Uygulamanız bir harici kullanıcı türünü hedefliyorsa Google Workspace kuruluşu tarafından yönetilen Google Hesapları da dahil olmak üzere mümkün olduğunca geniş bir Google Hesabı kitlesine hitap etmek isteyebilirsiniz.
Google Workspace yöneticileri, müşteriye ait olan veya üçüncü taraf uygulamaları ve hizmet hesapları için Google Workspace API'lerine erişimi etkinleştirmek veya kısıtlamak üzere API erişim denetimlerini kullanabilir. Bu özellik, Google Workspace yöneticilerinin erişimi yalnızca kuruluş tarafından güvenilen OAuth istemci kimlikleriyle kısıtlamasına olanak tanır. Bu sayede, Google hizmetlerine üçüncü taraf erişimiyle ilişkili risk azaltılır.
Google Hesapları'nın mümkün olan en geniş kitlesine ulaşmak ve güveni artırmak için aşağıdakileri yapmanızı öneririz:
- Uygulamanızı Google tarafından doğrulanması için gönderin. Geçerli durumlarda uygulamanızı marka doğrulaması, hassas ve kısıtlı kapsam doğrulaması için göndermeniz gerekir. Google Workspace yöneticileri, uygulamanızın doğrulanmış durumunu görüntüleyebilir ve Google'ın doğruladığı uygulamalara, doğrulanmamış veya bilinmeyen duruma sahip uygulamalardan daha fazla güvenebilir.
- Google Workspace yöneticileri, uygulamanızın OAuth istemci kimliklerine kısıtlanmış hizmetlere ve bu hizmetlerdeki yüksek riskli kapsamlara erişim izni verebilir. Uygulamanızın OAuth istemci kimliğini yardım dokümanlarınıza eklerseniz Google Workspace yöneticilerine ve kuruluşlarındaki uygulamanızın savunucularına uygulamanıza erişim izni vermek için gereken bilgileri sağlayabilirsiniz. Ayrıca, uygulamanızın kuruluş verilerine erişebilmesi için hangi yapılandırma değişikliklerinin gerekebileceğini anlamalarına da yardımcı olabilirsiniz.
- OAuth izin ekranı sayfanızı yapılandırırken sağladığınız kullanıcı desteği e-posta adresinizi düzenli olarak izleyin. Google Workspace yöneticileri, uygulamanızın erişimini incelerken bu e-posta adresini görebilir ve olası soru ve endişelerini iletmek için sizinle iletişime geçebilir.
Google Workspace yönetici denetimlerinin jeton geçerliliği üzerindeki etkisi
Google Workspace yöneticileri, OAuth jetonlarının geçerliliğini ve kullanım ömrünü dolaylı olarak etkileyen çeşitli kontroller uygulayabilir.
- Google Cloud oturum denetimi: Google Workspace yöneticileri, Google Cloud hizmetleri (ör. Google Cloud Console, gcloud CLI) için oturum sürelerini ayarlayabilir. Bu ayar, üçüncü taraf uygulamaları da dahil olmak üzere Google Cloud kapsamları için kullanıcı yetkilendirmesi gerektiren tüm uygulamalar için geçerlidir. Bu oturum süresinin aşılması, söz konusu Google Cloud kapsamlarıyla ilişkili yenileme jetonlarının geçersiz olmasına neden olabilir. Daha fazla bilgi için Google Cloud hizmetleri için oturum süresini ayarlama başlıklı makaleyi inceleyin.
- Genel Google Hizmetleri Oturum Kontrolü: Yöneticiler, web'deki Gmail gibi hizmetlerin web oturumu süresini de kontrol edebilir. Bu ayar, oturumun süresi dolduktan sonra kullanıcıları Google web arayüzünde tekrar oturum açmaya zorlar. Ancak bu kontrol, kapsamlar özellikle Google Cloud ile ilgili olmadığı sürece, API verilerine (ör. Gmail, Drive veya Takvim API'leri) erişmek için üçüncü taraf uygulamalarına verilen OAuth yenileme jetonlarını genellikle geçersiz kılmaz. Daha fazla bilgi için Google hizmetleri için oturum süresini ayarlama başlıklı makaleyi inceleyin.
- Uygulama Erişim Denetimi: Yöneticiler uygulamaları engelleyebilir, belirli hizmetlere erişimlerini sınırlayabilir veya erişimi tamamen iptal edebilir. Bu durumda, ilişkili yenileme jetonları geçersiz hale gelir.
- Alan genelinde yetki (DWD): DWD, jeton ömrünü değiştirmese de yöneticilerin uygulamalara önceden yetki vermesine, kullanıcı iznini atlamasına ve uygulamanın kuruluş verilerine erişimini doğrudan yönetmesine olanak tanır.
Projenizi bir kuruluşla ilişkilendirme
Google Workspace kullanıcısıysanız geliştirici projenizin Google Workspace veya Cloud Identity hesabınızdaki bir kuruluş kaynağında oluşturulması önemle tavsiye edilir. Bu sayede, kurumsal yönetim özelliklerini (ör. önemli bildirimler, erişim denetimi ve proje yaşam döngüsü yönetimi) tek bir geliştirici hesabına bağlamadan kullanabilirsiniz. Aksi takdirde, gelecekte yeni bir sahibe aktarmak zor (veya imkansız) olabilir.
Geliştirici projenizi oluştururken bir kuruluşta oluşturun veya mevcut projelerinizi bir kuruluşa taşıyın.