如果您的應用程式指定外部使用者類型,建議您盡可能鎖定最廣泛的 Google 帳戶使用者,包括由 Google Workspace 機構管理的 Google 帳戶。
Google Workspace 管理員可以使用 API 存取權控管機制,啟用或限制客戶自有及第三方應用程式和服務帳戶的存取權 Google Workspace API。這項功能可讓 Google Workspace 管理員限制只有機構信任的 OAuth 用戶端 ID 存取權,可降低第三方存取 Google 服務的相關風險。
為了讓 Google 帳戶的目標對象涵蓋盡可能廣泛的範圍,並建立信任感,我們建議您採取以下做法:
- 將應用程式送交 Google 驗證。如適用,您必須提交應用程式進行品牌驗證,以及機密和受限制範圍驗證。Google Workspace 管理員可以查看應用程式的驗證狀態,且可能會比較信任 Google 驗證的應用程式,而非未驗證或未知狀態的應用程式。
- Google Workspace 管理員可以將受限制的服務和其中的高風險範圍存取權授予應用程式的 OAuth 用戶端 ID。如果您在說明文件中加入應用程式的 OAuth 用戶端 ID,就能提供 Google Workspace 管理員及機構中的應用程式存取者,讓他們瞭解授予應用程式存取權所需的資訊。此外,他們也能瞭解需要調整哪些設定才能讓應用程式存取機構的資料。
- 定期監控您在設定 OAuth 時提供的使用者支援電子郵件地址。 Consent Screen pageGoogle Workspace 管理員在查看您的應用程式存取權時可以查看這個電子郵件地址,也可能會與您聯絡並提出可能的問題或疑慮。
將專案與機構建立關聯
如果您是 Google Workspace 使用者,強烈建議您在 Google Workspace 或 Cloud Identity 帳戶的機構資源中建立開發人員專案。這樣一來,您就能使用企業管理功能,例如重要通知、存取權控管和專案生命週期管理,而不必將其與個別開發人員帳戶綁定。否則,日後可能很難 (或無法) 轉移給新擁有者。
設定開發人員專案時,請在機構中建立專案,或將現有專案遷移至機構。