使用 OAuth 2.0 授權時,Google 會向使用者顯示同意畫面,內容包括專案摘要、政策,以及要求授權的存取範圍。設定應用程式的 OAuth 同意畫面,可決定向使用者和應用程式審查人員顯示的內容,並註冊應用程式,以便日後發布。
如要定義授予應用程式的存取層級,您需要識別並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串,其中包含 Google Workspace 應用程式名稱、存取資料類型和存取層級。「範圍」是指應用程式要求存取 Google Workspace 資料,包括使用者 Google 帳戶資料。
安裝應用程式時,系統會要求使用者驗證應用程式使用的範圍。一般來說,您應盡可能選擇範圍最窄的範圍,並避免要求應用程式不需要的範圍。使用者更願意授予存取權給範圍有限且說明清楚的應用程式。
所有使用 OAuth 2.0 的應用程式都必須設定同意畫面,但您只需要列出 Google Workspace 機構外部人員使用的應用程式範圍。
提示:如果您不知道必要的同意畫面資訊,可以在發布前使用預留位置資訊。
基於安全考量,設定 OAuth 2.0 同意畫面後,就無法移除。
設定 OAuth 同意畫面
- 在 Google Cloud 控制台中,依序前往「Menu」(選單) > Google Auth platform >「Branding」(品牌)。
- 如果您已設定 Google Auth platform,可以在「Branding」(品牌)、「Audience」(目標對象) 和「Data Access」(資料存取權) 中設定下列 OAuth 同意畫面設定。 如果看到「Get Started」(尚未設定)Google Auth platform 訊息,請按一下「開始使用」:
- 在「App Information」(應用程式資訊) 下方的「App name」(應用程式名稱) 欄位中,輸入應用程式名稱。
- 在「User support email」(使用者支援電子郵件) 中,選擇支援電子郵件地址,方便使用者在同意聲明方面有任何疑問時與您聯絡。
- 點選 [下一步]。
- 在「目標對象」下方,選取應用程式的使用者類型。
- 點選 [下一步]。
- 在「Contact Information」(聯絡資訊) 下方,輸入可接收專案異動通知的電子郵件地址。
- 點選 [Next] (下一步)。
- 在「Finish」(完成) 部分,請詳閱《Google API 服務使用者資料政策》,然後選取「我同意《Google API 服務:使用者資料政策》」。
- 按一下 [Continue] (繼續)。
- 按一下「Create」(建立)。
- 如果為使用者類型選取「外部」,請新增測試使用者:
- 按一下「目標對象」。
- 在「測試使用者」下方,按一下「新增使用者」。
- 輸入您的電子郵件地址和任何其他授權測試使用者,然後按一下「儲存」。
如果您要建立的應用程式供 Google Workspace 機構以外的使用者使用,請依序點選「資料存取」>「新增或移除範圍」。選取範圍時,建議採取下列最佳做法:
- 選取應用程式所需的最低存取層級範圍。如需可用範圍清單,請參閱「Google API 適用的 OAuth 2.0 範圍」。
- 請查看三個部分列出的範圍:非機密範圍、機密範圍和受限制範圍。如果「您的機密範圍」或「您的受限範圍」部分列出任何範圍,請嘗試找出替代的非機密範圍,避免不必要的額外審查。
- 部分範圍需要 Google 進行額外審查。如果應用程式僅供 Google Workspace 機構內部使用,同意畫面就不會列出範圍,且使用受限制或敏感範圍時,也不需要 Google 進一步審查。詳情請參閱「範圍類別」。
- 選取應用程式所需的範圍後,按一下「儲存」。
如要進一步瞭解如何設定 OAuth 同意聲明,請參閱「開始使用 Google Auth platform」一文。
範圍類別
部分範圍授予的存取層級或類型較高,因此需要額外審查並符合相關規定。請考慮下列範圍類型:
| 必須完成基本應用程式驗證 | 需要額外驗證應用程式 | 需要安全性評估 | |||
|---|---|---|---|---|---|
| 非機密範圍 (建議) | 只授予與特定動作直接相關的有限資料存取權。 | — | — | ||
 |
機密範圍 | 授予個人使用者資料、資源或動作的存取權。 | — | ||
 |
受限制的範圍 | 授予高機密或大量使用者資料/動作的存取權。 |
下一步
為應用程式建立存取憑證。