Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Xác minh phạm vi nhạy cảm

Nếu ứng dụng của bạn yêu cầu quyền sử dụng các API của Google để truy cập vào dữ liệu của người dùng Google, thì bạn có thể phải hoàn tất quy trình xác minh trước khi cung cấp công khai ứng dụng của mình lần đầu tiên.

Việc yêu cầu này có áp dụng cho ứng dụng của bạn hay không chủ yếu phụ thuộc vào hai yếu tố:

Loại dữ liệu người dùng mà bạn truy cập – thông tin hồ sơ công khai, mục trong lịch, tệp trong Drive, một số dữ liệu thể chất, v.v.
Mức độ truy cập mà bạn cần – chỉ đọc, đọc và ghi, v.v.

Khi sử dụng OAuth 2.0 để được Tài khoản Google cho phép truy cập vào dữ liệu của họ, bạn sẽ sử dụng các chuỗi có tên là phạm vi để chỉ định loại dữ liệu mà bạn muốn truy cập thay mặt họ. Nếu ứng dụng của bạn yêu cầu các phạm vi được phân loại là nhạy cảm hoặc bị hạn chế, thì có thể bạn cần hoàn tất quy trình xác minh, trừ phi việc sử dụng ứng dụng của bạn đủ điều kiện được miễn trừ.

Ví dụ về các phạm vi nhạy cảm bao gồm việc đọc các sự kiện được lưu trữ trong Lịch Google, lưu một người liên hệ mới trong Danh bạ Google hoặc xoá một video trên YouTube. Để biết thêm thông tin về các phạm vi hiện có và cách phân loại các phạm vi đó, hãy tham khảo tài liệu tham khảo về các điểm cuối API mà ứng dụng của bạn gọi và mọi hướng dẫn uỷ quyền có liên quan được xuất bản cho API.

Bạn phải yêu cầu các phạm vi cần mức truy cập tối thiểu vào dữ liệu người dùng để cung cấp chức năng đó. Ví dụ: một ứng dụng chỉ đọc dữ liệu thì không được yêu cầu quyền truy cập để đọc, ghi và xoá nội dung khi có phạm vi hẹp hơn cho API và các điểm cuối liên quan. Dữ liệu mà bạn nhận được từ một API của Google chỉ được dùng tuân thủ các chính sách của API và theo cách mà bạn trình bày với người dùng trong các hành động của ứng dụng và trong chính sách quyền riêng tư của bạn.

Hãy nhớ tính đến thời gian cần thiết để hoàn tất quy trình xác minh trong kế hoạch ra mắt ứng dụng hoặc mọi tính năng mới cần có phạm vi mới. Quy trình xác minh phạm vi nhạy cảm có thể mất đến 10 ngày để hoàn tất. Xin lưu ý rằng ứng dụng của bạn có thể đủ điều kiện hoàn tất quy trình xác minh thương hiệu như một phần của yêu cầu xác minh phạm vi nhạy cảm.

Tìm hiểu về các phạm vi nhạy cảm

Các phạm vi nhạy cảm cần được Google xem xét trước khi bất kỳ Tài khoản Google nào có thể cấp quyền truy cập. Quản trị viên tổ chức Google Workspace có thể hạn chế quyền truy cập vào các phạm vi nhạy cảm để ngăn quyền truy cập của các mã ứng dụng OAuth mà tổ chức không đánh dấu rõ ràng là đáng tin cậy.

Tìm hiểu về cách sử dụng phạm vi

Xem lại các phạm vi mà ứng dụng của bạn sử dụng hoặc bạn muốn sử dụng. Để tìm hiểu về cách sử dụng phạm vi hiện có, hãy kiểm tra mã nguồn của ứng dụng để tìm mọi phạm vi được gửi kèm theo yêu cầu uỷ quyền.
Xác định rằng mỗi phạm vi được yêu cầu là cần thiết cho các hành động dự kiến của tính năng trong ứng dụng và sử dụng đặc quyền tối thiểu cần thiết để cung cấp tính năng đó. API của Google thường có tài liệu tham khảo trên trang Google Nhà phát triển của sản phẩm cho các điểm cuối, bao gồm phạm vi cần thiết để gọi điểm cuối hoặc các thuộc tính cụ thể trong đó. Để biết thêm thông tin về các phạm vi truy cập cần thiết cho các điểm cuối API mà ứng dụng của bạn gọi, hãy đọc tài liệu tham khảo về các điểm cuối đó.
Dữ liệu mà bạn nhận được từ một API của Google chỉ được dùng tuân thủ các chính sách của API và theo cách mà bạn trình bày với người dùng trong các hành động của ứng dụng và trong chính sách quyền riêng tư của bạn.
Tham khảo tài liệu về API để tìm hiểu thêm về từng phạm vi, bao gồm cả trạng thái tiềm năng của phạm vi đó.
Khai báo tất cả các phạm vi mà ứng dụng của bạn sử dụng trong trang Truy cập dữ liệu của Cloud Console's . Các phạm vi mà bạn chỉ định được nhóm thành các danh mục nhạy cảm hoặc bị hạn chế để làm nổi bật mọi quy trình xác minh bổ sung cần thiết.

Tìm phạm vi phù hợp nhất với dữ liệu mà quá trình tích hợp của bạn sử dụng, tìm hiểu cách sử dụng phạm vi đó, xác nhận lại rằng mọi thứ vẫn hoạt động trong môi trường thử nghiệm, sau đó chuẩn bị gửi yêu cầu xác minh.

Một bảng hiển thị tên của một API, một trong các phạm vi nhạy cảm của API đó và nội dung mô tả về phạm vi. — **Hình 1.** Ví dụ về một phạm vi nhạy cảm được hiển thị trong trang phạm vi cấu hình màn hình xin phép bằng OAuth.

Các bước chuẩn bị cho quy trình xác minh

Tất cả các ứng dụng sử dụng API của Google để yêu cầu quyền truy cập vào dữ liệu đều phải thực hiện các bước sau để hoàn tất quy trình xác minh thương hiệu:

Xác nhận rằng ứng dụng của bạn không thuộc bất kỳ trường hợp sử dụng nào trong phần Các trường hợp miễn trừ yêu cầu xác minh.
Đảm bảo rằng ứng dụng của bạn tuân thủ các yêu cầu về thương hiệu của các API hoặc sản phẩm được liên kết. Ví dụ: hãy xem nguyên tắc sử dụng thương hiệu cho các phạm vi Đăng nhập bằng Google.
Xác minh quyền sở hữu các miền được uỷ quyền của dự án trong Google Search Console. Sử dụng Tài khoản Google được liên kết với dự án trên Bảng điều khiển API với vai trò Chủ sở hữu hoặc Người chỉnh sửa.
Đảm bảo rằng tất cả thông tin về thương hiệu trên màn hình xin phép bằng OAuth (chẳng hạn như tên ứng dụng, email hỗ trợ , URI trang chủ, URI chính sách quyền riêng tư, v.v.) đều thể hiện chính xác danh tính của ứng dụng.

Yêu cầu đối với trang chủ của ứng dụng

Đảm bảo rằng trang chủ của bạn đáp ứng các yêu cầu sau:

Trang chủ của bạn phải có thể truy cập công khai và không chỉ dành cho những người dùng đã đăng nhập vào trang web của bạn.
Mức độ liên quan của trang chủ với ứng dụng đang được xem xét phải rõ ràng.
Đường liên kết đến trang thông tin của ứng dụng trên Cửa hàng Google Play hoặc trang Facebook của ứng dụng không được coi là trang chủ hợp lệ của ứng dụng.

Yêu cầu đối với đường liên kết đến chính sách quyền riêng tư của ứng dụng

Đảm bảo rằng chính sách quyền riêng tư của ứng dụng đáp ứng các yêu cầu sau:

Người dùng phải nhìn thấy chính sách quyền riêng tư, được lưu trữ trong cùng miền với trang chủ của ứng dụng và được liên kết trên màn hình xin phép bằng OAuth của Bảng điều khiển API của Google. Xin lưu ý rằng trang chủ phải có phần mô tả chức năng của ứng dụng, cũng như các đường liên kết đến chính sách quyền riêng tư và điều khoản dịch vụ không bắt buộc.
Chính sách quyền riêng tư phải nêu rõ cách ứng dụng của bạn truy cập, sử dụng, lưu trữ hoặc chia sẻ dữ liệu người dùng Google. Bạn phải giới hạn việc sử dụng dữ liệu người dùng Google theo các phương thức mà chính sách quyền riêng tư đã xuất bản của bạn nêu rõ.

Cách gửi ứng dụng của bạn để xác minh

Một dự án trên Bảng điều khiển Google Cloud sắp xếp tất cả tài nguyên trên Bảng điều khiển Cloud. Một dự án bao gồm một nhóm Tài khoản Google được liên kết có quyền thực hiện các thao tác trên dự án, một nhóm API đã bật và các chế độ cài đặt thanh toán, xác thực và giám sát cho các API đó. Ví dụ: một dự án có thể chứa một hoặc nhiều ứng dụng OAuth, định cấu hình các API để các ứng dụng đó sử dụng và định cấu hình một màn hình xin phép bằng OAuth được hiển thị cho người dùng trước khi họ cho phép truy cập vào ứng dụng của bạn.

Nếu bất kỳ ứng dụng OAuth nào chưa sẵn sàng cho quá trình phát hành, bạn nên xoá các ứng dụng đó khỏi dự án đang yêu cầu xác minh. Bạn có thể thực hiện việc này trong trang Ứng dụng.

Để gửi yêu cầu xác minh, hãy làm theo các bước sau:

Đảm bảo rằng ứng dụng của bạn tuân thủ Điều khoản dịch vụ về các API của Google và Chính sách dữ liệu người dùng của các dịch vụ API của Google.
Luôn cập nhật vai trò chủ sở hữu và người chỉnh sửa của các tài khoản được liên kết với dự án, cũng như email hỗ trợ người dùng và thông tin liên hệ của nhà phát triển trên màn hình đồng ý OAuth trong Cloud Console. Điều này đảm bảo rằng các thành viên phù hợp trong nhóm của bạn sẽ được thông báo về mọi yêu cầu mới.
Chuyển đến Trung tâm xác minh OAuth của Cloud Console .
Nhấp vào nút Trình chọn dự án.
Trên hộp thoại Chọn từ xuất hiện, hãy chọn dự án của bạn. Nếu bạn không tìm thấy dự án của mình nhưng biết mã dự án, bạn có thể tạo một URL trong trình duyệt theo định dạng sau:
```
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
```
Thay thế [PROJECT_ID] bằng mã dự án mà bạn muốn sử dụng.
Chọn nút Chỉnh sửa ứng dụng.
Nhập thông tin cần thiết trên trang màn hình xin phép bằng OAuth, sau đó chọn nút Lưu và tiếp tục.
Sử dụng nút Thêm hoặc xoá phạm vi để khai báo tất cả các phạm vi mà ứng dụng của bạn yêu cầu. Một nhóm phạm vi ban đầu cần thiết cho tính năng Đăng nhập bằng Google sẽ được điền sẵn trong phần Các phạm vi không nhạy cảm. Các phạm vi được thêm sẽ được phân loại là không nhạy cảm, sensitive, or <a href="/identity/protocols/oauth2/production-readiness/restricted-scope-verification"

restricted.
Cung cấp tối đa 3 đường liên kết đến mọi tài liệu có liên quan cho các tính năng liên quan trong ứng dụng của bạn.
Cung cấp mọi thông tin bổ sung được yêu cầu về ứng dụng của bạn trong các bước tiếp theo.
1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."
2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.
  1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
  2. Show that the OAuth consent screen correctly displays the App Name.
  3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
  4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
Nếu cấu hình ứng dụng mà bạn cung cấp cần được xác minh, thì bạn có thể gửi ứng dụng đó để xác minh. Điền vào các trường bắt buộc rồi nhấp vào Gửi để bắt đầu quy trình xác minh.

Sau khi bạn gửi ứng dụng, nhóm Tin cậy và an toàn của Google sẽ liên hệ qua email để yêu cầu mọi thông tin bổ sung mà họ cần hoặc các bước mà bạn phải hoàn tất. Kiểm tra địa chỉ email của bạn trong phần Thông tin liên hệ của nhà phát triển và email hỗ trợ của màn hình đồng ý OAuth để xem các yêu cầu cung cấp thông tin bổ sung. Bạn cũng có thể xem trang màn hình đồng ý OAuth của dự án để xác nhận trạng thái xem xét hiện tại của dự án, bao gồm cả việc quy trình xem xét có bị tạm dừng hay không trong khi chúng tôi chờ phản hồi của bạn.

Các trường hợp miễn trừ yêu cầu xác minh

Nếu ứng dụng của bạn sẽ được sử dụng trong bất kỳ trường hợp nào được mô tả trong các phần sau, thì bạn không cần gửi ứng dụng đó để xem xét.

Sử dụng cá nhân

Một trường hợp sử dụng là khi bạn là người dùng duy nhất của ứng dụng hoặc khi ứng dụng của bạn chỉ được sử dụng bởi một vài người dùng, mà bạn biết rõ. Bạn và số lượng người dùng hạn chế có thể thoải mái chuyển qua màn hình ứng dụng chưa được xác minh và cấp quyền truy cập vào ứng dụng cho các tài khoản cá nhân của bạn.

Các dự án được sử dụng trong các cấp Phát triển, Thử nghiệm hoặc Dàn dựng

Để tuân thủ Chính sách OAuth 2.0 của Google, bạn nên có các dự án riêng cho môi trường thử nghiệm và phát hành. Bạn chỉ nên gửi ứng dụng của mình để xác minh nếu muốn cung cấp ứng dụng đó cho bất kỳ người dùng nào có Tài khoản Google. Do đó, nếu ứng dụng của bạn đang trong giai đoạn phát triển, thử nghiệm hoặc dàn dựng, thì bạn không cần xác minh.

Nếu ứng dụng của bạn đang trong giai đoạn phát triển hoặc thử nghiệm, bạn có thể để Trạng thái phát hành ở chế độ cài đặt mặc định là Thử nghiệm. Chế độ cài đặt này có nghĩa là ứng dụng của bạn vẫn đang trong quá trình phát triển và chỉ dành cho những người dùng mà bạn thêm vào danh sách người dùng thử nghiệm. Bạn phải quản lý danh sách Tài khoản Google tham gia vào quá trình phát triển hoặc thử nghiệm ứng dụng của bạn.

Thông báo cảnh báo rằng Google chưa xác minh một ứng dụng đang trong giai đoạn thử nghiệm. — **Hình 2.** Màn hình cảnh báo cho người thử nghiệm

Chỉ dữ liệu do dịch vụ sở hữu

Nếu ứng dụng của bạn sử dụng tài khoản dịch vụ chỉ để truy cập vào dữ liệu của riêng ứng dụng và không truy cập vào bất kỳ dữ liệu người dùng nào (được liên kết với Tài khoản Google), thì bạn không cần gửi yêu cầu xác minh.

Để tìm hiểu tài khoản dịch vụ là gì, hãy xem Tài khoản dịch vụ trong tài liệu của Google Cloud. Để biết hướng dẫn về cách sử dụng tài khoản dịch vụ, hãy xem bài viết Sử dụng OAuth 2.0 cho các ứng dụng hoạt động giữa các máy chủ.

Chỉ sử dụng nội bộ

Điều này có nghĩa là ứng dụng chỉ được sử dụng bởi những người trong tổ chức Google Workspace hoặc Cloud Identity của bạn. Dự án phải thuộc sở hữu của tổ chức và màn hình xin phép bằng OAuth của dự án cần được định cấu hình cho loại người dùng Nội bộ. Trong trường hợp này, ứng dụng của bạn có thể cần được quản trị viên tổ chức phê duyệt. Để biết thêm thông tin, hãy xem Các điểm cần cân nhắc khác đối với Google Workspace.

Tìm hiểu thêm về các ứng dụng công khai và nội bộ.
Tìm hiểu cách đánh dấu ứng dụng của bạn là nội bộ trong Câu hỏi thường gặp Làm cách nào để đánh dấu ứng dụng của tôi là chỉ dùng nội bộ?

Cài đặt trên toàn miền

Nếu bạn dự định ứng dụng của mình chỉ nhắm đến người dùng của tổ chức Google Workspace hoặc Cloud Identity và luôn sử dụng chế độ cài đặt trên toàn miền, thì ứng dụng của bạn sẽ không cần xác minh thương hiệu. Tuy nhiên, nếu ứng dụng của bạn sử dụng các phạm vi bị hạn chế hoặc nhạy cảm, thì bạn phải xác minh ứng dụng. Điều này là do chế độ cài đặt trên toàn miền cho phép quản trị viên miền cấp quyền truy cập vào dữ liệu của người dùng cho các ứng dụng nội bộ và ứng dụng bên thứ ba. Quản trị viên tổ chức là những tài khoản duy nhất có thể thêm ứng dụng vào danh sách cho phép để sử dụng trong miền của họ.

Tìm hiểu cách cài đặt ứng dụng của bạn trên toàn miền trong Câu hỏi thường gặp Ứng dụng của tôi có người dùng có tài khoản doanh nghiệp từ một Miền Google Workspace khác.