ผู้ดูแลระบบ Google Workspace สามารถใช้ API การควบคุมการเข้าถึง เพื่อเปิดใช้หรือจำกัดการเข้าถึง Google Workspace API สำหรับแอปพลิเคชันและบัญชีบริการของลูกค้าหรือ ของบุคคลที่สาม ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบ Google Workspace จำกัดการเข้าถึงได้เฉพาะรหัสไคลเอ็นต์ OAuth ที่องค์กรเชื่อถือเท่านั้น ซึ่งจะช่วยลดความ เสี่ยงที่เกี่ยวข้องกับการเข้าถึงบริการของ Google โดยบุคคลที่สาม
เราขอแนะนำให้ทำดังนี้เพื่อเข้าถึงกลุ่มเป้าหมายที่กว้างที่สุดเท่าที่จะเป็นไปได้ของบัญชี Google และเพื่อส่งเสริมความไว้วางใจ
- ส่งแอปเพื่อรับการยืนยันจาก Google หากมีสิทธิ์ คุณต้องส่งแอปเพื่อรับการยืนยัน แบรนด์ รวมถึงการยืนยันขอบเขตที่ ละเอียดอ่อน และ จำกัด ผู้ดูแลระบบ Google Workspace สามารถดูสถานะที่ยืนยันแล้วของแอป และอาจเชื่อถือแอปที่ Google ยืนยันมากกว่าแอปที่มีสถานะไม่ได้รับการยืนยันหรือสถานะที่ไม่รู้จัก
- ผู้ดูแลระบบ Google Workspace สามารถให้สิทธิ์เข้าถึงบริการที่จำกัดและ ขอบเขตที่มีความเสี่ยงสูงภายในบริการเหล่านั้นแก่รหัสไคลเอ็นต์ OAuth ของแอป หากคุณใส่รหัสไคลเอ็นต์ OAuth ของแอปไว้ในเอกสารช่วยเหลือ คุณจะให้ข้อมูลที่จำเป็นแก่ผู้ดูแลระบบ Google Workspace และผู้สนับสนุนแอปของคุณภายในองค์กรของผู้ดูแลระบบเหล่านั้น เพื่อมอบสิทธิ์เข้าถึงแอปของคุณได้ นอกจากนี้ ข้อมูลดังกล่าวจะช่วยให้ผู้ดูแลระบบเข้าใจการเปลี่ยนแปลงการกำหนดค่าที่อาจจำเป็นก่อนที่แอปจะเข้าถึงข้อมูลขององค์กรได้
- ตรวจสอบที่อยู่อีเมลสำหรับการสนับสนุนผู้ใช้ที่คุณระบุเมื่อกำหนดค่า OAuth หน้าจอขอความยินยอม เป็นประจำ ผู้ดูแลระบบ Google Workspace สามารถดู อีเมลนี้เมื่อตรวจสอบสิทธิ์เข้าถึงของแอป และอาจติดต่อคุณเพื่อสอบถามคำถามและความกังวลที่อาจเกิดขึ้น
ผลกระทบของการควบคุมของผู้ดูแลระบบ Google Workspace ต่อความถูกต้องของโทเค็น
ผู้ดูแลระบบ Google Workspace สามารถใช้การควบคุมหลายอย่างที่จะส่งผลกระทบต่อ ความถูกต้องและอายุการใช้งานของโทเค็น OAuth โดยอ้อม
- การควบคุมเซสชันของ Google Cloud: ผู้ดูแลระบบ Google Workspace สามารถตั้งระยะเวลาเซสชันสำหรับบริการของ Google Cloud (เช่น คอนโซล Google Cloud, gcloud CLI) การตั้งค่านี้ จะมีผลกับแอปพลิเคชันใดก็ตาม รวมถึงแอปของบุคคลที่สามที่ต้องมีการให้สิทธิ์ผู้ใช้สำหรับ ขอบเขต Google Cloud การใช้เซสชันนานเกินระยะเวลาที่กำหนดอาจทำให้โทเค็นเพื่อการรีเฟรชที่เชื่อมโยงกับขอบเขต Google Cloud เหล่านั้นไม่ถูกต้อง ดูรายละเอียดเพิ่มเติมได้ที่หัวข้อ ตั้งระยะเวลาเซสชันสำหรับบริการของ Google Cloud
- การควบคุมเซสชันของบริการทั่วไปของ Google: ผู้ดูแลระบบยังสามารถควบคุมระยะเวลาเซสชันเว็บ สำหรับบริการต่างๆ เช่น Gmail ในเว็บได้ด้วย ซึ่งจะบังคับให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้งใน อินเทอร์เฟซเว็บของ Google หลังจากเซสชันหมดอายุ อย่างไรก็ตาม โดยปกติแล้วการควบคุมนี้จะ ไม่ ทำให้โทเค็นเพื่อการรีเฟรช OAuth ที่มอบให้กับแอปพลิเคชันของบุคคลที่สามสำหรับการ เข้าถึงข้อมูล API (เช่น Gmail, ไดรฟ์ หรือ API ของปฏิทิน) ไม่ถูกต้อง เว้นแต่ว่าขอบเขตจะ เกี่ยวข้องกับ Google Cloud โดยเฉพาะ ดูข้อมูลเพิ่มเติมได้ที่หัวข้อ ตั้งระยะเวลาเซสชันสำหรับบริการของ Google
- การควบคุมสิทธิ์เข้าถึงของแอป: ผู้ดูแลระบบสามารถบล็อกแอป จำกัดสิทธิ์เข้าถึง บริการบางอย่าง หรือเพิกถอนสิทธิ์เข้าถึงทั้งหมด ซึ่งจะทำให้โทเค็นเพื่อการรีเฟรชที่เชื่อมโยง ไม่ถูกต้อง
- การมอบสิทธิ์ทั่วทั้งโดเมน (DWD): แม้ว่า DWD จะไม่เปลี่ยนแปลงอายุการใช้งานของโทเค็น แต่ก็ช่วยให้ผู้ดูแลระบบให้สิทธิ์แอปไว้ล่วงหน้าได้ โดยข้ามความยินยอมของผู้ใช้และจัดการสิทธิ์เข้าถึงข้อมูลขององค์กรของแอปโดยตรง
เชื่อมโยงโปรเจ็กต์กับองค์กร
หากคุณเป็นผู้ใช้ Google Workspace เราขอแนะนำอย่างยิ่งให้สร้างโปรเจ็กต์ของนักพัฒนาแอป ภายในทรัพยากรขององค์กรในบัญชีGoogle Workspace หรือCloud Identity ซึ่งจะช่วยให้คุณ ใช้ ฟีเจอร์การจัดการระดับองค์กร เช่น การแจ้งเตือนที่สำคัญ การควบคุมการเข้าถึง และการจัดการวงจรชีวิตของโปรเจ็กต์ได้โดยไม่ต้องเชื่อมโยงกับบัญชีนักพัฒนาแอปแต่ละบัญชี มิเช่นนั้น การโอน ไปยังเจ้าของใหม่ในอนาคตอาจเป็นเรื่องยาก (หรือเป็นไปไม่ได้)
เมื่อตั้งค่าโปรเจ็กต์ของนักพัฒนาแอป ให้สร้างโปรเจ็กต์ใน องค์กร หรือ ย้ายโปรเจ็กต์ที่มีอยู่ไปยังองค์กร