Định cấu hình OAuth

Khi phát hành ứng dụng, bạn cần hoàn tất 4 nhiệm vụ chính để xác thực và uỷ quyền:

1. Điền vào màn hình xin phép bằng OAuth.
2. Tạo thông tin xác thực OAuth 2.0.
3. Định cấu hình tất cả phạm vi mà ứng dụng cần để chạy trong SDK Google Workspace Marketplace
4. Gửi ứng dụng để xác minh OAuth.

Phạm vi mà bạn thêm vào từng địa điểm phải khớp và được sử dụng theo các cách sau:

• Các phạm vi được thêm vào màn hình xin phép bằng OAuth được dùng để xác minh OAuth.
• Các phạm vi được thêm vào SDK Google Workspace Marketplace được dùng cho các lượt cài đặt trên toàn miền và cá nhân để uỷ quyền cho ứng dụng của bạn khi ứng dụng được cài đặt từ Google Workspace Marketplace.
• Các phạm vi được thêm vào tệp kê khai là cần thiết để ứng dụng của bạn hoạt động đúng cách.

Ví dụ: nếu bạn phát hành một ứng dụng có tiện ích bổ sung Google Trang tính và tiện ích bổ sung Google Tài liệu, thì tệp kê khai Apps Script của mỗi tiện ích bổ sung chỉ bao gồm các phạm vi dành riêng cho tiện ích bổ sung đó. Trong dự án Google Cloud, màn hình xin phép bằng OAuth và SDK Google Workspace Marketplace bao gồm các phạm vi cho cả hai tiện ích bổ sung.

Điều kiện tiên quyết

• Trong một dự án trên Google Cloud, hãy bật tính năng thanh toán.
• Tạo và kiểm thử ứng dụng.
• Tìm hiểu về việc xác thực và uỷ quyền.
• Nếu bạn đã tạo ứng dụng trong Google Apps Script, hãy cập nhật dự án Google Cloud cho dự án Apps Script.

1. Điền vào màn hình xin phép bằng OAuth

Màn hình yêu cầu đồng ý OAuth là lời nhắc cho người dùng biết ai đang yêu cầu quyền truy cập vào dữ liệu của họ và loại dữ liệu mà người dùng cho phép ứng dụng của bạn truy cập.

1. Trong Google Cloud Console, hãy chuyển đến Trình đơn menu > API và dịch vụ > Màn hình đồng ý OAuth.

   Chuyển đến màn hình xin phép bằng OAuth

2. Chọn loại người dùng cho ứng dụng, sau đó nhấp vào Tạo.
3. Hoàn tất biểu mẫu đăng ký ứng dụng, sau đó nhấp vào Lưu và tiếp tục.

4. Nếu bạn đang tạo một ứng dụng để sử dụng bên ngoài tổ chức Google Workspace, hãy nhấp vào Thêm hoặc xoá phạm vi. Bạn nên áp dụng các phương pháp hay nhất sau đây khi chọn phạm vi:

   • Chọn các phạm vi cung cấp cấp truy cập tối thiểu mà ứng dụng của bạn yêu cầu. Để biết danh sách các phạm vi hiện có, hãy xem phần Phạm vi OAuth 2.0 cho các API của Google.
   • Xem xét các phạm vi được liệt kê trong mỗi phần trong số 3 phần: phạm vi không nhạy cảm, phạm vi nhạy cảm và phạm vi bị hạn chế. Đối với mọi phạm vi được liệt kê trong mục "Phạm vi nhạy cảm của bạn" hoặc "Phạm vi bị hạn chế của bạn", hãy cố gắng xác định các phạm vi không nhạy cảm thay thế để tránh phải xem xét thêm không cần thiết.
   • Một số phạm vi cần Google xem xét thêm. Đối với các ứng dụng chỉ do tổ chức Google Workspace của bạn sử dụng nội bộ, các phạm vi sẽ không được liệt kê trên màn hình yêu cầu đồng ý và việc sử dụng các phạm vi bị hạn chế hoặc nhạy cảm sẽ không yêu cầu Google xem xét thêm. Để biết thêm thông tin, hãy xem phần Danh mục phạm vi.
5. Sau khi chọn các phạm vi mà ứng dụng của bạn yêu cầu, hãy nhấp vào Lưu và tiếp tục.
6. Nếu bạn đã chọn Bên ngoài cho loại người dùng, hãy thêm người dùng thử nghiệm:
   1. Trong phần Người dùng thử nghiệm, hãy nhấp vào Thêm người dùng.
   2. Nhập địa chỉ email của bạn và mọi người dùng thử nghiệm được uỷ quyền khác, sau đó nhấp vào Lưu và tiếp tục.
7. Xem lại thông tin tóm tắt về việc đăng ký ứng dụng. Để chỉnh sửa, hãy nhấp vào Chỉnh sửa. Nếu quá trình đăng ký ứng dụng có vẻ ổn, hãy nhấp vào Quay lại trang tổng quan.

2. Tạo thông tin xác thực OAuth 2.0

Tuỳ thuộc vào cách bạn tạo ứng dụng, có hai cách để tạo thông tin xác thực OAuth 2.0.

Nếu bạn đã tạo ứng dụng trong Apps Script

Chuyển dự án Apps Script từ dự án Google Cloud mặc định sang dự án mới, chuẩn. Xem phần Chuyển sang một dự án chuẩn khác.

Sau khi bạn liên kết dự án Apps Script với dự án Google Cloud, thông tin xác thực OAuth 2.0 sẽ tự động được tạo.

Nếu bạn không sử dụng Apps Script để tạo ứng dụng

Để tạo thông tin xác thực OAuth 2.0, hãy xem phần Thông tin xác thực mã ứng dụng khách OAuth.

3. Định cấu hình phạm vi

Cung cấp danh sách đầy đủ các phạm vi OAuth mà ứng dụng của bạn yêu cầu. Luôn sử dụng phạm vi hẹp nhất có thể.

Để xác định cấp truy cập được cấp cho ứng dụng, bạn cần xác định và khai báo phạm vi uỷ quyền. Phạm vi uỷ quyền là một chuỗi URI OAuth 2.0 chứa tên ứng dụng Google Workspace, loại dữ liệu mà ứng dụng truy cập và cấp truy cập. Phạm vi là các yêu cầu của ứng dụng để xử lý dữ liệu Google Workspace, bao gồm cả dữ liệu Tài khoản Google của người dùng.

Khi cài đặt ứng dụng, người dùng sẽ được yêu cầu xác thực các phạm vi mà ứng dụng sử dụng. Nhìn chung, bạn nên chọn phạm vi tập trung hẹp nhất có thể và tránh yêu cầu các phạm vi mà ứng dụng không yêu cầu. Người dùng sẵn sàng cấp quyền truy cập vào các phạm vi bị giới hạn và được mô tả rõ ràng hơn.

4. Gửi để xác minh OAuth (chỉ dành cho ứng dụng công khai)

Nếu một ứng dụng công khai sử dụng các phạm vi nhạy cảm hoặc bị hạn chế, thì ứng dụng đó phải trải qua quy trình đánh giá xác minh OAuth.

• Để xác minh OAuth, bạn phải gửi một video minh hoạ hành trình hoặc quy trình giải thích cách sử dụng các phạm vi hoặc dữ liệu được yêu cầu cho người dùng.
• Nếu sử dụng các phạm vi bị hạn chế, ứng dụng của bạn cũng có thể cần phải trải qua quy trình đánh giá bảo mật. Xem bài viết Tại sao cần phải đánh giá bảo mật.

Để gửi yêu cầu xác minh, hãy làm theo các bước sau:

1. Trong Google Cloud Console, hãy chuyển đến Trình đơn menu > API và dịch vụ > Màn hình đồng ý OAuth.

   Chuyển đến màn hình xin phép bằng OAuth

2. Nhấp vào Bộ chọn dự án rồi chọn dự án của bạn.
3. Nhấp vào Chỉnh sửa ứng dụng
4. Nhập thông tin bắt buộc rồi nhấp vào Gửi để xác minh.
5. Trong hộp thoại Yêu cầu xác minh, hãy nhập lý do thích hợp, sau đó nhấp vào Gửi để bắt đầu quy trình xác minh.

Nếu cập nhật ứng dụng để sử dụng các phạm vi nhạy cảm hoặc hạn chế khác, bạn phải gửi lại ứng dụng để xác minh OAuth. Bạn không cần gửi lại ứng dụng để xem xét.

Sự khác biệt giữa quy trình xác minh OAuth và quy trình xem xét ứng dụng

Quy trình xác minh OAuth là một quy trình riêng biệt với quy trình xem xét ứng dụng. Quy trình này tập trung vào việc đảm bảo rằng màn hình yêu cầu đồng ý của bạn thể hiện chính xác danh tính và ý định của ứng dụng, đồng thời đảm bảo ứng dụng của bạn không sử dụng sai dữ liệu người dùng. Trang thông tin ứng dụng của bạn không thể được phê duyệt cho đến khi quá trình xác minh OAuth của ứng dụng hoàn tất. Để biết thêm thông tin về quy trình xác minh OAuth, hãy xem Câu hỏi thường gặp về quy trình xác minh API OAuth.

Quy trình đánh giá ứng dụng tập trung vào thông tin mà bạn cung cấp trong API Google Workspace Marketplace, cũng như chức năng và khả năng hữu dụng của ứng dụng. Để tìm hiểu thêm về các tiêu chí đánh giá ứng dụng, hãy xem phần Giới thiệu về quy trình đánh giá ứng dụng.