如果您的应用面向外部用户类型,您可能希望覆盖尽可能广泛的 Google 账号受众群体,其中包括由 Google Workspace 组织管理的 Google 账号。
Google Workspace 管理员可以使用 API 访问权限控制功能来启用或限制客户自有应用和服务账号或第三方应用和服务账号对 Google Workspace API 的访问权限。借助此功能,Google Workspace 管理员可以限制访问权限,仅允许组织信任的 OAuth 客户端 ID 访问,从而降低第三方访问 Google 服务所涉及的风险。
为了尽可能覆盖更多 Google 账号用户并建立信任,我们建议您执行以下操作:
- 提交您的应用以供 Google 验证。如果适用,您必须提交应用以进行品牌验证,以及敏感和受限范围验证。Google Workspace 管理员可以查看应用的已验证状态,并且可能会更信任 Google 验证的应用,而不是状态为未验证或未知的应用。
- Google Workspace 管理员可以向应用的 OAuth 客户端 ID 授予对受限服务及其中高风险范围的访问权限。如果您在帮助文档中添加应用的 OAuth 客户端 ID,则可以为 Google Workspace 管理员以及组织内应用的支持者提供授予应用访问权限所需的信息。这还可以帮助他们了解在应用能够访问组织的数据之前可能需要进行哪些配置更改。
- 定期监控您在配置 OAuth 权限请求页面时提供的用户支持电子邮件地址。Google Workspace 管理员在审核您应用的访问权限时可以查看此电子邮件地址,并且可能会就可能存在的问题和疑虑与您联系。
Google Workspace 管理员控件对令牌有效性的影响
Google Workspace 管理员可以实施多项间接影响 OAuth 令牌有效性和生命周期的控制措施。
- Google Cloud 会话控制:Google Workspace 管理员可以为 Google Cloud 服务(例如 Google Cloud 控制台、gcloud CLI)设置会话时长。此设置适用于任何需要用户授权 Google Cloud 范围的应用,包括第三方应用。如果超出此会话时长,与这些 Google Cloud 范围关联的刷新令牌可能会失效。如需了解详情,请参阅设置 Google Cloud 服务的会话时长。
- 常规 Google 服务会话控制:管理员还可以控制网页版 Gmail 等服务的 Web 会话时长。此设置会强制用户在会话过期后重新登录 Google 网页界面。不过,此控件通常不会使授予第三方应用用于访问 API 数据(例如 Gmail、云端硬盘或日历 API)的 OAuth 刷新令牌失效,除非相应范围专门与 Google Cloud 相关。如需了解详情,请参阅设置 Google 服务的会话时长。
- 应用访问权限控制:管理员可以屏蔽应用、限制应用对特定服务的访问权限,或完全撤消访问权限,这会使关联的刷新令牌失效。
- 全网域授权 (DWD):虽然 DWD 不会更改令牌生命周期,但它允许管理员预先授权应用,从而绕过用户同意并直接管理应用对组织数据的访问权限。
将项目与组织相关联
如果您是 Google Workspace 用户,强烈建议您在 Google Workspace 或 Cloud Identity 账号中的组织资源内创建开发者项目。这样,您就可以使用企业管理功能,例如重要通知、访问权限控制和项目生命周期管理,而无需将其与个人开发者账号相关联。否则,日后可能难以(或无法)转移给新所有者。
设置开发者项目时,在组织中创建项目或将现有项目迁移到组织中。