Kısıtlanmış kapsam doğrulaması

Belirli Google API'leri ( Hassas veya Kısıtlanmış kapsamları kabul edenler), tüketici verilerine erişim izni isteyen uygulamalar için şartlara sahiptir. Bu kısıtlanmış kapsamlar için ek şartlar, uygulamaların izin verilen bir uygulama türü olduğunu göstermesini ve olası bir güvenlik değerlendirmesini içeren ek incelemelere tabi tutulmasını gerektirir.

Kısıtlanmış kapsamların bir API'de uygulanabilirliği büyük ölçüde uygulamanızda alakalı bir özellik sağlamak için gereken erişim derecesine (ör. salt okuma, salt yazma, okuma ve yazma) bağlıdır.

Bir Google Hesabından bu verilere erişmek için izin almak üzere OAuth 2.0'ı kullandığınızda, erişmek istediğiniz veri türünü ve ne kadar erişime ihtiyacınız olduğunu belirtmek için kapsamlar adlı dizeleri kullanırsınız. Uygulamanız hassas veya kısıtlanmış kapsamlar istiyorsa uygulamanızın kullanımı istisna kapsamında olmadığı sürece doğrulama sürecini tamamlamanız gerekir.

Kısıtlanmış kapsamların sayısı, hassas kapsamlara kıyasla daha azdır. Hassas ve Kısıtlanmış kapsamların güncel listesi Doğrulama: OAuth API Doğrulama ile İlgili SSS başlıklı makalede yer almaktadır. Bu kapsamlar, Google kullanıcı verilerine geniş erişim sağlar ve herhangi bir Google Hesabı'ndan kapsam isteğinde bulunmadan önce bir kapsam doğrulama sürecinden geçmenizi gerektirir. Bu şart hakkında bilgi edinmek için Google API Hizmetleri Kullanıcı Verileri Politikası ve Belirli API kapsamları için ek şartlar başlıklı makaleyi veya ürüne özel Google geliştirici sayfasını inceleyin. Kısıtlanmış kapsamdaki verileri sunucularda depolıyor veya aktarıyorsanız bir güvenlik değerlendirmesi tamamlamanız gerekir.

Kısıtlanmış kapsamları anlama

Uygulamanız kısıtlanmış kapsamlar talep ediyorsa ve istisna kapsamına girmiyorsa Google API Hizmetleri Kullanıcı Verileri Politikası'nın Belirli API Kapsamları İçin Ek Gereksinimler'ini veya ürünün Google Geliştirici Sayfası'ndaki ürüne özgü şartları karşılamanız gerekir. Bu işlem daha kapsamlı bir inceleme sürecini gerektirir.

Kapsam kullanımınızı anlama

  • Uygulamanızın kullandığı veya kullanmak istediğiniz kapsamları inceleyin. Mevcut kapsam kullanımınızı bulmak için uygulamanızın kaynak kodunda, yetkilendirme istekleriyle gönderilen kapsamları inceleyin.
  • İstenen her kapsamın, uygulama özelliğinizin amaçlanan işlemleri için gerekli olduğundan ve özelliği sağlamak için gereken en az ayrıcalığı kullandığından emin olun. Bir Google API'nin uç noktaları için genellikle ürünün Google geliştirici sayfasında referans dokümanları bulunur. Bu dokümanlar, uç noktayı veya içindeki belirli özellikleri çağırmak için gereken kapsamı içerir. Uygulamanızın çağırdığı API uç noktaları için gerekli erişim kapsamları hakkında daha fazla bilgi edinmek isterseniz bu uç noktaların referans dokümanlarını okuyun. For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
  • Bir Google API'sinden aldığınız veriler yalnızca API'nin politikalarına uygun şekilde ve uygulamanızın işlemlerinde ve gizlilik politikanızda kullanıcılarınıza sunduğunuz şekilde kullanılmalıdır.
  • Olası sensitive or restricted durumu da dahil olmak üzere her kapsam hakkında daha fazla bilgi edinmek için API belgelerine bakın.
  • Uygulamanızın kullandığı tüm kapsamları 'nin bölümünde beyan edin. Belirttiğiniz kapsamlar, gerekli olan ek doğrulamaları vurgulamak için hassas veya kısıtlı kategoriler halinde gruplandırılır.
  • Entegrasyonunuz tarafından kullanılan verilerle eşleşen en iyi kapsamı bulun, kapsamın kullanımını anlayın, test ortamında her şeyin çalışmaya devam ettiğini yeniden doğrulayın ve ardından doğrulama için göndermeye hazırlanın.

Uygulamanız veya yeni kapsam gerektiren yeni özellikleriniz için lansman planınızda doğrulamanın tamamlanması için gereken süreyi hesaba kattığınızdan emin olun. Bu ek şartlardan biri, uygulamanın bir sunucudan veya sunucu üzerinden Google kullanıcı verilerine erişmesi ya da erişme yeteneğine sahip olması durumunda ortaya çıkar. Bu durumlarda, sistem Google tarafından onaylanmış bağımsız bir üçüncü taraf değerlendirici tarafından yıllık güvenlik değerlendirmesine tabi tutulmalıdır. Bu nedenle, kısıtlanmış kapsamları doğrulama işleminin tamamlanması birkaç hafta sürebilir. Onaylanan son OAuth izin ekranı doğrulamasından bu yana marka bilgileri değiştiyse tüm uygulamaların önce marka doğrulama adımını tamamlaması gerektiğini unutmayın. Bu işlem genellikle 2-3 iş günü sürer.

İzin verilen uygulama türleri

Belirli uygulama türleri her ürün için kısıtlanmış kapsamlara erişebilir. Uygulama türlerini, ürüne özel Google geliştirici sayfasında (ör. Gmail API Politikası) bulabilirsiniz.

Uygulama türünüzü anlamak ve belirlemek sizin sorumluluğunuzdadır. Ancak uygulamanızın uygulama türünden emin değilseniz doğrulama için uygulamayı gönderirken Hangi özellikleri kullanacaksınız? sorusuna hiçbir seçenek işaretlemeyebilirsiniz. Ardından Google API'nin doğrulama ekibi, uygulama türünü belirler.

Güvenlik değerlendirmesi

Google kullanıcılarının kısıtlanmış verilerine erişim isteyen ve üçüncü taraf sunucusundan veya üzerinden verilere erişebilen her uygulama, Google tarafından yetkilendirilmiş güvenlik denetçilerinin güvenlik değerlendirmesinden geçmelidir. Bu değerlendirme, Google kullanıcı verilerine erişen tüm uygulamaların verileri güvenli bir şekilde işleyebildiğini ve kullanıcının isteği üzerine kullanıcı verilerini sildiğini doğrulayarak Google kullanıcılarının verilerinin güvende kalmasına yardımcı olur.

Güvenlik değerlendirmemizi standartlaştırmak için App Defense Alliance ve bulut uygulama güvenlik değerlendirmesi çerçevesini (CASA) kullanırız.

Daha önce de belirtildiği gibi, doğrulanmış kısıtlanmış kapsamlara erişimi korumak için uygulamaların, uygunluk açısından yeniden doğrulanması ve değerlendiricinizin Değerlendirme Mektubu'nun (LOA) onay tarihinden itibaren en az 12 ayda bir güvenlik değerlendirmesi tamamlanması gerekir. Uygulamanız yeni bir kısıtlanmış kapsam eklerse önceki bir güvenlik değerlendirmesine dahil edilmemişse ek kapsamı kapsayacak şekilde uygulamanızın yeniden değerlendirilmesi gerekebilir.

Google inceleme ekibi, uygulamanızın yeniden sertifika almasının zamanı geldiğinde size e-posta gönderir. Ekibinizin doğru üyelerinin bu yıllık yaptırımla ilgili bilgilendirilmesini sağlamak için projenizle Sahibi veya Düzenleyici olarak ek Google Hesapları ilişkilendirin. Ayrıca, Google OAuth 'ta belirtilen kullanıcı desteği ve geliştirici iletişim e-postalarının güncel tutulmasına da yardımcı olur.

Doğrulamaya hazırlanma adımları

Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamaların marka doğrulamasını tamamlamak amacıyla aşağıdaki adımları uygulaması gerekir:

  1. Uygulamanızın, Doğrulama şartlarındaki istisnalar bölümündeki kullanım alanlarından hiçbirine girmediğini onaylayın.
  2. Uygulamanızın, ilişkili API'lerin veya ürünün markalaşma koşullarına uyduğundan emin olun. Örneğin, Google ile oturum açma kapsamları için markalama kurallarına bakın.
  3. Google Search Console'da projenizin yetkilendirilmiş alan adlarının sahipliğini doğrulayın. Sahibi veya düzenleyici olarak API Console projenizle ilişkili bir Google Hesabı kullanın.
  4. OAuth izin ekranındaki tüm marka bilgilerinin (ör. uygulama adı, destek e-postası, ana sayfa URI'si, gizlilik politikası URI'si vb.) uygulamanın kimliğini doğru şekilde yansıttığından emin olun.

Uygulama ana sayfası koşulları

Ana sayfanızın aşağıdaki koşulları karşıladığından emin olun:

  • Ana sayfanız, yalnızca sitenizde oturum açmış kullanıcıların erişimine açık değil, herkese açık olmalıdır.
  • Ana sayfanızı incelediğimiz uygulamayla alaka düzeyi net olmalıdır.
  • Uygulamanızın Google Play Store'daki girişinin veya Facebook sayfasının bağlantıları geçerli uygulama ana sayfaları olarak kabul edilmez.

Uygulamanın gizlilik politikası bağlantısı şartları

Uygulamanızın gizlilik politikasının aşağıdaki koşulları karşıladığından emin olun:

  • Gizlilik politikası, kullanıcılar tarafından görülebilmeli, uygulamanızın ana sayfasıyla aynı alanda barındırılmalı ve Google API Console'ın OAuth izin ekranında bağlantılı olmalıdır. Ana sayfanın, uygulamanın işlevinin açıklamasının yanı sıra gizlilik politikasının ve isteğe bağlı hizmet şartlarının bağlantılarını içermesi gerektiğini unutmayın.
  • Gizlilik politikası, uygulamanızın Google kullanıcı verilerine erişme, bu verileri kullanma, kaydetme veya paylaşma şeklini açıklamalıdır. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. Google kullanıcı verilerini kullanımınızı, yayınladığınız gizlilik politikanızda açıklanan uygulamalarla sınırlamanız gerekir.
  • Review example cases of privacy policies that don't meet the Limited Use requirements.

Uygulamanızı doğrulamaya gönderme

Projesi, tüm kaynaklarınızı düzenler. Projeler, proje işlemlerini gerçekleştirme iznine sahip bir dizi ilişkilendirilmiş Google Hesabı, etkin API'ler ve bu API'ler için faturalandırma, kimlik doğrulama ve izleme ayarlarından oluşur. Örneğin, bir proje bir veya daha fazla OAuth istemcisi içerebilir, API'leri bu istemciler tarafından kullanılmak üzere yapılandırabilir ve uygulamanıza erişim yetkisi vermeden önce kullanıcılara gösterilen bir OAuth izin ekranı yapılandırabilir.

OAuth istemcilerinizden herhangi biri üretime hazır değilse doğrulama isteyen projeden silmenizi öneririz. Bunu bölümünde yapabilirsiniz.

Doğrulama için göndermek üzere aşağıdaki adımları uygulayın:

  1. Uygulamanızın Google API'leri Hizmet Şartları'na ve Google API Hizmetleri Kullanıcı Verileri Politikası'na uygun olduğundan emin olun.
  2. Projenizin ilişkili hesaplarının sahip ve düzenleyici rollerini, OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini hesabınızda güncel tutun. Böylece, yeni şartlardan ekibinizdeki doğru üyelerin haberdar edilmesi sağlanır.
  3. OAuth 'a gidin.
  4. Proje seçici düğmesini tıklayın.

  5. Görünen Şunlardan birini seçin iletişim kutusunda projenizi seçin. Projenizi bulamıyor ancak proje kimliğinizi biliyorsanız tarayıcınızda aşağıdaki biçimde bir URL oluşturabilirsiniz:

    ?project=[PROJECT_ID]

    [PROJECT_ID] yerine kullanmak istediğiniz proje kimliğini yazın.

  6. Uygulamayı Düzenle düğmesini seçin.
  7. OAuth kullanıcı rızası ekranı sayfasında gerekli bilgileri girin ve Kaydet ve devam et düğmesini seçin.
  8. Uygulamanızın istediği tüm kapsamları beyan etmek için Kapsam ekle veya kaldır düğmesini kullanın. Google ile Oturum Açma için gerekli olan ilk kapsam grubu, Hassas olmayan kapsamlar bölümünde önceden doldurulur. Eklenen kapsamlar hassas olmayan olarak sınıflandırılır, sensitive, or restricted.
  9. Uygulamanızdaki ilgili özelliklerle ilgili en fazla üç doküman bağlantısı sağlayın.

  10. Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.

    1. Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
    2. Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
    3. If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.

    4. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
      5. If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
    5. Select your permitted application type from the "What features will you use?" list.
    6. Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
  11. Sağladığınız uygulama yapılandırması doğrulama gerektiriyorsa uygulamayı doğrulama için gönderebilirsiniz. Zorunlu alanları doldurun ve doğrulama sürecini başlatmak için Gönder'i tıklayın.

Uygulamanızı gönderdikten sonra Google'ın Güven ve Güvenlik Ekibi, ihtiyaç duydukları ek bilgileri veya tamamlamanız gereken adımları e-postayla iletir. Ek bilgi isteklerine yönelik olarak Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth izin ekranınızın destek e-posta adresini kontrol edin. Yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı da dahil olmak üzere projenizin mevcut inceleme durumunu onaylamak için projenizin OAuth izin ekranı sayfasını da görüntüleyebilirsiniz.

Doğrulama koşullarındaki istisnalar

Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa incelenmesi için göndermeniz gerekmez.

Kişisel kullanım

Örneğin, uygulamanızın tek kullanıcısı sizseniz veya uygulamanız yalnızca birkaç kullanıcı tarafından kullanılıyorsa ve bu kullanıcıların tümü sizin tanıdığınız kişilerse bu yöntemi kullanabilirsiniz. Sınırlı sayıda kullanıcınız varsa doğrulanmamış uygulama ekranını geçip kişisel hesaplarınızın uygulamanıza erişmesine izin verebilirsiniz.

Geliştirme, test veya hazırlık aşamalarında kullanılan projeler

Google OAuth 2.0 Politikaları'na uymak için test ve üretim ortamları için farklı projeleriniz olmasını öneririz. Uygulamanızı yalnızca Google Hesabı olan tüm kullanıcıların kullanımına sunmak istiyorsanız doğrulamaya göndermenizi öneririz. Bu nedenle, uygulamanız geliştirme, test veya hazırlık aşamasındaysa doğrulama gerekmez.

Uygulamanız geliştirme veya test aşamasındaysa Yayınlanma Durumu'nu Test varsayılan ayarında bırakabilirsiniz. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca test kullanıcıları listesine eklediğiniz kullanıcılar tarafından kullanılabileceği anlamına gelir. Uygulamanızın geliştirilmesi veya test edilmesiyle ilgili Google Hesapları listesini yönetmeniz gerekir.

Google'ın test aşamasındaki bir uygulamayı doğrulamadığını belirten uyarı mesajı.
Şekil 1. Test kullanıcısı uyarı ekranı

Yalnızca hizmete ait veriler

Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve herhangi bir kullanıcı verisi (Google Hesabı'na bağlı) erişmiyorsa doğrulama için göndermeniz gerekmez.

Hizmet hesaplarının ne olduğunu anlamak için Google Cloud dokümanlarında Hizmet hesapları bölümüne bakın. Hizmet hesabının nasıl kullanılacağıyla ilgili talimatlar için Sunucudan sunucuya uygulamalar için OAuth 2.0'ı kullanma başlıklı makaleyi inceleyin.

Yalnızca dahili kullanım

Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kullanıcılar tarafından kullanılacağı anlamına gelir. Projenin sahibi kuruluş olmalıdır ve OAuth izin ekranının dahili kullanıcı türü için yapılandırılması gerekir. Bu durumda, uygulamanızın bir kuruluş yöneticisi tarafından onaylanması gerekebilir. Daha fazla bilgi için Google Workspace ile ilgili ek dikkat edilmesi gereken noktalar başlıklı makaleyi inceleyin.

Alan genelinde yükleme

Uygulamanızın yalnızca bir Google Workspace veya Cloud Identity kuruluşunun kullanıcılarını hedeflemesini planlıyorsanız ve her zaman alan genelinde kurulum kullanıyorsanız uygulamanız için uygulama doğrulaması gerekmez. Bunun nedeni, alan genelindeki bir kurulumun, alan yöneticisinin üçüncü taraf ve dahili uygulamalara kullanıcılarınızın verilerine erişim izni vermesine olanak tanımasıdır. Uygulamayı, alan adlarında kullanmak üzere izin verilenler listesine ekleyebilen tek hesaplar kuruluş yöneticileridir.

Uygulamanızı nasıl alan genelinde yükleme yapacağınızı Uygulamam başka bir Google Workspace alanından kurumsal hesapları olan kullanıcılara sahip başlıklı SSS bölümünden öğrenebilirsiniz.