Kısıtlanmış kapsam doğrulaması

Bazı Google API'leri ( Hassas veya Kısıtlanmış kapsamları kabul edenler) tüketici verilerine erişim izni isteyen uygulamalar için gerekliliklere sahiptir. Kısıtlanmış kapsamlar için bu ek şartlar, uygulamaların izin verilen bir uygulama türü olduğunu kanıtlamasını ve olası bir güvenlik değerlendirmesi de dahil olmak üzere ek incelemelere göndermesini gerektirir.

Bir API'deki kısıtlanmış kapsamların geçerliliği büyük ölçüde uygulamanızda ilgili bir özelliği (salt okuma, salt yazma, okuma ve yazma vb.) sağlamak için gereken erişim derecesine bağlıdır.

Bu verilere erişmek amacıyla bir Google Hesabından izin almak için OAuth 2.0 kullandığınızda, erişmek istediğiniz veri türünü ve ne kadar erişime ihtiyacınız olduğunu belirtmek için kapsamlar adı verilen dizeler kullanırsınız. Uygulamanız hassas veya kısıtlanmış kapsamlar istiyorsa uygulamanızın kullanımı istisnaya uygun olmadığı sürece doğrulama sürecini tamamlamanız gerekir.

Kısıtlanmış kapsamların sayısı, hassas kapsamlara kıyasla daha azdır. Doğrulama OAuth API Doğrulaması SSS, Hassas ve Kısıtlanmış kapsamların güncel listesini içerir. Bu kapsamlar, Google kullanıcı verilerine geniş kapsamlı erişim sağlar ve herhangi bir Google Hesabı'ndan kapsam isteğinde bulunmadan önce kapsam doğrulama sürecinden geçmeniz gerekir. Bu gereksinim hakkında bilgi edinmek için Google API Hizmetleri Kullanıcı Verileri Politikası'na ve Belirli API kapsamları için ek koşullar'a veya ürüne özgü Google Geliştirici sayfasına göz atın. Sunucularda kısıtlı kapsam verileri depoluyor veya iletiyorsanız güvenlik değerlendirmesi yapmanız gerekir.

Kısıtlanmış kapsamları anlama

Uygulamanız kısıtlanmış kapsamlar istiyorsa ve bir istisnaya uygun değilse Google API Hizmetleri Kullanıcı Verileri Politikası'nın Belirli API kapsamlarıyla ilgili ek şartları veya ürünün Google Geliştirici sayfasında yer alan ürüne özel şartları karşılamanız gerekir. Bu koşullar daha kapsamlı bir inceleme süreci gerektirir.

Kapsam kullanımınızı anlama

  • Uygulamanızın kullandığı veya kullanmak istediğiniz kapsamları inceleyin. Mevcut kapsam kullanımınızı bulmak için uygulamanızın kaynak kodunu inceleyerek yetkilendirme istekleriyle gönderilen kapsamlar olup olmadığını kontrol edin.
  • İstenen her kapsamın, uygulama özelliğinizin amaçlanan işlemleri için gerekli olduğunu ve özelliği sağlamak için gereken en düşük ayrıcalığı kullandığını belirleyin. Google API'leri genellikle ürünün uç noktaları için Google Geliştirici sayfasında, uç noktayı veya içindeki belirli özellikleri çağırmak için gerekli kapsamı içeren referans belgeler içerir. Uygulamanızın çağırdığı API uç noktaları için gerekli erişim kapsamları hakkında daha fazla bilgi edinmek istiyorsanız bu uç noktaların referans belgelerini okuyun. For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
  • Google API'lerinden aldığınız veriler yalnızca API politikalarına uygun olarak, uygulamanızın eylemlerinde ve gizlilik politikanızda kullanıcılarınızı temsil ettiğiniz şekilde kullanılmalıdır.
  • Her kapsam ve potansiyel sensitive or restricted durumu hakkında daha fazla bilgi için API belgelerine göz atın.
  • Uygulamanızın kullandığı tüm kapsamları, API Consoleürününün OAuth izin ekranı yapılandırma kapsamları sayfasında tanımlayın. Belirttiğiniz kapsamlar, gerekli ek doğrulamaları vurgulamak için hassas veya kısıtlanmış kategoriler halinde gruplandırılır.
  • Entegrasyonunuzun kullandığı verilerle eşleşen en iyi kapsamı bulun, kapsamın kullanımını anlayın, test ortamında her şeyin hâlâ çalıştığından emin olun ve ardından doğrulama için gönderilmeye hazırlanın.

Doğrulama işlemini uygulamanızın lansman planınızda veya yeni bir kapsam gerektiren yeni özelliklerle tamamlamak için gereken süreyi hesaba kattığınızdan emin olun. Bu ek şartlardan biri, uygulamanın bir sunucudan veya sunucu aracılığıyla Google kullanıcı verilerine erişmesi veya erişme yeteneğine sahip olması durumunda geçerli olur. Böyle durumlarda sistemin, Google'ın onayladığı bağımsız ve üçüncü taraf bir değerlendirici tarafından yıllık güvenlik değerlendirmesine tabi tutulması gerekir. Bu nedenle, kısıtlanmış kapsamlar doğrulama sürecinin tamamlanması birkaç hafta sürebilir. Tüm uygulamaların ilk olarak marka doğrulama adımını tamamlaması gerektiğini unutmayın. Bu işlem, son onaylanan OAuth izin ekranı doğrulamasından sonra marka bilgileri değiştiyse genellikle 2-3 iş günü sürer.

İzin verilen uygulama türleri

Belirli uygulama türleri, her bir ürün için kısıtlanmış kapsamlara erişebilir. Uygulama türlerini ürüne özel Google Geliştirici Sayfasında (örneğin, Gmail API Politikası) bulabilirsiniz.

Uygulamanızın türünü anlayıp belirlemek sizin sorumluluğunuzdadır. Ancak, uygulamanızın uygulama türünden tam olarak emin değilseniz uygulamayı doğrulamaya gönderirken Hangi özellikleri kullanacaksınız? sorusu için hiçbir seçeneği belirleyemezsiniz. Uygulama türünü Google API'nin doğrulama ekibi belirler.

Güvenlik değerlendirmesi

Google kullanıcılarının kısıtlanmış verilerine erişim isteğinde bulunan ve verilere bir üçüncü taraf sunucudan veya bir üçüncü taraf sunucu üzerinden erişme imkanına sahip olan her uygulama, Google tarafından yetkilendirilmiş güvenlik denetçilerinin güvenlik değerlendirmesinden geçmelidir. Bu değerlendirme, Google kullanıcı verilerine erişen tüm uygulamaların, verileri güvenli bir şekilde işleme ve kullanıcının isteği üzerine kullanıcı verilerini silme kapasitesini gösterdiğini doğrulayarak Google kullanıcılarının verilerinin güvende tutulmasına yardımcı olur.

Güvenlik değerlendirmemizi standartlaştırmak için App Defense Alliance ve bulut uygulama güvenliği değerlendirme çerçevesini (CASA) kullanırız.

Daha önce de belirtildiği gibi, doğrulanmış kısıtlanmış kapsamlara erişmeye devam etmek için uygulamaların uygunluk açısından yeniden doğrulanması ve değerlendirme yetkilinizin Değerlendirme Mektubu onay tarihinden sonra en az 12 ayda bir güvenlik değerlendirmesini tamamlaması gerekir. Uygulamanız yeni bir kısıtlanmış kapsam eklerse önceki güvenlik değerlendirmesine dahil edilmemişse ek kapsamı kapsayacak şekilde yeniden değerlendirilmesi gerekebilir.

Google inceleme ekibi, uygulamanızı yeniden onaylama zamanı geldiğinde size e-posta gönderir. Bu yıllık yaptırımın doğru ekip üyelerine bildirildiğinden emin olmak için API Console projenizle ek Google Hesaplarını Sahip veya Düzenleyici olarak ilişkilendirin. Ayrıca, Google API Console OAuth Consent Screen page'da belirtilen kullanıcı desteği ve geliştirici iletişim e-postalarının güncel tutulmasına da yardımcı olur.

Doğrulamaya hazırlanma adımları

Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamalar, marka doğrulamasını tamamlamak için aşağıdaki adımları uygulamalıdır:

  1. Uygulamanızın, Doğrulama şartları istisnaları bölümündeki kullanım alanlarının hiçbirine girmediğini onaylayın.
  2. Uygulamanızın, ilişkili API'lerin veya ürünün marka gereksinimleriyle uyumlu olduğundan emin olun. Örneğin, Google ile Oturum Açma kapsamları için marka bilinci oluşturma yönergelerine bakın.
  3. Google Search Console'da projenizin yetkili alanlarının sahipliğini doğrulayın. Projenizle ilişkili bir Google Hesabı'nı API Console Sahip veya Düzenleyici olarak kullanın.
  4. OAuth kullanıcı rızası ekranında uygulama adı, destek e-postası, ana sayfa URI'si, gizlilik politikası URI'si gibi marka bilgilerinin uygulamanın kimliğini doğru şekilde temsil ettiğinden emin olun.

Uygulama ana sayfası gereksinimleri

Ana sayfanızın aşağıdaki koşulları karşıladığından emin olun:

  • Ana sayfanız herkesin erişimine açık olmalı, yalnızca sitenize giriş yapan kullanıcılar tarafından erişilebilir olmamalıdır.
  • Ana sayfanızın incelenmekte olan uygulamayla alaka düzeyi açıkça belirtilmelidir.
  • Uygulamanızın Google Play Store'daki veya Facebook sayfasındaki giriş bağlantıları, geçerli uygulama ana sayfası olarak kabul edilmez.

Uygulama gizlilik politikası bağlantı şartları

Uygulamanızın gizlilik politikasının aşağıdaki şartları karşıladığından emin olun:

  • Gizlilik politikası; kullanıcılar tarafından görülebilmeli, uygulamanızın ana sayfasıyla aynı alanda barındırılmalı ve Google API Consolecihazının OAuth izin ekranında bağlantılı olmalıdır. Ana sayfada, uygulamanın işleviyle ilgili bir açıklamanın yanı sıra gizlilik politikası ve isteğe bağlı hizmet şartlarının bağlantılarının yer alması gerektiğini unutmayın.
  • Uygulamanızın, Google kullanıcı verilerine nasıl eriştiği, bu verileri nasıl kullandığı, sakladığı veya paylaştığı gizlilik politikasında açıklanmalıdır. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. Google kullanıcı verilerini kullanımınızı, yayınlanmış gizlilik politikanızda açıklanan uygulamalarla sınırlandırmanız gerekir.
  • Review example cases of privacy policies that don't meet the Limited Use requirements.

Uygulamanızı doğrulanmak üzere gönderme

Google API Console Proje, tüm API Console kaynaklarınızı düzenler. Proje; proje işlemlerini gerçekleştirme izni olan ilişkilendirilmiş Google Hesapları, bir dizi etkin API ve bu API'ler için faturalandırma, kimlik doğrulama ve izleme ayarlarından oluşur. Örneğin, projeler bir veya daha fazla OAuth istemcisi içerebilir, bu istemciler tarafından kullanılacak API'leri yapılandırabilir ve uygulamanıza erişimi yetkilendirmeden önce kullanıcılara gösterilecek bir OAuth izin ekranı yapılandırabilir.

OAuth istemcilerinizden herhangi biri üretim için hazır değilse bunları doğrulama isteğinde bulunan projeden silmenizi öneririz. Bu işlemi Google API Consolebölümünde yapabilirsiniz.

Doğrulama için göndermek üzere aşağıdaki adımları uygulayın:

  1. Uygulamanızın Google API'leri Hizmet Şartları ve Google API Hizmetleri Kullanıcı Verileri Politikası'na uyduğundan emin olun.
  2. API Consolehesabınızda projenizle ilişkilendirilmiş hesaplardaki sahip ve düzenleyici rollerinin yanı sıra OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini güncel tutun. Bu sayede tüm yeni gereksinimler ekibinizin doğru üyelerine bildirilir.
  3. API Console OAuth Consent Screen page'a gidin.
  4. Proje seçici düğmesini tıklayın.

  5. Açılan Seçin iletişim kutusunda projenizi seçin. Projenizi bulamıyorsanız ancak proje kimliğinizi biliyorsanız tarayıcınızda aşağıdaki biçimde bir URL oluşturabilirsiniz:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    [PROJECT_ID] kısmını, kullanmak istediğiniz proje kimliğiyle değiştirin.

  6. Uygulamayı Düzenle düğmesini seçin.
  7. OAuth izin ekranı sayfasına gerekli bilgileri girin, ardından Kaydet ve devam et düğmesini seçin.
  8. Uygulamanız tarafından istenen tüm kapsamları bildirmek için Kapsam ekle veya kaldır düğmesini kullanın. Google ile Oturum Açma için gereken başlangıçtaki kapsam grubu, Hassas olmayan kapsamlar bölümünde önceden doldurulur. Eklenen kapsamlar hassas olmayan olarak sınıflandırılır: sensitive, or restricted.
  9. Uygulamanızdaki ilgili özelliklerle ilgili belgeler için en fazla üç bağlantı sağlayın.

  10. Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.

    1. Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
    2. Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
    3. If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.

    4. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
      5. If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
    5. Select your permitted application type from the "What features will you use?" list.
    6. Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
  11. Sağladığınız uygulama yapılandırması doğrulama gerektiriyorsa uygulamayı doğrulanması için gönderebilirsiniz. Zorunlu alanları doldurun ve doğrulama sürecini başlatmak için Gönder'i tıklayın.

Uygulamanızı gönderdikten sonra Google'ın Güvenlik Ekibi ihtiyaç duydukları ek bilgileri veya tamamlamanız gereken adımları içeren bir e-posta göndererek sizinle iletişime geçer. Ek bilgi istekleri için Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth izin ekranınızın destek e-posta adresini kontrol edin. Projenizin mevcut inceleme durumunu (ör. biz yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı) doğrulamak için projenizin OAuth izin ekranı sayfasını da görüntüleyebilirsiniz.

Doğrulama şartlarıyla ilgili istisnalar

Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa incelemeye göndermeniz gerekmez.

Kişisel kullanım

Bu kullanım alanlarından biri, uygulamanızın tek kullanıcısı olmanız veya uygulamanızın, tümünü şahsen tanıdığınız birkaç kullanıcı tarafından kullanılmasıdır. Hem siz hem de sınırlı sayıda kullanıcınız, doğrulanmamış uygulama ekranı'nda ilerleyip kişisel hesaplarınızın uygulamanıza erişmesine izin vermekten çekinebilir.

Geliştirme, Test veya Hazırlık katmanlarında kullanılan projeler

Google OAuth 2.0 Politikaları'na uyabilmek için test ve üretim ortamlarına yönelik farklı projelerinizin olmasını öneririz. Uygulamanızı yalnızca Google Hesabı olan tüm kullanıcılara sunmak istiyorsanız doğrulama için göndermenizi öneririz. Bu nedenle, uygulamanız geliştirme, test veya hazırlık aşamalarındaysa doğrulama gerekmez.

Uygulamanız geliştirme veya test aşamalarındaysa Yayınlama Durumu'nu varsayılan Test ayarında bırakabilirsiniz. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca test kullanıcıları listesine eklediğiniz kullanıcılar tarafından kullanılabileceği anlamına gelir. Uygulamanızın geliştirilmesinde veya testinde kullanılan Google Hesaplarının listesini yönetmeniz gerekir.

Google'ın test edilmekte olan bir uygulamayı doğrulamadığına dair uyarı mesajı.
Şekil 1. Test kullanıcısı uyarı ekranı

Yalnızca hizmete ait veriler

Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve hiçbir kullanıcı verisine (bir Google Hesabı'na bağlı) erişemezse doğrulama için göndermeniz gerekmez.

Hizmet hesaplarının ne olduğunu anlamak için Google Cloud belgelerindeki Hizmet hesapları bölümünü inceleyin. Hizmet hesabının nasıl kullanılacağıyla ilgili talimatlar için Sunucudan sunucuya uygulamalar için OAuth 2.0'ı kullanma başlıklı makaleye bakın.

Yalnızca dahili kullanım

Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kişiler tarafından kullanıldığı anlamına gelir. Projenin sahibi kuruluşa ait olması ve OAuth izin ekranının Dahili kullanıcı türü için yapılandırılması gerekir. Bu durumda, uygulamanızın bir kuruluş yöneticisinden onay alması gerekebilir. Daha fazla bilgi için Google Workspace ile ilgili göz önünde bulundurulması gereken diğer noktalar bölümüne bakın.

Alan genelinde yükleme

Uygulamanızın yalnızca bir Google Workspace veya Cloud Identity kuruluşunun kullanıcılarını hedeflemesini ve her zaman alan genelinde yükleme yöntemini kullanmayı planlıyorsanız uygulamanızda uygulama doğrulaması gerekmez. Bunun nedeni, alan genelinde yüklemenin alan yöneticisinin üçüncü taraf uygulamalarına ve dahili uygulamalara kullanıcılarınızın verilerine erişmesine izin vermesidir. Yalnızca kuruluş yöneticileri uygulamayı kendi alanlarında kullanmak üzere izin verilenler listesine ekleyebilir.

Uygulamanızı nasıl alan genelinde yükleme yapılacağını öğrenmek için Uygulamamda başka bir Google Workspace alanından kurumsal hesaba sahip kullanıcılar var başlıklı makaleyi inceleyin.