제한된 범위 확인

특정 Google API( 민감한 또는 제한된 범위를 허용하는 API)에는 소비자 데이터에 액세스할 권한을 요청하는 앱에 대한 요구사항이 있습니다. 이러한 제한된 범위에 대한 추가 요구사항에 따라 앱은 허용된 애플리케이션 유형임을 입증하고 보안 평가가 포함된 추가 검토를 제출해야 합니다.

API 내에서 제한된 범위의 적용 여부는 주로 액세스 수준에 따라 다릅니다. 이는 앱에 읽기 전용, 쓰기 전용, 읽기 및 쓰기와 같은 관련 기능을 제공하는 데 기타

OAuth 2.0을 사용하여 Google 계정에서 이 데이터에 액세스할 수 있는 권한을 받는 경우 범위라는 문자열을 사용하여 액세스하려는 데이터의 유형과 액세스 수준을 지정합니다. 알 수 있습니다. 앱에서 sensitive 또는 제한된 범위의 경우 확인을 완료해야 합니다. 예외 인정 환불로 간주됩니다. 예외

제한된 범위는 민감한 범위에 비해 수가 적습니다. 인증 OAuth API 인증 FAQ에 현재 민감한 범위 및 제한된 범위 목록이 포함되어 있습니다. 이러한 범위는 Google 사용자 데이터에 대한 광범위한 액세스 권한을 제공하며, Google 계정에서 범위를 요청하기 전에 범위 확인 절차를 거쳐야 합니다. 이와 관련된 요구사항에 대한 자세한 내용은 Google API 서비스 사용자 데이터 정책을 참조하세요. 및 특정 API 범위에 대한 추가 요구사항 또는 제품별 Google 개발자 페이지 제한된 범위를 저장하거나 전송하는 경우 데이터를 사용하는 경우 보안 점검을 완료해야 합니다. 평가를 참조하세요.

제한된 범위 이해하기

앱에서 제한된 범위를 요청하지만 예외가 있는 경우 Google API 서비스 사용자 데이터의 특정 API 범위에 대한 추가 요구사항 제품의 정책이나 제품별 요구사항이 Google 개발자 페이지 보다 광범위한 검토 프로세스가 필요합니다

범위 사용 이해하기

  • 앱에서 사용 중이거나 사용하려는 범위를 검토합니다. 기존 범위 사용을 찾으려면 승인 요청과 함께 전송된 범위가 있는지 앱의 소스 코드를 검사합니다.
  • 요청된 각 범위가 앱 기능의 의도된 작업에 필요한지 확인 기능을 제공하는 데 필요한 최소 권한을 사용합니다. 일반적으로 Google API에는 제품의 에 대한 참조 문서 Google Developer 페이지를 참조하세요. 특정 속성을 지정할 수 있습니다 필요한 범위에 대한 자세한 내용은 앱에서 호출하는 API 엔드포인트에 대한 액세스에 대한 자세한 내용은 해당 참조 문서를 확인하세요. 엔드포인트가 있습니다 For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
  • Google API에서 받은 데이터는 다음 정책을 준수하는 경우에만 사용해야 합니다. 앱의 작업 및 앱에서 사용자에게 나타내는 방식으로 개인정보처리방침을 참조하세요.
  • 각 범위에 대해 자세히 알아보려면 API 문서를 참조하세요. sensitive or restricted 상태.
  • API Console의 OAuth 동의 화면 구성 범위 페이지를 참조하세요. 지정한 범위는 민감하거나 제한됨으로 그룹화됩니다. 카테고리를 표시하여 추가 인증이 필요한 경우 이를 강조합니다.
  • 통합에 사용되는 데이터와 일치하는 최적의 범위를 찾고, 사용을 이해하고, 테스트 환경에서 여전히 모든 것이 작동하는지 다시 확인한 다음 확인을 위해 제출할 준비를 합니다.

앱 또는 새로운 범위가 필요한 새 기능의 출시 계획에 인증을 완료하는 데 필요한 시간을 고려해야 합니다. 이러한 추가 요구사항 중 하나는 앱이 서버에서 또는 서버를 통해 Google 사용자 데이터에 액세스하거나 액세스할 수 있는 기능이 있어야 합니다. 포함 이러한 경우 시스템은 매년 독립적인 서드 파티 평가자의 보안 평가 Google의 승인을 받았다는 의미입니다 따라서 제한된 범위 인증 절차를 완료하는 데 몇 주가 걸릴 수 있습니다. 모든 앱은 반드시 brand[브랜드] 인증 단계를 거쳐야 하며, 브랜딩 정보가 있는 경우 일반적으로 영업일 기준 2~3일이 걸립니다. 마지막으로 승인된 OAuth 동의 화면 확인 이후로 변경되었습니다.

허용되는 애플리케이션 유형

특정 애플리케이션 유형은 각 제품의 제한된 범위에 액세스할 수 있습니다. 여기에서 애플리케이션 유형을 선택하여 Google 개발자 페이지 (예: Gmail API 정책).

앱 유형을 이해하고 결정하는 것은 개발자의 책임입니다. 하지만 앱의 애플리케이션 유형을 잘 모르는 경우 '아니요'를 선택할 수 있습니다. 인증을 위해 앱을 제출할 때 어떤 기능을 사용하나요? 질문에 대한 옵션을 제공해야 합니다. 그러면 Google API 인증팀에서 신청 유형을 결정합니다.

보안 평가

Google 사용자의 제한된 데이터에 대한 액세스를 요청하고 서드 파티 서버를 통해 또는 서드 파티 서버에서 데이터에 액세스할 수 있는 모든 앱은 Google에서 선정한 보안 평가자의 보안 평가를 거쳐야 합니다. 이 평가는 Google 사용자의 개인 정보 보호 데이터를 안전하게 보호하는 Google 사용자 데이터에 액세스하는 모든 앱이 데이터를 처리하는 능력을 입증하는지 확인 사용자의 요청에 따라 사용자 데이터를 삭제할 수 있습니다.

보안 평가를 표준화하기 위해 App Defense Alliance 클라우드 애플리케이션 보안 평가 프레임워크 (CASA)

앞서 언급했듯이 확인된 제한된 범위에 계속 액세스하려면 앱이 재인증을 받아야 하며, 보안 평가가 완료된 후 최소 12개월에 한 번씩 평가자의 평가서 (LOA) 승인 날짜 앱에서 새로운 제한된 범위를 추가하면 사전 평가에 포함되지 않은 앱은 추가 범위를 포함하도록 재평가해야 할 수 있음 보안 평가

앱을 다시 인증할 때가 되면 Google 검토팀에서 이메일을 보내드립니다. 광고가 이 연례 시행에 대한 알림이 팀원에게 전달되고, 프로젝트가 API Console 소유자이거나 편집자 또한 Google API Console OAuth Consent Screen page에 지정된 사용자 지원 및 개발자 연락처 이메일을 최신 상태로 유지하는 데도 도움이 됩니다.

인증 준비 단계

Google API를 사용하여 데이터 액세스를 요청하는 모든 앱은 다음 단계를 따라야 합니다. 브랜드 인증 완료:

  1. 앱이 인증 요구사항 예외 섹션의 사용 사례에 해당하지 않는지 확인합니다.
  2. 앱이 관련 API의 브랜드 요구사항을 준수하는지 확인합니다. 있습니다. 예시는 브랜드 가이드라인을 참고하세요. 를 참조하세요.
  3. 프로젝트 소유권 확인 승인된 도메인을 확인할 수 있습니다. Google Search Console Google 프로젝트에 연결된 API Console 계정으로 소유자 또는 편집자
  4. OAuth 동의 화면의 모든 브랜드 정보(예: 앱 이름)가 이메일, 홈페이지 URI, 개인정보처리방침 URI 등이 앱의 ID를 정확하게 나타내야 합니다.

애플리케이션 홈페이지 요구사항

홈페이지가 다음 요구사항을 충족하는지 확인합니다.

  • 홈페이지는 공개적으로 액세스할 수 있어야 하며 사이트에서 로그인한 사용자만 액세스할 수 있어야 합니다. 있습니다.
  • 홈페이지와 검토 중인 앱의 관련성이 명확해야 합니다.
  • Google Play 스토어 또는 Facebook 페이지의 앱 등록정보로 연결되는 링크는 고려되지 않습니다. 사용할 수 있습니다.

애플리케이션 개인정보처리방침 링크 요구사항

앱의 개인정보처리방침이 다음 요구사항을 충족하는지 확인하세요.

  • 개인정보처리방침은 애플리케이션의 OAuth 동의 화면에 링크되어 있으며 Google API Console홈페이지에는 앱의 기능에 관한 설명뿐 아니라 개인정보처리방침 및 서비스 약관(선택사항)
  • 개인정보처리방침에서는 애플리케이션이 액세스, 사용, Google 사용자 데이터를 저장하거나 공유할 수 없습니다. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. Google 사용자 데이터는 자신이 게시한 관행에 한해 사용해야 합니다. 개인 정보 보호 정책 공개에 따라 결정됩니다.
  • Review example cases of privacy policies that don't meet the Limited Use requirements.

인증을 위해 앱 제출 방법

Google API Console 프로젝트는 API Console 리소스. 프로젝트는 연결된 객체 집합으로 프로젝트 작업을 수행할 수 있는 권한이 있는 Google 계정, 사용 설정된 API 세트 결제, 인증, 모니터링 설정을 직접 관리할 수 있습니다 예를 들어 프로젝트는 하나 이상의 OAuth 클라이언트를 포함하고, 이러한 클라이언트에서 사용할 수 있도록 API를 구성하고, 사용자가 앱 액세스를 승인하기 전에 사용자에게 표시되는 OAuth 동의 화면

프로덕션에 사용할 준비가 되지 않은 OAuth 클라이언트가 있는 경우 인증을 요청하는 프로젝트에서 삭제하는 것이 좋습니다. 이 작업은 Google API Console

인증을 위해 제출하려면 다음 단계를 따르세요.

  1. 앱이 Google API 서비스 약관Google API 서비스 사용자 데이터 정책
  2. API Console에서 프로젝트의 연결된 계정의 소유자 및 편집자 역할과 OAuth 동의 화면의 사용자 지원 이메일 및 개발자 연락처 정보를 최신 상태로 유지합니다. 이렇게 하면 팀은 새로운 요구사항에 대한 알림을 받습니다
  3. API Console페이지로 이동 OAuth Consent Screen page
  4. 프로젝트 선택기 버튼을 클릭합니다.

  5. 선택 대화상자가 나타나면 프로젝트를 선택합니다. 계정을 찾을 수 없는 경우 프로젝트 ID를 알고 있는 경우 형식:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    [PROJECT_ID]를 사용하려는 프로젝트 ID로 바꿉니다.

  6. 앱 수정 버튼을 선택합니다.
  7. OAuth 동의 화면 페이지에 필요한 정보를 입력한 다음 저장 후 계속 버튼을 선택합니다.
  8. 범위 추가 또는 삭제 버튼을 사용하여 앱에서 요청한 모든 범위를 선언합니다. Google 로그인에 필요한 초기 범위 집합은 민감하지 않은 범위 섹션을 참조하세요. 추가된 범위는 민감하지 않은 것으로 분류되며 sensitive, or restricted
  9. 앱의 관련 기능에 관한 관련 문서의 링크를 최대 3개까지 제공합니다.

  10. 이후에 앱에 관해 요청된 추가 정보를 제공하세요. 학습합니다.

    1. Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
    2. Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
    3. If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.

    4. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
      5. If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
    5. Select your permitted application type from the "What features will you use?" list.
    6. Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
  11. 제공하는 앱 구성에 확인이 필요한 경우 제출할 수 있습니다. 확인할 수 있습니다 필수 입력란을 작성하고 제출을 클릭하여 확인 절차입니다.

앱을 제출한 후에는 Google의 신뢰 및 안전팀에서 해당 사항이 있는 경우 이메일로 고객이 완료해야 하는 추가 정보나 완료해야 하는 단계를 파악할 수 있습니다. 개발자 연락처 정보 섹션의 이메일 주소와 OAuth 동의 화면의 지원 이메일에서 추가 정보 요청을 확인하세요. 프로젝트의 OAuth 동의를 확인할 수도 있습니다. 검토 프로세스 진행 여부 등 프로젝트의 현재 검토 상태를 확인할 수 있는 응답을 기다리는 동안 이(가) 일시중지되었습니다.

인증 요건 예외사항

앱이 다음 섹션에 설명된 시나리오 중 하나에서 사용될 예정이라면 검토를 위해 제출할 필요가 없습니다.

개인 용도

한 가지 사용 사례는 개발자가 앱의 유일한 사용자이거나 소수의 사용자만 앱을 사용하는 경우입니다. 모두 여러분에게 개인적으로 알려져 있습니다. 나와 제한된 수의 사용자만 AI의 발전과 함께 인증되지 않은 앱 화면을 열고 개인 계정에 앱 액세스 권한을 부여할 수 있습니다.

개발, 테스트 또는 스테이징에 사용되는 프로젝트 등급

Google OAuth 2.0 정책을 준수하려면 테스트 환경과 프로덕션 환경에 서로 다른 프로젝트를 사용하는 것이 좋습니다. 인증 목적으로만 앱을 제출하는 것이 좋습니다. Google 계정이 있는 모든 사용자에게 앱을 제공하려는 경우에 선택하세요. 따라서 앱이 개발, 테스트 또는 스테이징 단계에 있는 경우 인증이 필요하지 않습니다.

앱이 개발 또는 테스트 단계에 있는 경우 게시 상태 기본 설정인 테스트. 이 설정은 앱이 아직 개발 중이며 테스트 사용자 목록에 추가한 사용자에게 제공됩니다. 앱 개발 또는 테스트에 참여하는 Google 계정 목록을 관리해야 합니다.

Google에서 테스트 중인 앱을 확인하지 않았음을 알리는 경고 메시지
그림 1. 테스터 경고 화면

서비스 소유 데이터만

앱이 서비스 계정을 사용하여 자체 데이터에만 액세스하고 어떤 사용자에게도 액세스하지 않는 경우 데이터를 제출하면 인증을 위해 제출할 필요가 없습니다.

서비스 계정이 무엇인지 알아보려면 다음을 참조하세요. 서비스 계정 Google Cloud 문서를 참조하세요. 서비스 계정 사용 방법에 대한 안내는 다음을 참조하세요. 서버 간 OAuth 2.0 사용 애플리케이션입니다.

내부 전용

즉, Google Workspace 또는 Cloud ID의 사용자만 앱을 사용할 수 있습니다. 조직의 역할을 합니다. 프로젝트는 조직에서 소유해야 하며 OAuth 동의 화면이어야 합니다. 사용하려면 내부 사용자 유형이 될 수 있습니다. 이 경우 앱에 조직 관리자의 승인이 필요할 수 있습니다. 대상 자세한 내용은 추가 고려사항을 살펴보세요.

도메인 전체 설치

앱이 Google Workspace 또는 Cloud ID의 사용자만 타겟팅하도록 계획하는 경우 항상 도메인 전체의 도메인 전체 또는 설치된 경우 앱 인증이 필요하지 않습니다. 도메인 전체 설치를 사용하면 도메인 관리자가 서드 파티 및 내부 애플리케이션에 사용자 데이터에 대한 액세스 권한을 부여할 수 있기 때문입니다. 조직 관리자만 앱에 앱을 추가할 수 있습니다. 허용 목록에 추가해야 합니다.

FAQ에서 앱을 도메인 전체 설치로 설정하는 방법에 대해 알아보기 애플리케이션에 다음과 같은 권한이 있는 사용자가 있습니다. 회사 계정(다른 Google Workspace 도메인의 회사 계정)을 선택합니다.