การยืนยันขอบเขตที่ละเอียดอ่อน

หากแอปขอสิทธิ์ใช้ Google APIs เพื่อเข้าถึงข้อมูลของผู้ใช้ Google คุณอาจต้องทำตามกระบวนการยืนยันให้เสร็จสมบูรณ์ก่อนที่จะเปิดตัวแอปต่อสาธารณะเป็นครั้งแรก

ข้อกำหนดนี้จะมีผลกับแอปของคุณหรือไม่นั้นขึ้นอยู่กับปัจจัย 2 ข้อเป็นหลัก ดังนี้

1. ประเภทข้อมูลผู้ใช้ที่คุณเข้าถึง เช่น ข้อมูลโปรไฟล์สาธารณะ รายการในปฏิทิน ไฟล์ในไดรฟ์ ข้อมูลสุขภาพและการออกกำลังกายบางอย่าง เป็นต้น
2. ระดับการเข้าถึงที่คุณต้องการ เช่น อ่านอย่างเดียว อ่านและเขียน เป็นต้น

เมื่อคุณใช้ OAuth 2.0 เพื่อขอสิทธิ์จากบัญชี Google ในการเข้าถึงข้อมูล คุณจะใช้สตริงที่เรียกว่า ขอบเขต เพื่อระบุประเภทข้อมูลที่ต้องการเข้าถึงในนามของบัญชี หากแอปขอขอบเขตที่จัดอยู่ในหมวดหมู่ ละเอียดอ่อน หรือ จำกัด คุณอาจต้องทำตามกระบวนการยืนยันให้เสร็จสมบูรณ์ เว้นแต่การใช้แอปของคุณ จะมีคุณสมบัติตรงตาม ข้อยกเว้น

ตัวอย่างขอบเขตที่ละเอียดอ่อน ได้แก่ การอ่านกิจกรรมที่จัดเก็บไว้ใน Google ปฏิทิน การจัดเก็บรายชื่อติดต่อใหม่ใน Google Contacts หรือการลบวิดีโอ YouTube ดูข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตที่มีและการจัดประเภทขอบเขตได้ที่เอกสารอ้างอิงของปลายทาง API ที่แอปของคุณเรียกใช้และคู่มือการให้สิทธิ์ที่เกี่ยวข้องซึ่งเผยแพร่สำหรับ API

คุณต้อง ขอขอบเขตที่ต้องใช้สิทธิ์เข้าถึงข้อมูลผู้ใช้ในระดับน้อยที่สุด ที่จำเป็นต่อการให้บริการฟังก์ชันการทำงานนั้น ตัวอย่างเช่น แอปที่อ่านข้อมูลเท่านั้นจะต้องไม่ขอสิทธิ์เข้าถึงในการอ่าน เขียน และลบเนื้อหาเมื่อมีขอบเขตที่แคบกว่าสำหรับ API และปลายทางที่เกี่ยวข้อง คุณต้องใช้ข้อมูลที่ได้รับจาก Google API ตามนโยบายของ API เท่านั้น และใช้ในลักษณะที่คุณแจ้งให้ผู้ใช้ทราบในการดำเนินการของแอปและในนโยบายความเป็นส่วนตัว

อย่าลืมพิจารณาเวลาที่ต้องใช้ในการยืนยันให้เสร็จสมบูรณ์ในแผนการเปิดตัวแอปหรือฟีเจอร์ใหม่ที่ต้องใช้ขอบเขตใหม่ กระบวนการยืนยันขอบเขตที่ละเอียดอ่อนอาจใช้เวลาสูงสุด 10 วันจึงจะเสร็จสมบูรณ์ โปรดทราบ ว่าแอปของคุณอาจมีสิทธิ์ยืนยันแบรนด์ เป็นส่วนหนึ่งของคำขอการยืนยันขอบเขตที่ละเอียดอ่อน

ทำความเข้าใจขอบเขตที่ละเอียดอ่อน

ขอบเขตที่ละเอียดอ่อนต้องได้รับการตรวจสอบจาก Google ก่อนที่บัญชี Google จะให้สิทธิ์เข้าถึงได้ ผู้ดูแลระบบขององค์กร Google Workspace อาจ จำกัดการเข้าถึง ขอบเขตที่ละเอียดอ่อนเพื่อป้องกันไม่ให้รหัสไคลเอ็นต์ OAuth ที่องค์กร ไม่ได้ทำเครื่องหมายอย่างชัดเจนว่าเชื่อถือได้เข้าถึงได้

ทำความเข้าใจการใช้ขอบเขต

• ตรวจสอบขอบเขตที่แอปของคุณใช้หรือต้องการใช้ หากต้องการดูการใช้ขอบเขตที่มีอยู่ ให้ตรวจสอบซอร์สโค้ดของแอปเพื่อดูขอบเขตที่ส่งพร้อมกับคำขอการให้สิทธิ์
• ตรวจสอบว่าขอบเขตที่ขอแต่ละขอบเขตจำเป็นต่อการดำเนินการและการใช้งานที่ต้องการของฟีเจอร์แอป และใช้สิทธิ์ขั้นต่ำที่จำเป็นต่อการให้บริการฟีเจอร์ โดยปกติแล้ว Google API จะมี เอกสารอ้างอิงเกี่ยวกับปลายทางในหน้า Google Developers ของผลิตภัณฑ์ ซึ่งรวมถึงขอบเขตที่จำเป็นในการเรียกใช้ ปลายทางหรือพร็อพเพอร์ตี้ที่เฉพาะเจาะจงภายใน อ่านเอกสารอ้างอิงของปลายทางเหล่านั้นเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตการเข้าถึงที่จำเป็นสำหรับปลายทาง API ที่แอปของคุณเรียกใช้
• คุณต้องใช้ข้อมูลที่ได้รับจาก Google API ตามนโยบายของ API เท่านั้น และใช้ในลักษณะที่คุณแจ้งให้ผู้ใช้ทราบในการดำเนินการของแอปและใน นโยบายความเป็นส่วนตัว
• โปรดดูเอกสารประกอบของ API เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตแต่ละขอบเขต รวมถึงสถานะที่เป็นไปได้
• ประกาศขอบเขตทั้งหมดที่แอปของคุณใช้ในหน้าการเข้าถึงข้อมูล ของ Cloud Console ระบบจะจัดกลุ่มขอบเขตที่คุณระบุไว้ในหมวดหมู่ละเอียดอ่อนหรือจำกัด เพื่อไฮไลต์การยืนยันเพิ่มเติมที่จำเป็น
• ค้นหาขอบเขตที่ดีที่สุดที่ตรงกับข้อมูลที่การผสานรวมใช้ ทำความเข้าใจการใช้งาน ยืนยันอีกครั้งว่าทุกอย่างยังคงทำงานได้ในสภาพแวดล้อมการทดสอบ แล้วเตรียมส่งเพื่อรับการยืนยัน

ขั้นตอนการเตรียมตัวสำหรับการยืนยัน

แอปทั้งหมดที่ใช้ Google APIs เพื่อขอสิทธิ์เข้าถึงข้อมูลต้องทำตามขั้นตอนต่อไปนี้เพื่อ ทำการยืนยันแบรนด์ให้เสร็จสมบูรณ์

1. ยืนยันว่าแอปของคุณไม่ได้อยู่ในกรณีการใช้งานใดๆ ในส่วน ข้อยกเว้นของข้อกำหนดการยืนยัน
2. ตรวจสอบว่าแอปของคุณเป็นไปตามข้อกำหนดการแสดงแบรนด์ของ API หรือ ผลิตภัณฑ์ที่เชื่อมโยง เช่น ดูหลักเกณฑ์การแสดงแบรนด์ สำหรับขอบเขต Google Sign-In
3. ยืนยันความเป็นเจ้าของโดเมนที่ได้รับอนุญาตของโปรเจ็กต์ภายใน Google Search Console ใช้บัญชี Google ที่เชื่อมโยงกับโปรเจ็กต์คอนโซล API เป็น เจ้าของหรือผู้แก้ไข
4. ตรวจสอบว่าข้อมูลการแสดงแบรนด์ทั้งหมดในหน้าจอขอความยินยอม OAuth เช่น ชื่อแอป อีเมลสนับสนุน URI ของหน้าแรก URI ของนโยบายความเป็นส่วนตัว ฯลฯ แสดงถึงข้อมูลประจำตัวของแอปอย่างถูกต้อง

ข้อกำหนดของหน้าแรกของแอปพลิเคชัน

ตรวจสอบว่าหน้าแรกเป็นไปตามข้อกำหนดต่อไปนี้

• หน้าแรกต้องเข้าถึงได้แบบสาธารณะ ไม่ใช่เข้าถึงได้เฉพาะผู้ใช้ที่ลงชื่อเข้าสู่ระบบของเว็บไซต์
• ความเกี่ยวข้องของหน้าแรกกับแอปที่อยู่ระหว่างการตรวจสอบต้องชัดเจน
• ลิงก์ไปยังข้อมูลของแอปใน Google Play Store หรือหน้า Facebook ไม่ถือว่าเป็น หน้าแรกของแอปพลิเคชันที่ถูกต้อง

ข้อกำหนดของลิงก์นโยบายความเป็นส่วนตัวของแอปพลิเคชัน

ตรวจสอบว่านโยบายความเป็นส่วนตัวของแอปเป็นไปตามข้อกำหนดต่อไปนี้

• นโยบายความเป็นส่วนตัวต้องแสดงให้ผู้ใช้เห็น โฮสต์อยู่ในโดเมนเดียวกับหน้าแรกของแอปพลิเคชัน และลิงก์อยู่ในหน้าจอขอความยินยอม OAuth ของคอนโซล Google API โปรดทราบว่าหน้าแรกต้องมี คำอธิบายฟังก์ชันการทำงานของแอป รวมถึงลิงก์ไปยังนโยบายความเป็นส่วนตัวและ ข้อกำหนดในการให้บริการ (ไม่บังคับ)
• นโยบายความเป็นส่วนตัวต้องเปิดเผยลักษณะที่แอปพลิเคชันของคุณเข้าถึง ใช้ จัดเก็บ หรือแชร์ข้อมูลผู้ใช้ Google คุณต้องจำกัดการใช้ข้อมูลผู้ใช้ Google ให้เป็นไปตามแนวทางปฏิบัติที่นโยบายความเป็นส่วนตัวที่เผยแพร่เปิดเผยไว้

วิธีส่งแอปเพื่อรับการยืนยัน

โปรเจ็กต์ คอนโซล Google Cloud จะจัดระเบียบทรัพยากร Cloud Console ทั้งหมด โปรเจ็กต์ประกอบด้วยชุดบัญชี Google ที่เชื่อมโยงกันซึ่งมีสิทธิ์ดำเนินการโปรเจ็กต์ ชุด API ที่เปิดใช้ และการตั้งค่าการเรียกเก็บเงิน การตรวจสอบสิทธิ์ และการตรวจสอบสำหรับ API เหล่านั้น ตัวอย่างเช่น โปรเจ็กต์อาจมีไคลเอ็นต์ OAuth อย่างน้อย 1 รายการ กำหนดค่า API เพื่อให้ไคลเอ็นต์เหล่านั้นใช้ และกำหนดค่า หน้าจอขอความยินยอม OAuth ที่แสดงต่อผู้ใช้ก่อนที่จะให้สิทธิ์เข้าถึงแอปของคุณ

หากไคลเอ็นต์ OAuth รายการใดรายการหนึ่งยังไม่พร้อมใช้งานจริง เราขอแนะนำให้คุณลบไคลเอ็นต์ดังกล่าวออกจาก โปรเจ็กต์ที่ขอรับการยืนยัน โดยคุณจะทำได้ในหน้า ไคลเอ็นต์

หากต้องการส่งเพื่อรับการยืนยัน ให้ทำตามขั้นตอนต่อไปนี้

1. ตรวจสอบว่าแอปของคุณเป็นไปตามข้อกำหนดในการให้บริการของ Google APIs และ นโยบายข้อมูลผู้ใช้สำหรับบริการ Google API
2. อัปเดตบทบาทเจ้าของและผู้แก้ไขของบัญชีที่เชื่อมโยงกับโปรเจ็กต์ รวมถึง อีเมลสนับสนุนผู้ใช้และข้อมูลติดต่อของนักพัฒนาแอปสำหรับหน้าจอขอคำยินยอม OAuth ใน Cloud Console เพื่อให้แน่ใจว่าสมาชิกที่เหมาะสมในทีมของคุณ จะได้รับการแจ้งเตือนเกี่ยวกับข้อกำหนดใหม่
3. ไปที่ Cloud Console ศูนย์การยืนยัน OAuth
4. คลิกปุ่มตัวเลือกโปรเจ็กต์

5. เลือกโปรเจ็กต์ในกล่องโต้ตอบเลือกจาก ที่ปรากฏขึ้น หากไม่พบโปรเจ็กต์แต่ทราบรหัสโปรเจ็กต์ คุณสามารถสร้าง URL ในเบราว์เซอร์ในรูปแบบต่อไปนี้

   https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

   แทนที่ [PROJECT_ID] ด้วยรหัสโปรเจ็กต์ที่ต้องการใช้

6. เลือกปุ่มแก้ไขแอป
7. ป้อนข้อมูลที่จำเป็นในหน้าจอขอคำยินยอม OAuth แล้วเลือกปุ่มบันทึก และดำเนินการต่อ
8. ใช้ปุ่มเพิ่มหรือนำขอบเขตออก เพื่อประกาศขอบเขตทั้งหมดที่แอปของคุณขอ ชุดขอบเขตเริ่มต้นที่จำเป็นสำหรับการลงชื่อเข้าใช้ด้วยบัญชี Google จะป้อนไว้ล่วงหน้าในส่วนขอบเขตที่ไม่ละเอียดอ่อน ระบบจะจัดประเภทขอบเขตที่เพิ่มเป็นขอบเขตที่ไม่ละเอียดอ่อน, sensitive, or <a href="/identity/protocols/oauth2/production-readiness/restricted-scope-verification"

   restricted.

9. ระบุลิงก์สูงสุด 3 รายการไปยังเอกสารประกอบที่เกี่ยวข้องสำหรับฟีเจอร์ที่เกี่ยวข้องในแอป

10. ระบุข้อมูลเพิ่มเติมที่ระบบขอเกี่ยวกับแอปของคุณในขั้นตอนต่อๆ ไป

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."

    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

       1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
       2. Show that the OAuth consent screen correctly displays the App Name.
       3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
       4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
11. หากการกำหนดค่าแอปที่คุณระบุต้องมีการยืนยัน คุณจะมีโอกาสส่ง แอปเพื่อรับการยืนยัน กรอกข้อมูลในช่องที่ต้องกรอก แล้วคลิกส่ง เพื่อเริ่ม กระบวนการยืนยัน

หลังจากที่คุณส่งแอปแล้ว ทีมความน่าเชื่อถือและความปลอดภัยของ Google จะติดตามผลทางอีเมลพร้อมข้อมูลเพิ่มเติมที่ทีมต้องการหรือขั้นตอนที่คุณต้องดำเนินการให้เสร็จสมบูรณ์ ตรวจสอบอีเมลในส่วน ข้อมูลติดต่อของนักพัฒนาแอป และอีเมลสนับสนุนของหน้าจอขอคำยินยอม OAuth เพื่อดูคำขอข้อมูลเพิ่มเติม นอกจากนี้ คุณยังดูหน้าจอขอคำยินยอม OAuth ของโปรเจ็กต์ เพื่อยืนยันสถานะการตรวจสอบปัจจุบันของโปรเจ็กต์ได้ด้วย ซึ่งรวมถึงดูว่ากระบวนการตรวจสอบ หยุดชั่วคราวขณะรอคำตอบจากคุณหรือไม่

ข้อยกเว้นของข้อกำหนดการยืนยัน

หากแอปของคุณจะใช้ในสถานการณ์ที่อธิบายไว้ในส่วนต่อไปนี้ คุณ ไม่จำเป็นต้องส่งแอปเพื่อรับการตรวจสอบ

การใช้งานส่วนตัว

กรณีการใช้งานหนึ่งคือหากคุณเป็นผู้ใช้แอปเพียงคนเดียวหรือมีผู้ใช้แอปเพียงไม่กี่คน ซึ่งคุณรู้จักเป็นการส่วนตัว คุณและผู้ใช้จำนวนจำกัดอาจยินดีที่จะดำเนินการต่อผ่านหน้าจอแอปที่ยังไม่ได้ยืนยันและให้สิทธิ์บัญชีส่วนตัวเข้าถึงแอป

โปรเจ็กต์ที่ใช้ในระดับการพัฒนา การทดสอบ หรือการใช้งานจริง

เราขอแนะนำให้คุณมีโปรเจ็กต์ที่แตกต่างกันสำหรับ สภาพแวดล้อมการทดสอบและการใช้งานจริงเพื่อให้เป็นไปตาม นโยบาย OAuth 2.0 ของ Google เราขอแนะนำให้คุณส่งแอปเพื่อรับการยืนยัน ก็ต่อเมื่อต้องการให้แอปพร้อมใช้งานสำหรับผู้ใช้ที่มีบัญชี Google ทุกคน ดังนั้น หากแอป อยู่ในขั้นตอนการพัฒนา การทดสอบ หรือการใช้งานจริง คุณไม่จำเป็นต้องยืนยัน

หากแอปอยู่ในขั้นตอนการพัฒนาหรือการทดสอบ คุณสามารถปล่อยให้ สถานะการเผยแพร่ เป็นการตั้งค่าเริ่มต้นที่ การทดสอบ การตั้งค่านี้หมายความว่าแอปของคุณยังอยู่ระหว่างการพัฒนาและพร้อมใช้งานสำหรับผู้ใช้ที่คุณเพิ่มลงในรายชื่อผู้ใช้ทดสอบเท่านั้น คุณต้องจัดการรายชื่อบัญชี Google ที่เกี่ยวข้องกับการพัฒนาหรือการทดสอบแอป

เฉพาะข้อมูลที่เป็นเจ้าของบริการ

หากแอปของคุณใช้บัญชีบริการเพื่อเข้าถึงเฉพาะข้อมูลของตัวเอง และไม่ได้เข้าถึงข้อมูลผู้ใช้ (ที่ลิงก์กับบัญชี Google) คุณก็ไม่จำเป็นต้องส่งเพื่อรับการยืนยัน

หากต้องการทำความเข้าใจว่าบัญชีบริการคืออะไร โปรดดู บัญชีบริการ ใน เอกสารประกอบของ Google Cloud ดูวิธีการใช้บัญชีบริการได้ที่ การใช้ OAuth 2.0 สำหรับแอปพลิเคชันที่มีการโต้ตอบระหว่างเซิร์ฟเวอร์กับเซิร์ฟเวอร์

ใช้ภายในเท่านั้น

ซึ่งหมายความว่าแอปนี้ใช้โดยบุคคลในองค์กร Google Workspace หรือ Cloud Identity โปรเจ็กต์ต้องเป็นขององค์กร และต้องกำหนดค่าหน้าจอขอความยินยอม OAuth สำหรับ ภายใน ประเภทผู้ใช้ ในกรณีนี้ แอปของคุณอาจต้องได้รับการอนุมัติจากผู้ดูแลระบบองค์กร ดูข้อมูลเพิ่มเติมได้ที่ ข้อควรพิจารณาเพิ่มเติมสำหรับ Google Workspace

• ดูข้อมูลเพิ่มเติมเกี่ยวกับ แอปพลิเคชันสาธารณะและ แอปพลิเคชันภายใน
• ดูวิธีทำเครื่องหมายแอปเป็นแอปภายในในคำถามที่พบบ่อย ฉันจะทำเครื่องหมายแอปเป็น แอปภายในเท่านั้นได้อย่างไร

การติดตั้งทั่วทั้งโดเมน

หากคุณวางแผนให้แอปกำหนดเป้าหมายเฉพาะผู้ใช้ขององค์กร Google Workspace หรือ Cloud Identity และใช้การติดตั้งทั่วทั้งโดเมน เสมอ แอปของคุณก็ไม่จำเป็นต้องมีการยืนยันแบรนด์ อย่างไรก็ตาม หากแอปใช้ ขอบเขตที่จำกัดหรือละเอียดอ่อน, จะต้องมีการตรวจสอบแอป เนื่องจากการติดตั้งทั่วทั้งโดเมนช่วยให้ผู้ดูแลระบบโดเมน ให้สิทธิ์แอปพลิเคชันของบุคคลที่สามและแอปพลิเคชันภายในเข้าถึงข้อมูลผู้ใช้ได้ มีเพียงบัญชีผู้ดูแลระบบขององค์กร เท่านั้นที่เพิ่มแอปไปยังรายการที่อนุญาตให้ใช้ภายในโดเมน ได้

ดูวิธีทำให้แอปเป็นการติดตั้งทั่วทั้งโดเมนได้ในคำถามที่พบบ่อย แอปพลิเคชันของฉันมีผู้ใช้ที่มี บัญชี Google Workspace ขององค์กรจากโดเมนอื่น