какие изменения в конфигурации могут потребоваться, прежде чем ваше приложение сможет получить доступ к данным организации.
- Регулярно проверяйте адрес электронной почты службы поддержки пользователей, который вы указываете при настройке страницы согласия OAuth. Администраторы Google Workspace могут видеть этот адрес электронной почты при проверке доступа к вашему приложению и могут связаться с вами с возможными вопросами и проблемами.
Влияние настроек администратора Google Workspace на действительность токена
Администраторы Google Workspace могут внедрить ряд элементов управления, которые косвенно влияют на действительность и срок действия токенов OAuth.
- Управление сессиями Google Cloud: администраторы Google Workspace могут устанавливать длительность сессий для сервисов Google Cloud (например, консоли Google Cloud, интерфейса командной строки gcloud). Этот параметр применяется к любому приложению, включая сторонние приложения, которое требует авторизации пользователя для доступа к областям действия Google Cloud. Превышение указанной длительности сессии может привести к аннулированию токенов обновления, связанных с этими областями действия Google Cloud. Дополнительные сведения см. в разделе «Установка длительности сессии для сервисов Google Cloud» .
- Общие настройки сеансов в сервисах Google: Администраторы также могут контролировать продолжительность веб-сеансов для таких сервисов, как Gmail, в веб-версии. Это заставляет пользователей повторно входить в веб-интерфейс Google после истечения срока действия сеанса. Однако этот контроль, как правило, не аннулирует токены обновления OAuth, предоставленные сторонним приложениям для доступа к данным API (например, API Gmail, Drive или Calendar), если только области действия не связаны непосредственно с Google Cloud. Для получения дополнительной информации см. раздел «Установка продолжительности сеанса для сервисов Google» .
- Контроль доступа к приложениям: Администраторы могут блокировать приложения, ограничивать их доступ к определенным службам или полностью отзывать доступ, что делает связанные с ними токены обновления недействительными.
- Делегирование на уровне домена (DWD): Хотя DWD не изменяет срок действия токенов, оно позволяет администраторам предварительно авторизовать приложения, минуя согласие пользователя и напрямую управляя доступом приложения к данным организации.
Свяжите свой проект с какой-либо организацией.
Если вы используете Google Workspace, настоятельно рекомендуется создавать свой проект разработчика внутри ресурса организации в вашей учетной записи Google Workspace или Cloud Identity . Это позволит вам использовать функции корпоративного управления , такие как важные уведомления , контроль доступа и управление жизненным циклом проекта, без привязки к отдельной учетной записи разработчика. В противном случае, в будущем может быть сложно (или невозможно) передать проект новому владельцу.
При настройке проекта для разработчиков создайте его в организации или перенесите существующие проекты в организацию .