Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Verificação de escopo sensível

Se o app pedir permissão para usar as APIs do Google para acessar dados de usuários do Google, talvez seja necessário concluir um processo de verificação antes de disponibilizar o app publicamente pela primeira vez.

Se esse requisito se aplica ao seu app, depende principalmente de dois fatores:

O tipo de dados do usuário que você acessa: informações de perfil público, entradas de agenda, arquivos no Drive, determinados dados de saúde e condicionamento físico etc.
O grau de acesso necessário: somente leitura, leitura e gravação etc.

Quando você usa o OAuth 2.0 para receber permissão de uma Conta do Google para acessar os dados dela, você usa strings chamadas escopos para especificar o tipo de dados que quer acessar em nome dela. Se o app solicitar escopos categorizados como sensíveis ou restritos, provavelmente será necessário concluir o processo de verificação, a menos que o uso do app se qualifique para uma exceção.

Exemplos de escopos sensíveis incluem a leitura de eventos armazenados no Google Agenda, o armazenamento de um novo contato no Contatos do Google ou a exclusão de um vídeo do YouTube. Para mais informações sobre os escopos disponíveis e as classificações deles, consulte a documentação de referência dos endpoints da API chamados pelo app e qualquer guia de autorização relacionado publicado para a API.

Você precisa solicitar escopos que exigem o mínimo de acesso aos dados do usuário necessário para fornecer essa funcionalidade. Por exemplo, um app que apenas lê dados não pode solicitar acesso para ler, gravar e excluir conteúdo quando um escopo mais restrito estiver disponível para a API e os endpoints relacionados. Os dados recebidos de uma API do Google só podem ser usados em conformidade com as políticas da API e da maneira que você representa aos usuários nas ações do app e na Política de Privacidade.

Considere o tempo necessário para concluir a verificação no plano de lançamento do app ou de novos recursos que exigem um novo escopo. O processo de verificação de escopo sensível pode levar até 10 dias para ser concluído. Observe que seu app pode se qualificar para concluir a verificação de marca como um subconjunto da solicitação de verificação de escopo sensível.

Entender escopos sensíveis

Os escopos sensíveis exigem análise do Google antes que qualquer Conta do Google possa conceder acesso. Os administradores da organização do Google Workspace podem restringir o acesso a escopos sensíveis para impedir o acesso por IDs de cliente OAuth que a organização não marca explicitamente como confiáveis.

Entender o uso do escopo

Analise os escopos que o app usa ou que você quer usar. Para encontrar o uso de escopo atual, examine o código-fonte do app para encontrar escopos enviados com solicitações de autorização.
Determine se cada escopo solicitado é necessário para as ações pretendidas do recurso do app e usa o mínimo de privilégio necessário para fornecer o recurso. Uma API do Google geralmente tem documentação de referência na página do Google Developers do produto para os endpoints, que inclui o escopo necessário para chamar o endpoint ou propriedades específicas. Para mais informações sobre os escopos de acesso necessários para os endpoints da API que o app chama, leia a documentação de referência desses endpoints.
Os dados recebidos de uma API do Google só podem ser usados em conformidade com as políticas de API e da maneira que você representa aos usuários nas ações do app e na Política de Privacidade.
Consulte a documentação da API para saber mais sobre cada escopo, incluindo o status potencial .
Declare todos os escopos usados pelo app na página Acesso a dados do Cloud Console. Os escopos especificados são agrupados em categorias sensíveis ou restritas para destacar qualquer verificação adicional necessária.
Encontre o melhor escopo que corresponda aos dados usados pela integração, entenda o uso dele, confirme novamente que tudo ainda funciona em um ambiente de teste e prepare-se para enviar para verificação.

Uma tabela mostra o nome de uma API, um dos escopos sensíveis dela e uma descrição do que o escopo abrange. — **Figura 1.** Um exemplo de escopo sensível mostrado na página de escopos de configuração da tela de permissão OAuth.

Etapas para se preparar para a verificação

Todos os apps que usam as APIs do Google para solicitar acesso a dados precisam seguir estas etapas para concluir a verificação de marca:

Confirme se o app não se enquadra em nenhum dos casos de uso na seção Exceções aos requisitos de verificação.
Verifique se o app obedece aos requisitos de marca das APIs ou do produto associado. Por exemplo, consulte as diretrizes de marca para escopos do Login do Google.
Verifique a propriedade dos domínios autorizados do projeto no Google Search Console. Use uma Conta do Google associada ao projeto do Console de APIs como proprietário ou editor.
Verifique se todas as informações de marca na tela de permissão OAuth, como nome do app, e-mail de suporte , URI da página inicial, URI da Política de Privacidade etc., representam com precisão a identidade do app.

Requisitos da página inicial do aplicativo

Verifique se a página inicial atende aos seguintes requisitos:

A página inicial precisa ser acessível publicamente, e não apenas para usuários conectados ao site.
A relevância da página inicial para o app em revisão precisa ser clara.
Links para a página do app na Google Play Store ou na página do Facebook não são considerados páginas iniciais de aplicativos válidas.

Requisitos do link da Política de Privacidade do aplicativo

Verifique se a Política de Privacidade do app atende aos seguintes requisitos:

A Política de Privacidade precisa estar visível para os usuários, hospedada no mesmo domínio da página inicial do aplicativo e vinculada à tela de permissão OAuth do Console de APIs do Google. A página inicial precisa incluir uma descrição da funcionalidade do app, bem como links para a Política de Privacidade e os Termos de Serviço opcionais.
A Política de Privacidade precisa divulgar a maneira como o aplicativo acessa, usa, armazena ou compartilha dados do usuário do Google. Você precisa limitar o uso de dados do usuário do Google às práticas divulgadas na Política de Privacidade publicada.

Como enviar o app para verificação

Um projeto do Console do Google Cloud organiza todos os seus recursos do Console do Cloud. Um projeto consiste em um conjunto de Contas do Google associadas que têm permissão para realizar operações de projeto, um conjunto de APIs ativadas e configurações de faturamento, autenticação e monitoramento dessas APIs. Por exemplo, um projeto pode conter um ou mais clientes OAuth, configurar APIs para uso por esses clientes e configurar uma tela de permissão OAuth mostrada aos usuários antes que eles autorizem o acesso ao app.

Se algum dos clientes OAuth não estiver pronto para produção, sugerimos que você os exclua do projeto que está solicitando a verificação. É possível fazer isso na página "Clientes".

Para enviar para verificação, siga estas etapas:

Verifique se o app obedece aos Termos de Serviço das APIs do Google e à Política de dados do usuário dos serviços de API do Google.
Mantenha as funções de proprietário e editor das contas associadas do projeto atualizadas, bem como o e-mail de suporte ao usuário e as informações de contato do desenvolvedor da tela de permissão OAuth no Cloud Console. Isso garante que os membros corretos da sua equipe sejam notificados sobre novos requisitos.
Acesse a Central de verificação do OAuth do Cloud Console .
Clique no botão Seletor de projetos.
Na caixa de diálogo Selecionar em que aparece, selecione o projeto. Se você não encontrar seu projeto, mas souber o ID do projeto, poderá criar um URL no navegador neste formato:
```
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
```
Substitua [PROJECT_ID] pelo ID do projeto que você quer usar.
Selecione o botão Editar app.
Insira as informações necessárias na página da tela de permissão OAuth e selecione o botão Salvar e continuar.
Use o botão Adicionar ou remover escopos para declarar todos os escopos solicitados pelo app. Um conjunto inicial de escopos necessários para o Login do Google é preenchido automaticamente na seção Escopos não sensíveis. Os escopos adicionados são classificados como não sensíveis, sensitive, or <a href="/identity/protocols/oauth2/production-readiness/restricted-scope-verification"

restricted.
Forneça até três links para qualquer documentação relevante de recursos relacionados no app.
Forneça outras informações solicitadas sobre o app nas etapas seguintes.
1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."
2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.
  1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
  2. Show that the OAuth consent screen correctly displays the App Name.
  3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
  4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
Se a configuração do app fornecida exigir verificação, você terá a oportunidade de enviar o app para verificação. Preencha os campos obrigatórios e clique em Enviar para iniciar o processo de verificação.

Depois de enviar o app, a equipe de confiança e segurança do Google entrará em contato por e-mail com outras informações necessárias ou etapas que você precisa concluir. Verifique seus endereços de e-mail na Informações de contato do desenvolvedor seção e o e-mail de suporte da tela de permissão OAuth para solicitações de mais informações. Você também pode acessar a página da tela de permissão OAuth do projeto para confirmar o status atual da análise, incluindo se o processo de análise está pausado enquanto aguardamos sua resposta.

Exceções aos requisitos de verificação

Se o app for usado em um dos cenários descritos nas seções a seguir, você não precisará enviá-lo para análise.

Uso pessoal

Um caso de uso é quando você é o único usuário do app ou quando ele é usado por apenas alguns usuários, todos conhecidos pessoalmente. Você e o número limitado de usuários podem se sentir à vontade para avançar na tela de app não verificado e conceder às suas contas pessoais acesso ao app.

Projetos usados em níveis de desenvolvimento, teste ou preparação

Para obedecer às políticas do OAuth 2.0 do Google, recomendamos que você tenha projetos diferentes para ambientes de teste e produção. Recomendamos que você só envie o app para verificação se quiser disponibilizá-lo para qualquer usuário com uma Conta do Google. Portanto, se o app estiver nas fases de desenvolvimento, teste ou preparação, a verificação não será necessária.

Se o app estiver nas fases de desenvolvimento ou teste, você poderá deixar o status de publicação na configuração padrão de Teste. Essa configuração significa que o app ainda está em desenvolvimento e só está disponível para os usuários que você adicionar à lista de usuários de teste. Você precisa gerenciar a lista de Contas do Google envolvidas no desenvolvimento ou teste do app.

Mensagem de aviso informando que o Google não verificou um app em teste. — **Figura 2.** Tela de aviso do testador

Somente dados de serviço

Se o app usar uma conta de serviço para acessar apenas os próprios dados e não acessar dados do usuário (vinculados a uma Conta do Google), não será necessário enviar para verificação.

Para entender o que são contas de serviço, consulte Contas de serviço na documentação do Google Cloud. Para instruções sobre como usar uma conta de serviço, consulte Como usar o OAuth 2.0 para aplicativos de servidor para servidor aplicativos.

Somente para uso interno

Isso significa que o app é usado apenas por pessoas na sua organização do Google Workspace ou do Cloud Identity organization. O projeto precisa ser de propriedade da organização, e a tela de permissão OAuth precisa ser configurada para um Interno tipo de usuário. Nesse caso, o app pode precisar da aprovação de um administrador da organização. Para mais informações, consulte Considerações adicionais para o Google Workspace.

Saiba mais sobre aplicativos públicos e internos.
Saiba como marcar seu app como interno nas Perguntas frequentes Como posso marcar meu app como somente para uso interno?

Instalação em todo o domínio

Se você planeja que o app seja destinado apenas a usuários de uma organização do Google Workspace ou do Cloud Identity e sempre use a instalação em todo o domínio, o app não vai exigir a verificação de marca. No entanto, se o app usar escopos restritos ou sensíveis, a verificação de apps será necessária. Isso ocorre porque uma instalação em todo o domínio permite que um administrador de domínio conceda a aplicativos internos e de terceiros acesso aos dados dos usuários. Os administradores da organização são as únicas contas que podem adicionar o app a uma lista de permissões para uso nos domínios.

Saiba como fazer do seu app uma instalação em todo o domínio nas Perguntas frequentes Meu aplicativo tem usuários com contas corporativas de outro domínio do Google Workspace.