Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Kısıtlanmış kapsam doğrulaması

Belirli Google API'leri (Hassas veya Kısıtlı kapsamları kabul edenler), tüketici verilerine erişim izni isteyen uygulamalar için şartlar içerir. Kısıtlı kapsamlarla ilgili bu ek şartlar, uygulamanın izin verilen bir uygulama türü olduğunu göstermesini ve olası bir güvenlik değerlendirmesi de dahil olmak üzere ek incelemelere tabi olmasını gerektirir.

Bir API'de kısıtlanmış kapsamların uygulanabilirliği, büyük ölçüde uygulamanızda alakalı bir özellik sağlamak için gereken erişim derecesine bağlıdır: salt okuma, salt yazma, okuma ve yazma vb.

Bu verilere erişmek için bir Google Hesabı'ndan izin almak üzere OAuth 2.0 kullandığınızda, erişmek istediğiniz veri türünü ve ne kadar erişime ihtiyacınız olduğunu belirtmek için kapsam adı verilen dizeleri kullanırsınız. Uygulamanız hassas veya kısıtlanmış kapsamlar isterse uygulamanızın kullanımı bir istisna için uygun olmadığı sürece doğrulama sürecini tamamlamanız gerekir.

Kısıtlı kapsamların sayısı, hassas kapsamların sayısından daha azdır. OAuth API Doğrulama SSS bölümünde, hassas ve kısıtlı kapsamların güncel listesini bulabilirsiniz. Bu kapsamlar, Google kullanıcı verilerine geniş erişim sağlar ve herhangi bir Google Hesabı'ndan kapsamları istemeden önce kapsam doğrulama sürecinden geçmenizi gerektirir. Bu şartla ilgili bilgi için Google API Hizmetleri: Kullanıcı Verileri Politikası ve Belirli API kapsamları için ek şartlar veya ürüne özel Google Developers sayfasını inceleyin.Kısıtlı kapsam verilerini sunucularda saklar veya iletirseniz güvenlik değerlendirmesini tamamlamanız gerekir.

Kısıtlanmış kapsamları anlama

Uygulamanız kısıtlanmış kapsamlar istiyorsa ve bir istisna için uygun değilse Google API Hizmetleri Kullanıcı Verileri Politikası'ndaki Belirli API kapsamları için ek şartlar'ı veya ürünün Google Developers sayfasındaki ürüne özel şartları karşılamanız gerekir. Bu şartlar daha kapsamlı bir inceleme süreci gerektirir.

Kapsam kullanımınızı anlama

Uygulamanızın kullandığı veya kullanmak istediğiniz kapsamları inceleyin. Mevcut kapsam kullanımınızı bulmak için uygulamanızın kaynak kodunda yetkilendirme istekleriyle gönderilen kapsamları inceleyin.
İstenen her kapsamın, uygulama özelliğinizin amaçlanan işlemleri için gerekli olduğunu ve özelliği sağlamak için gereken en az ayrıcalığı kullandığını belirleyin. Bir Google API'si genellikle uç noktaları için ürünün Google Developers sayfasında referans dokümanlarına sahiptir. Bu dokümanlar, uç noktayı veya belirli özellikleri çağırmak için gereken kapsamı içerir. Uygulamanızın çağırdığı API uç noktaları için gerekli erişim kapsamları hakkında daha fazla bilgi edinmek istiyorsanız bu uç noktaların referans belgelerini okuyun. For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
Bir Google API'sinden aldığınız veriler yalnızca API'nin politikalarına uygun olarak, uygulamanızın işlemlerinde ve gizlilik politikanızda kullanıcılarınıza sunduğunuz şekilde kullanılmalıdır.
Her kapsam ve kapsamın olası durumu hakkında daha fazla bilgi edinmek için API belgelerine bakın.
Uygulamanızın kullandığı tüm kapsamları Cloud Console'daki Veri Erişimi sayfasında beyan edin. Belirttiğiniz kapsamlar, gerekli ek doğrulamaları vurgulamak için hassas veya kısıtlı kategorilerde gruplandırılır.
Entegrasyonunuz tarafından kullanılan verilerle eşleşen en iyi kapsamı bulun, kullanımını anlayın, test ortamında her şeyin hâlâ çalıştığını yeniden onaylayın ve ardından doğrulama için göndermeye hazırlanın.

Uygulamanızın veya yeni kapsam gerektiren yeni özelliklerin lansman planına doğrulamanın tamamlanması için gereken süreyi eklemeyi unutmayın. Bu ek koşullardan biri, uygulamanın bir sunucudan veya sunucu aracılığıyla Google kullanıcı verilerine erişmesi ya da erişme özelliğine sahip olması durumunda geçerlidir. Bu durumlarda sistemin, Google tarafından onaylanmış bağımsız bir üçüncü taraf değerlendirici tarafından yıllık güvenlik değerlendirmesine tabi tutulması gerekir. Bu nedenle, kısıtlanmış kapsamları doğrulama işleminin tamamlanması birkaç hafta sürebilir. Markalama bilgileri, son onaylanan OAuth kullanıcı rızası ekranı doğrulamasından bu yana değiştiyse tüm uygulamaların önce marka doğrulama adımını tamamlaması gerektiğini ve bu adımın genellikle 2-3 iş günü sürdüğünü unutmayın.

İzin verilen uygulama türleri

Belirli uygulama türleri, her ürün için kısıtlanmış kapsamlara erişebilir. Uygulama türlerini ürüne özel Google Geliştirici Sayfası'nda (ör. Gmail API Politikası) bulabilirsiniz.

Uygulama türünüzü anlamak ve belirlemek sizin sorumluluğunuzdadır. Ancak uygulamanızın uygulama türünden gerçekten emin değilseniz uygulamayı doğrulamaya gönderirken Hangi özellikleri kullanacaksınız? sorusu için hiçbir seçenek belirlemeyebilirsiniz. Google API'sinin doğrulama ekibi daha sonra uygulama türünü belirler.

Güvenlik değerlendirmesi

Google kullanıcılarının kısıtlanmış verilerine erişim isteyen ve üçüncü taraf sunucusundan veya üçüncü taraf sunucusu aracılığıyla verilere erişebilen her uygulamanın, Google tarafından yetkilendirilmiş güvenlik denetçilerinin güvenlik değerlendirmesinden geçmesi gerekir. Bu değerlendirme, Google kullanıcı verilerine erişen tüm uygulamaların verileri güvenli bir şekilde işleme ve kullanıcı isteği üzerine kullanıcı verilerini silme özelliğine sahip olduğunu doğrulayarak Google kullanıcılarının verilerinin güvende kalmasına yardımcı olur.

Güvenlik değerlendirmemizi standartlaştırmak için App Defense Alliance ve Cloud Uygulama Güvenliği Değerlendirme Çerçevesi'ni (CASA) kullanırız.

Daha önce belirtildiği gibi, doğrulanmış kısıtlanmış kapsamlara erişimi sürdürmek için uygulamaların, değerlendiricinizin Değerlendirme Mektubu (LOA) onay tarihinden sonra en az 12 ayda bir uyumluluk açısından yeniden doğrulanması ve güvenlik değerlendirmesini tamamlaması gerekir. Uygulamanız yeni bir kısıtlanmış kapsam eklerse daha önceki bir güvenlik değerlendirmesine dahil edilmemişse ek kapsamı kapsayacak şekilde yeniden değerlendirilmesi gerekebilir.

Google inceleme ekibi, uygulamanızın yeniden sertifikalandırılması gerektiğinde size e-posta gönderir. Bu yıllık yaptırım hakkında ekibinizin doğru üyelerinin bilgilendirilmesini sağlamak için Cloud Console projenize ek Google Hesaplarını Sahip veya Düzenleyici olarak bağlayın. Ayrıca, Google Cloud Console OAuth Markalama sayfasında belirtilen kullanıcı desteği ve geliştirici iletişim e-postalarının güncel tutulmasına da yardımcı olur.

Doğrulamaya hazırlanma adımları

Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamaların marka doğrulamasını tamamlamak için aşağıdaki adımları uygulaması gerekir:

Uygulamanızın, Doğrulama şartlarıyla ilgili istisnalar bölümündeki kullanım alanlarından herhangi birine girmediğini onaylayın.
Uygulamanızın, ilişkili API'lerin veya ürünün markalama şartlarına uygun olduğundan emin olun. Örneğin, Google ile Oturum Açma kapsamlarının markalama yönergelerine bakın.
Google Search Console'da projenizin yetkili alan adlarının sahipliğini doğrulayın. API Console projenizle ilişkili bir Google Hesabı'nı Sahip veya Düzenleyici olarak kullanın.
OAuth kullanıcı rızası ekranındaki tüm marka bilgileri (ör. uygulama adı, destek e-postası, ana sayfa URI'si, gizlilik politikası URI'si vb.) uygulamanın kimliğini doğru şekilde temsil etmelidir.

Uygulama ana sayfası koşulları

Ana sayfanızın aşağıdaki koşulları karşıladığından emin olun:

Ana sayfanız yalnızca sitenize giriş yapmış kullanıcılar tarafından değil, herkes tarafından erişilebilir olmalıdır.
Ana sayfanızın, incelenen uygulamayla alaka düzeyi net olmalıdır.
Uygulamanızın Google Play Store'daki girişine veya Facebook sayfasına yönlendiren bağlantılar geçerli uygulama ana sayfaları olarak kabul edilmez.

Uygulamanın gizlilik politikası bağlantısı şartları

Uygulamanızın gizlilik politikasının aşağıdaki koşulları karşıladığından emin olun:

Gizlilik politikası, kullanıcılar tarafından görülebilmeli, uygulamanızın ana sayfasıyla aynı alanda barındırılmalı ve Google API Konsolu'nun OAuth kullanıcı rızası ekranına bağlanmalıdır. Ana sayfanın, uygulamanın işlevselliğinin açıklamasının yanı sıra gizlilik politikası ve isteğe bağlı Hizmet Şartları bağlantılarını içermesi gerektiğini unutmayın.
Gizlilik politikasında, uygulamanızın Google kullanıcı verilerine nasıl eriştiği, bu verileri nasıl kullandığı, depoladığı veya paylaştığı açıklanmalıdır. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. Google kullanıcı verilerini kullanımınızı, yayınlanmış gizlilik politikanızda açıklanan uygulamalarla sınırlamanız gerekir.
Review example cases of privacy policies that don't meet the Limited Use requirements.

Uygulamanızı doğrulamaya gönderme

Google Cloud Console projesi, tüm Cloud Console kaynaklarınızı düzenler. Bir proje, proje işlemlerini gerçekleştirme iznine sahip bir dizi ilişkili Google Hesabı, etkinleştirilmiş bir dizi API ve bu API'lerin faturalandırma, kimlik doğrulama ve izleme ayarlarından oluşur. Örneğin, bir proje bir veya daha fazla OAuth istemcisi içerebilir, bu istemciler tarafından kullanılacak API'leri yapılandırabilir ve kullanıcılar uygulamanıza erişimi yetkilendirmeden önce gösterilen bir OAuth kullanıcı rızası ekranı yapılandırabilir.

OAuth istemcilerinizden herhangi biri üretime hazır değilse bunları doğrulama isteğinde bulunan projeden silmenizi öneririz. Bu işlemi Müşteriler sayfasında yapabilirsiniz.

Doğrulama için göndermek üzere aşağıdaki adımları uygulayın:

Uygulamanızın Google API'leri Hizmet Şartları'na ve Google API Hizmetleri Kullanıcı Verileri Politikası'na uygun olduğundan emin olun.
Projenizin ilişkili hesaplarının sahibi ve düzenleyici rollerini, Cloud Console'da OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini güncel tutun. Bu sayede ekibinizin doğru üyeleri yeni şartlardan haberdar olur.
Cloud Console'daki OAuth Doğrulama Merkezi'ne gidin.
Proje seçici düğmesini tıklayın.
Görünen Select from (Şuradan seçin) iletişim kutusunda projenizi seçin. Projenizi bulamıyorsanız ancak proje kimliğinizi biliyorsanız tarayıcınızda aşağıdaki biçimde bir URL oluşturabilirsiniz:
```
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
```
[PROJECT_ID] kısmını, kullanmak istediğiniz proje kimliğiyle değiştirin.
Uygulamayı Düzenle düğmesini seçin.
OAuth kullanıcı rızası ekranı sayfasında gerekli bilgileri girin ve Kaydet ve devam et düğmesini seçin.
Uygulamanızın istediği tüm kapsamları tanımlamak için Kapsam ekleme veya kaldırma düğmesini kullanın. Google ile Oturum Açma için gerekli olan ilk kapsam grubu, Hassas olmayan kapsamlar bölümünde önceden doldurulur. Eklenen kapsamlar hassas olmayan olarak sınıflandırılır. <a href="/identity/protocols/oauth2/production-readiness/sensitive-scope-verification"

sensitive, or restricted.
Uygulamanızdaki ilgili özelliklerle ilgili tüm belgeler için en fazla üç bağlantı sağlayın.
Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.
1. Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
2. Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
3. If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.
4. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.
  1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
  2. Show that the OAuth consent screen correctly displays the App Name.
  3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
  4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
  5. If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
5. Select your permitted application type from the "What features will you use?" list.
6. Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
Sağladığınız uygulama yapılandırması doğrulama gerektiriyorsa uygulamayı doğrulamaya gönderebilirsiniz. Gerekli alanları doldurup Gönder'i tıklayarak doğrulama sürecini başlatın.

Uygulamanızı gönderdikten sonra Google'ın Güven ve Güvenlik ekibi, ihtiyaç duyduğu ek bilgiler veya tamamlamanız gereken adımlar hakkında e-posta yoluyla sizinle iletişime geçer. Ek bilgi istekleri için Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth onay ekranınızın destek e-posta adresini kontrol edin. Ayrıca, yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı da dahil olmak üzere projenizin mevcut inceleme durumunu onaylamak için projenizin OAuth kullanıcı rızası ekranı sayfasını da görüntüleyebilirsiniz.

Doğrulama koşullarıyla ilgili istisnalar

Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa incelemeye göndermeniz gerekmez.

Kişisel kullanım

Uygulamanızın tek kullanıcısıysanız veya uygulamanız yalnızca birkaç kullanıcı tarafından kullanılıyorsa (bu kullanıcıların hepsini şahsen tanıyorsanız) bu yöntem kullanılabilir. Siz ve sınırlı sayıdaki kullanıcılarınız, doğrulanmamış uygulama ekranında ilerleyip kişisel hesaplarınızın uygulamanıza erişmesine izin vermeyi tercih edebilirsiniz.

Geliştirme, test veya hazırlık katmanlarında kullanılan projeler

Google OAuth 2.0 Politikaları'na uymak için test ve üretim ortamları için farklı projelerinizin olmasını öneririz. Uygulamanızı yalnızca Google Hesabı olan tüm kullanıcıların kullanımına sunmak istiyorsanız doğrulama için göndermenizi öneririz. Bu nedenle, uygulamanız geliştirme, test veya hazırlık aşamasındaysa doğrulama gerekli değildir.

Uygulamanız geliştirme veya test aşamasındaysa Yayınlanma Durumu'nu Test varsayılan ayarında bırakabilirsiniz. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca test kullanıcıları listesine eklediğiniz kullanıcılar tarafından kullanılabildiği anlamına gelir. Uygulamanızın geliştirilmesine veya test edilmesine dahil olan Google Hesapları listesini yönetmeniz gerekir.

Google'ın, test aşamasındaki bir uygulamayı doğrulamadığına dair uyarı mesajı. — **Şekil 1.** Test kullanıcısı uyarı ekranı

Yalnızca hizmete ait veriler

Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve herhangi bir kullanıcı verisine (Google Hesabı'na bağlı) erişmiyorsa doğrulama için göndermeniz gerekmez.

Hizmet hesaplarının ne olduğunu anlamak için Google Cloud dokümanlarındaki Hizmet hesapları bölümüne bakın. Hizmet hesabının nasıl kullanılacağıyla ilgili talimatlar için Sunucudan sunucuya uygulamalar için OAuth 2.0'ı kullanma bölümüne bakın.

Yalnızca dahili kullanım

Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kullanıcılar tarafından kullanıldığı anlamına gelir. Proje kuruluşa ait olmalı ve OAuth kullanıcı rızası ekranı Dahili kullanıcı türü için yapılandırılmalıdır. Bu durumda, uygulamanızın bir kuruluş yöneticisi tarafından onaylanması gerekebilir. Daha fazla bilgi için Google Workspace ile ilgili ek dikkat edilmesi gerekenler başlıklı makaleyi inceleyin.

Herkese açık ve dahili uygulamalar hakkında daha fazla bilgi edinin.
Uygulamanızı dahili olarak nasıl işaretleyeceğinizi SSS bölümündeki Uygulamamı nasıl yalnızca dahili olarak işaretleyebilirim? başlıklı makaleden öğrenebilirsiniz.

Alan genelinde yükleme

Uygulamanızın yalnızca Google Workspace veya Cloud Identity kuruluşlarının kullanıcılarını hedeflemesini ve her zaman alan genelinde kurulum kullanılmasını planlıyorsanız uygulamanızın marka doğrulaması yapması gerekmez. Ancak uygulamanız kısıtlanmış veya hassas kapsamlar kullanıyorsa uygulama doğrulaması gerekir. Bunun nedeni, alan genelinde kurulumun bir alan yöneticisinin üçüncü taraf ve dahili uygulamalara kullanıcılarınızın verilerine erişim izni vermesine olanak tanımasıdır. Kuruluş yöneticileri, uygulamayı kendi alanlarında kullanılmak üzere izin verilenler listesine ekleyebilen tek hesaplardır.

Uygulamanızı alan genelinde yükleme haline getirme hakkında bilgi edinmek için SSS bölümüne bakın. Uygulamamda başka bir Google Workspace alanından kurumsal hesapları olan kullanıcılar var.