Nếu ứng dụng của bạn nhắm đến loại người dùng bên ngoài, bạn có thể muốn nhắm đến đối tượng rộng nhất có thể của Tài khoản Google, bao gồm cả Tài khoản Google do một tổ chức Google Workspace quản lý.
Quản trị viên Google Workspace có thể sử dụng các chế độ kiểm soát quyền truy cập API để cho phép hoặc hạn chế quyền truy cập vào API Google Workspace đối với các tài khoản dịch vụ cũng như các ứng dụng của khách hàng và bên thứ ba. Tính năng này cho phép quản trị viên Google Workspace hạn chế quyền truy cập chỉ đối với những mã ứng dụng OAuth mà tổ chức tin tưởng. Nhờ đó, nguy cơ liên quan đến quyền truy cập của bên thứ ba vào Các dịch vụ của Google sẽ giảm xuống.
Để tiếp cận nhiều người dùng Tài khoản Google nhất có thể và củng cố niềm tin, bạn nên làm như sau:
- Gửi ứng dụng của bạn để Google xác minh. Nếu có, bạn phải gửi ứng dụng của mình để xác minh thương hiệu, cũng như xác minh các phạm vi nhạy cảm và bị hạn chế. Quản trị viên Google Workspace có thể xem trạng thái đã xác minh của ứng dụng và họ có thể tin tưởng các ứng dụng mà Google xác minh hơn là các ứng dụng có trạng thái chưa xác minh hoặc không xác định.
- Quản trị viên Google Workspace có thể cấp cho mã ứng dụng OAuth của ứng dụng quyền truy cập vào các dịch vụ bị hạn chế và các phạm vi có rủi ro cao trong đó. Nếu thêm mã nhận dạng ứng dụng OAuth của ứng dụng vào tài liệu trợ giúp, bạn có thể cung cấp cho quản trị viên Google Workspace và những người ủng hộ ứng dụng của bạn trong tổ chức của họ thông tin cần thiết để cấp quyền truy cập vào ứng dụng của bạn. Thông tin này cũng có thể giúp họ hiểu rõ những thay đổi về cấu hình có thể cần thiết trước khi ứng dụng của bạn có thể truy cập vào dữ liệu của một tổ chức.
- Thường xuyên theo dõi địa chỉ email hỗ trợ người dùng mà bạn cung cấp khi định cấu hình trang Màn hình đồng ý OAuth. Quản trị viên Google Workspace có thể xem địa chỉ email này khi họ xem xét quyền truy cập của ứng dụng và họ có thể liên hệ với bạn nếu có thắc mắc và lo ngại.
Tác động của chế độ kiểm soát của quản trị viên Google Workspace đối với tính hợp lệ của mã thông báo
Quản trị viên Google Workspace có thể triển khai một số chế độ kiểm soát gián tiếp ảnh hưởng đến tính hợp lệ và thời gian tồn tại của mã thông báo OAuth.
- Chế độ kiểm soát phiên Google Cloud: Quản trị viên Google Workspace có thể đặt thời lượng phiên cho các dịch vụ của Google Cloud (ví dụ: Google Cloud Console, gcloud CLI). Chế độ cài đặt này áp dụng cho mọi ứng dụng (kể cả ứng dụng bên thứ ba) yêu cầu người dùng cấp quyền cho các phạm vi của Google Cloud. Nếu vượt quá thời lượng phiên này, bạn có thể làm mất hiệu lực mã làm mới được liên kết với các phạm vi Google Cloud đó. Để biết thêm thông tin chi tiết, hãy xem bài viết Đặt thời lượng phiên sử dụng đối với các dịch vụ của Google Cloud.
- Chế độ kiểm soát phiên đối với các dịch vụ chung của Google: Quản trị viên cũng có thể kiểm soát thời lượng phiên web cho các dịch vụ như Gmail trên web. Điều này buộc người dùng phải đăng nhập lại vào giao diện web của Google sau khi phiên hết hạn. Tuy nhiên, chế độ kiểm soát này thường không vô hiệu hoá mã làm mới OAuth được cấp cho các ứng dụng bên thứ ba để truy cập vào dữ liệu API (chẳng hạn như API Gmail, Drive hoặc Lịch), trừ phi các phạm vi có liên quan cụ thể đến Google Cloud. Để biết thêm thông tin, hãy xem bài viết Đặt thời lượng phiên sử dụng đối với các dịch vụ của Google.
- Kiểm soát quyền truy cập vào ứng dụng: Quản trị viên có thể chặn ứng dụng, giới hạn quyền truy cập của ứng dụng vào một số dịch vụ nhất định hoặc thu hồi hoàn toàn quyền truy cập. Thao tác này sẽ khiến các mã làm mới được liên kết trở nên không hợp lệ.
- Uỷ quyền trên toàn miền (DWD): Mặc dù DWD không thay đổi thời gian tồn tại của mã thông báo, nhưng DWD cho phép quản trị viên uỷ quyền trước cho các ứng dụng, bỏ qua sự đồng ý của người dùng và trực tiếp quản lý quyền truy cập của ứng dụng vào dữ liệu của tổ chức.
Liên kết dự án với một tổ chức
Nếu là người dùng Google Workspace, bạn nên tạo dự án dành cho nhà phát triển trong một tài nguyên tổ chức trong tài khoản Google Workspace hoặc Cloud Identity. Điều này cho phép bạn sử dụng các tính năng quản lý dành cho doanh nghiệp, chẳng hạn như thông báo quan trọng, quyền kiểm soát truy cập và quản lý vòng đời dự án mà không cần liên kết với một tài khoản nhà phát triển riêng lẻ. Nếu không, sau này, bạn có thể gặp khó khăn (hoặc không thể) chuyển nhượng cho chủ sở hữu mới.
Khi thiết lập dự án dành cho nhà phát triển, hãy tạo dự án trong một tổ chức hoặc di chuyển các dự án hiện có vào một tổ chức.