การยืนยันขอบเขตที่ละเอียดอ่อน

หากแอปขอสิทธิ์ใช้ Google APIs เพื่อเข้าถึงข้อมูลของผู้ใช้ Google คุณอาจต้อง ทําตามกระบวนการยืนยันให้เสร็จสมบูรณ์ก่อนที่จะเปิดให้แอปใช้งานต่อสาธารณะเป็นครั้งแรก

ข้อกำหนดนี้จะมีผลกับแอปของคุณหรือไม่นั้นขึ้นอยู่กับ 2 ปัจจัยเป็นหลัก ดังนี้

  1. ประเภทข้อมูลผู้ใช้ที่คุณเข้าถึง เช่น ข้อมูลโปรไฟล์สาธารณะ รายการในปฏิทิน ไฟล์ในไดรฟ์ ข้อมูลสุขภาพและการออกกำลังกายบางอย่าง ฯลฯ
  2. ระดับการเข้าถึงที่คุณต้องการ เช่น อ่านอย่างเดียว อ่านและเขียน เป็นต้น

เมื่อใช้ OAuth 2.0 เพื่อขอสิทธิ์จากบัญชี Google ในการเข้าถึงข้อมูล คุณจะใช้สตริงที่เรียกว่าขอบเขตเพื่อระบุประเภทข้อมูลที่ต้องการเข้าถึงในนามของบัญชีนั้น หากแอปขอขอบเขตที่จัดอยู่ในหมวดหมู่ละเอียดอ่อนหรือจำกัด คุณอาจต้องดำเนินการยืนยันให้เสร็จสมบูรณ์ เว้นแต่การใช้งานแอปของคุณจะมีคุณสมบัติเข้าเกณฑ์ข้อยกเว้น

ตัวอย่างของขอบเขตที่ละเอียดอ่อน ได้แก่ การอ่านกิจกรรมที่จัดเก็บไว้ใน Google ปฏิทิน การจัดเก็บรายชื่อติดต่อใหม่ใน Google Contacts หรือการลบวิดีโอ YouTube ดูข้อมูลเพิ่มเติมเกี่ยวกับ ขอบเขตที่ใช้ได้และการจัดประเภทได้ในเอกสารอ้างอิงของ API ปลายทางที่แอปของคุณเรียกใช้และคู่มือการให้สิทธิ์ที่เกี่ยวข้องที่เผยแพร่สำหรับ API

คุณต้องขอขอบเขตที่ต้องใช้ สิทธิ์เข้าถึงน้อยที่สุดในข้อมูลผู้ใช้ที่จำเป็นต่อการให้บริการฟังก์ชันดังกล่าว ตัวอย่างเช่น แอปที่อ่านข้อมูลเท่านั้นต้องไม่ขอสิทธิ์เข้าถึงเพื่ออ่าน เขียน และลบเนื้อหาเมื่อมีขอบเขตที่แคบลงสำหรับ API และปลายทางที่เกี่ยวข้อง คุณต้องใช้ข้อมูลที่ได้รับจาก Google API ตามนโยบายของ API และในลักษณะที่คุณ แสดงต่อผู้ใช้ในการดำเนินการของแอปและในนโยบายความเป็นส่วนตัวเท่านั้น

อย่าลืมพิจารณาเวลาที่ต้องใช้ในการยืนยันให้เสร็จสมบูรณ์ในแผนการเปิดตัวแอปหรือฟีเจอร์ใหม่ที่ต้องใช้ขอบเขตใหม่ กระบวนการยืนยันขอบเขตที่มีความละเอียดอ่อน โดยปกติจะใช้เวลา 3-5 วันทำการจึงจะเสร็จสมบูรณ์ โปรดทราบว่าแอปของคุณอาจมีสิทธิ์ทำการยืนยัน แบรนด์ให้เสร็จสมบูรณ์เป็นส่วนย่อยของคำขอการยืนยันขอบเขตที่ละเอียดอ่อน

ทำความเข้าใจขอบเขตที่ละเอียดอ่อน

ขอบเขตที่ละเอียดอ่อนต้องได้รับการตรวจสอบจาก Google ก่อนจึงจะให้สิทธิ์เข้าถึงบัญชี Google ได้ ผู้ดูแลระบบขององค์กร Google Workspace อาจจำกัดการเข้าถึงขอบเขตที่ละเอียดอ่อนเพื่อป้องกันไม่ให้รหัสไคลเอ็นต์ OAuth ที่องค์กรไม่ได้ทำเครื่องหมายอย่างชัดเจนว่าเชื่อถือได้เข้าถึง

ทำความเข้าใจการใช้ขอบเขต

  • ตรวจสอบขอบเขตที่แอปใช้หรือต้องการใช้ หากต้องการดูการใช้ขอบเขตที่มีอยู่ ให้ตรวจสอบซอร์สโค้ดของแอปเพื่อดูขอบเขตที่ส่งพร้อมกับคำขอการให้สิทธิ์
  • พิจารณาว่าขอบเขตที่ขอแต่ละรายการจำเป็นต่อการดำเนินการที่ต้องการของฟีเจอร์แอป และใช้สิทธิ์ขั้นต่ำที่จำเป็นในการให้บริการฟีเจอร์ โดยปกติแล้ว Google API จะมี เอกสารอ้างอิงเกี่ยวกับ หน้า Google Developers ของผลิตภัณฑ์สำหรับปลายทาง ซึ่งรวมถึงขอบเขตที่จำเป็นในการเรียก ปลายทางหรือพร็อพเพอร์ตี้ที่เฉพาะเจาะจงภายใน ดูข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตที่จำเป็นของ การเข้าถึงสำหรับปลายทาง API ที่แอปของคุณเรียกใช้ได้ในเอกสารอ้างอิงของปลายทางเหล่านั้น
  • คุณต้องใช้ข้อมูลที่ได้รับจาก Google API ตามนโยบายของ API และในลักษณะที่คุณแสดงต่อผู้ใช้ในการดำเนินการของแอปและใน นโยบายความเป็นส่วนตัว
  • ดูเอกสารประกอบ API เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับแต่ละขอบเขต รวมถึง sensitive or restricted สถานะที่อาจเกิดขึ้น
  • ประกาศขอบเขตทั้งหมดที่แอปของคุณใช้ใน Cloud Console Data Access page ระบบจะจัดกลุ่มขอบเขตที่คุณระบุเป็นหมวดหมู่ที่ละเอียดอ่อนหรือจำกัด เพื่อไฮไลต์การยืนยันเพิ่มเติมที่จำเป็น
  • ค้นหาสโคปที่ดีที่สุดที่ตรงกับข้อมูลที่การผสานรวมใช้ ทำความเข้าใจการใช้งาน ยืนยันอีกครั้งว่าทุกอย่างยังคงทำงานได้ในสภาพแวดล้อมการทดสอบ แล้วเตรียมส่งเพื่อรับ การยืนยัน
ตารางจะแสดงชื่อของ API, ขอบเขตที่มีความละเอียดอ่อนอย่างใดอย่างหนึ่ง และคำอธิบายของ ขอบเขตที่ครอบคลุม
รูปภาพ 1 ตัวอย่างขอบเขตที่มีความละเอียดอ่อน ซึ่งแสดงในหน้าขอบเขตการกำหนดค่าหน้าจอขอความยินยอม OAuth

ขั้นตอนการเตรียมพร้อมสำหรับการยืนยัน

แอปทั้งหมดที่ใช้ Google APIs เพื่อขอสิทธิ์เข้าถึงข้อมูลต้องทำตามขั้นตอนต่อไปนี้เพื่อ ยืนยันแบรนด์ให้เสร็จสมบูรณ์

  1. ยืนยันว่าแอปของคุณไม่ได้อยู่ภายใต้กรณีการใช้งานใดๆ ในส่วนข้อยกเว้นของข้อกำหนดในการยืนยัน
  2. ตรวจสอบว่าแอปของคุณเป็นไปตามข้อกำหนดด้านการสร้างแบรนด์ของ API หรือผลิตภัณฑ์ที่เชื่อมโยง เช่น ดูหลักเกณฑ์การใช้แบรนด์ สำหรับขอบเขตการลงชื่อเข้าใช้ด้วย Google
  3. ยืนยันการเป็นเจ้าของโดเมนที่ได้รับอนุญาตของโปรเจ็กต์ภายใน Google Search Console ใช้บัญชี Google ที่เชื่อมโยงกับ API Console โปรเจ็กต์ในฐานะเจ้าของหรือผู้แก้ไข
  4. ตรวจสอบว่าข้อมูลการสร้างแบรนด์ทั้งหมดในหน้าจอคำยินยอม OAuth เช่น ชื่อแอป อีเมลสนับสนุน URI ของหน้าแรก URI ของนโยบายความเป็นส่วนตัว ฯลฯ แสดงตัวตนของแอปอย่างถูกต้อง

ข้อกำหนดของหน้าแรกของแอปพลิเคชัน

ตรวจสอบว่าหน้าแรกเป็นไปตามข้อกำหนดต่อไปนี้

  • หน้าแรกของคุณต้องเข้าถึงได้แบบสาธารณะ และไม่ใช่เพียงผู้ใช้ที่ลงชื่อเข้าสู่ระบบของเว็บไซต์ เท่านั้น
  • ความเกี่ยวข้องของหน้าแรกกับแอปที่อยู่ระหว่างตรวจสอบต้องชัดเจน
  • ลิงก์ไปยังข้อมูลแอปใน Google Play Store หรือหน้า Facebook ของแอปไม่ถือเป็นหน้าแรกของแอปพลิเคชันที่ถูกต้อง

ข้อกำหนดของลิงก์นโยบายความเป็นส่วนตัวของแอปพลิเคชัน

ตรวจสอบว่านโยบายความเป็นส่วนตัวของแอปเป็นไปตามข้อกำหนดต่อไปนี้

  • นโยบายความเป็นส่วนตัวต้องแสดงต่อผู้ใช้ โฮสต์ภายในโดเมนเดียวกันกับหน้าแรกของแอปพลิเคชัน และลิงก์อยู่ในหน้าจอคำยินยอม OAuth ของ Google API Consoleโปรดทราบว่าหน้าแรกต้องมีคำอธิบายฟังก์ชันการทำงานของแอป รวมถึงลิงก์ไปยังนโยบายความเป็นส่วนตัวและข้อกำหนดในการให้บริการ (ไม่บังคับ)
  • นโยบายความเป็นส่วนตัวต้องเปิดเผยลักษณะที่แอปพลิเคชันของคุณเข้าถึง ใช้ จัดเก็บ หรือแชร์ข้อมูลผู้ใช้ Google คุณต้องจำกัดการใช้ข้อมูลผู้ใช้ Google ให้เป็นไปตามแนวทางปฏิบัติที่นโยบายความเป็นส่วนตัวที่เผยแพร่ เปิดเผยไว้

วิธีส่งแอปเพื่อขอรับการยืนยัน

Google Cloud Console โปรเจ็กต์จะจัดระเบียบ Cloud Console ทรัพยากรทั้งหมด โปรเจ็กต์ประกอบด้วยชุดบัญชี Google ที่เชื่อมโยงกัน ซึ่งมีสิทธิ์ดำเนินการในโปรเจ็กต์ ชุด API ที่เปิดใช้ และ การตั้งค่าการเรียกเก็บเงิน การตรวจสอบสิทธิ์ และการตรวจสอบสำหรับ API เหล่านั้น เช่น โปรเจ็กต์อาจมีไคลเอ็นต์ OAuth อย่างน้อย 1 ราย กำหนดค่า API เพื่อให้ไคลเอ็นต์เหล่านั้นใช้ และกำหนดค่าหน้าจอคำยินยอม OAuth ที่แสดงต่อผู้ใช้ก่อนที่จะให้สิทธิ์เข้าถึงแอปของคุณ

หากไคลเอ็นต์ OAuth ใดไม่พร้อมใช้งานจริง เราขอแนะนำให้คุณลบไคลเอ็นต์เหล่านั้นออกจาก โปรเจ็กต์ที่ขอรับการยืนยัน คุณทำได้ใน Clients page

หากต้องการส่งเพื่อรับการยืนยัน ให้ทำตามขั้นตอนต่อไปนี้

  1. ตรวจสอบว่าแอปของคุณเป็นไปตามข้อกำหนดในการให้บริการของ Google APIs และนโยบายข้อมูลผู้ใช้ของบริการ Google API
  2. โปรดอัปเดตบทบาทเจ้าของและผู้แก้ไขของบัญชีที่เชื่อมโยงกับโปรเจ็กต์ รวมถึงอีเมลสนับสนุนผู้ใช้และข้อมูลติดต่อของนักพัฒนาแอปใน หน้าจอขอความยินยอม OAuth ใน Cloud Consoleวิธีนี้จะช่วยให้สมาชิกที่เหมาะสมในทีมของคุณได้รับการแจ้งเตือนเกี่ยวกับข้อกำหนดใหม่
  3. ไปที่ Cloud Console ศูนย์ยืนยัน OAuth
  4. คลิกปุ่มตัวเลือกโปรเจ็กต์

  5. ในกล่องโต้ตอบเลือกจากที่ปรากฏขึ้น ให้เลือกโปรเจ็กต์ หากไม่พบโปรเจ็กต์แต่ทราบรหัสโปรเจ็กต์ คุณสามารถสร้าง URL ในเบราว์เซอร์ได้ในรูปแบบต่อไปนี้ 

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    แทนที่ [PROJECT_ID] ด้วยรหัสโปรเจ็กต์ที่ต้องการใช้

  6. เลือกปุ่มแก้ไขแอป
  7. ป้อนข้อมูลที่จำเป็นในหน้าจอขอความยินยอม OAuth แล้วเลือกปุ่มบันทึก และดำเนินการต่อ
  8. ใช้ปุ่มเพิ่มหรือนำขอบเขตออกเพื่อประกาศขอบเขตทั้งหมดที่แอปของคุณขอ ขอบเขตชุดแรกที่จำเป็นสำหรับ Google Sign-In จะมีการป้อนข้อมูลไว้ล่วงหน้าในส่วนขอบเขตที่ไม่ละเอียดอ่อน ระบบจะจัดประเภทขอบเขตที่เพิ่มเป็นขอบเขตที่ไม่ละเอียดอ่อน sensitive, or restricted
  9. ระบุลิงก์สูงสุด 3 รายการไปยังเอกสารประกอบที่เกี่ยวข้องสำหรับฟีเจอร์ที่เกี่ยวข้องในแอป

  10. ระบุข้อมูลเพิ่มเติมที่ขอเกี่ยวกับแอปของคุณในขั้นตอนถัดไป

    1. Prepare a detailed justification for each requested sensitive scope, as well as an explanation for why a narrower scope isn't sufficient. For example: "My app will use https://www.googleapis.com/auth/calendar to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar."

    2. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
  11. หากการกำหนดค่าแอปที่คุณระบุต้องมีการยืนยัน คุณจะมีโอกาสส่งแอปเพื่อรับการยืนยัน กรอกข้อมูลในช่องที่ต้องกรอก แล้วคลิกส่งเพื่อเริ่มกระบวนการ ยืนยันตัวตน

หลังจากที่คุณส่งแอปแล้ว ทีมความน่าเชื่อถือและความปลอดภัยของ Google จะติดตามผลทางอีเมลพร้อมข้อมูลเพิ่มเติมที่ทีมต้องการหรือขั้นตอนที่คุณต้องดำเนินการให้เสร็จสมบูรณ์ โปรดตรวจสอบอีเมลในส่วนข้อมูลติดต่อของนักพัฒนาแอปและอีเมลสนับสนุนของหน้าจอขอความยินยอม OAuth เพื่อดูคำขอข้อมูลเพิ่มเติม นอกจากนี้ คุณยังดูหน้าจอคำยินยอม OAuth ของโปรเจ็กต์เพื่อยืนยันสถานะการตรวจสอบปัจจุบันของโปรเจ็กต์ได้ด้วย รวมถึงดูว่ากระบวนการตรวจสอบหยุดชั่วคราวหรือไม่ในขณะที่เรากำลังรอคำตอบจากคุณ

ข้อยกเว้นสำหรับข้อกำหนดในการยืนยัน

หากจะใช้แอปในสถานการณ์ใดก็ตามที่อธิบายไว้ในส่วนต่อไปนี้ คุณ ไม่จำเป็นต้องส่งแอปมารับการตรวจสอบ

การใช้งานส่วนตัว

กรณีการใช้งานหนึ่งคือหากคุณเป็นผู้ใช้แอปเพียงคนเดียว หรือหากมีผู้ใช้แอปเพียงไม่กี่คน ซึ่งคุณรู้จักเป็นการส่วนตัว คุณและผู้ใช้จำนวนจำกัดอาจสะดวกใจที่จะ ดำเนินการผ่านหน้าจอ แอปที่ไม่ได้ยืนยันและให้สิทธิ์บัญชีส่วนตัวเข้าถึงแอป

โปรเจ็กต์ที่ใช้ในระดับการพัฒนา การทดสอบ หรือการจัดเตรียม

เราขอแนะนำให้คุณมีโปรเจ็กต์ที่แตกต่างกันสำหรับสภาพแวดล้อมการทดสอบและสภาพแวดล้อมการใช้งานจริงเพื่อปฏิบัติตามนโยบาย Google OAuth 2.0 เราขอแนะนำให้คุณส่งแอปเข้ารับการยืนยัน ก็ต่อเมื่อต้องการให้ผู้ใช้ทุกคนที่มีบัญชี Google ใช้แอปของคุณได้ ดังนั้น หากแอปของคุณ อยู่ในขั้นตอนการพัฒนา การทดสอบ หรือการจัดเตรียม คุณก็ไม่จำเป็นต้องยืนยัน

หากแอปอยู่ในขั้นตอนการพัฒนาหรือการทดสอบ คุณสามารถปล่อยให้สถานะการเผยแพร่อยู่ในค่าเริ่มต้นของการทดสอบได้ การตั้งค่านี้หมายความว่าแอปของคุณยังอยู่ระหว่างการพัฒนาและพร้อมให้บริการแก่ผู้ใช้ที่คุณเพิ่มลงในรายชื่อผู้ใช้ทดสอบเท่านั้น คุณต้องจัดการรายชื่อบัญชี Google ที่เกี่ยวข้องกับการพัฒนาหรือการทดสอบแอป

ข้อความเตือนว่า Google ยังไม่ได้ยืนยันแอปที่อยู่ระหว่างการทดสอบ
รูปภาพ 2 หน้าจอคำเตือนสำหรับผู้ทดสอบ

ข้อมูลที่บริการเป็นเจ้าของเท่านั้น

หากแอปใช้บัญชีบริการเพื่อเข้าถึงเฉพาะข้อมูลของตัวเอง และไม่ได้เข้าถึงข้อมูลผู้ใช้ (ที่ลิงก์กับบัญชี Google) คุณก็ไม่จำเป็นต้องส่งเพื่อรับการยืนยัน

หากต้องการทำความเข้าใจว่าบัญชีบริการคืออะไร โปรดดูบัญชีบริการในเอกสารประกอบของ Google Cloud ดูวิธีการใช้บัญชีบริการได้ที่ การใช้ OAuth 2.0 สำหรับแอปพลิเคชัน ที่มีการโต้ตอบระหว่างเซิร์ฟเวอร์กับเซิร์ฟเวอร์

ใช้ภายในเท่านั้น

ซึ่งหมายความว่าแอปนี้จะใช้ได้เฉพาะผู้ที่อยู่ในองค์กร Google Workspace หรือ Cloud Identity ของคุณเท่านั้น องค์กรต้องเป็นเจ้าของโปรเจ็กต์ และต้องกำหนดค่าหน้าจอคำยินยอม OAuth สำหรับผู้ใช้ภายใน ประเภท ในกรณีนี้ แอปของคุณอาจต้องได้รับการอนุมัติจากผู้ดูแลระบบขององค์กร โปรดดูข้อมูลเพิ่มเติมที่ข้อควรพิจารณาเพิ่มเติมสำหรับ Google Workspace

การติดตั้งทั่วทั้งโดเมน

หากคุณวางแผนให้แอปกำหนดเป้าหมายเฉพาะผู้ใช้ขององค์กร Google Workspace หรือ Cloud Identity และใช้การติดตั้งทั่วทั้งโดเมนเสมอ แอปของคุณก็ไม่จำเป็นต้องมีการยืนยันแบรนด์ อย่างไรก็ตาม หากแอปใช้ ขอบเขตที่จำกัดหรือละเอียดอ่อน คุณจะต้อง ยืนยันแอป เนื่องจากการติดตั้งทั่วทั้งโดเมนจะช่วยให้ผู้ดูแลระบบโดเมน สามารถให้สิทธิ์เข้าถึงข้อมูลของผู้ใช้แก่แอปพลิเคชันของบุคคลที่สามและแอปพลิเคชันภายในได้ ผู้ดูแลระบบขององค์กร เป็นบัญชีเดียวที่เพิ่มแอปไปยังรายการที่อนุญาตเพื่อใช้ภายในโดเมนของตนได้

ดูวิธีทำให้แอปของคุณเป็นการติดตั้งทั่วทั้งโดเมนในคำถามที่พบบ่อย แอปพลิเคชันของฉันมีผู้ใช้ที่มี บัญชีองค์กรจากโดเมน Google Workspace อื่น