設定 OAuth

發布應用程式時，您必須完成 4 項主要工作，以便完成驗證和授權程序：

1. 填寫 OAuth 同意畫面。
2. 建立 OAuth 2.0 憑證。
3. 設定應用程式在 Google Workspace Marketplace SDK 中執行時所需的所有權限範圍
4. 將應用程式送交 OAuth 驗證。

您在每個地點新增的範圍必須一致，且使用方式如下：

• 新增至 OAuth 同意畫面的範圍會用於 OAuth 驗證。
• 新增至 Google Workspace Marketplace SDK 的範圍用於全網域和個別安裝作業，在從 Google Workspace Marketplace 安裝應用程式時授權應用程式。
• 應用程式需要在資訊清單中新增的範圍，才能正常運作。

舉例來說，如果您發布包含 Google 試算表外掛程式和 Google 文件外掛程式的應用程式，每個外掛程式的 Apps Script 資訊清單只會包含該外掛程式專屬的範圍。在 Google Cloud 專案中，OAuth 同意畫面和 Google Workspace Marketplace SDK 都包含這兩種外掛程式的權限範圍。

必要條件

• 在 Google Cloud 專案中啟用計費功能。
• 建構並測試應用程式。
• 瞭解驗證和授權。
• 如果您是在 Google Apps Script 中建構應用程式，請更新 Apps Script 專案的 Google Cloud 專案。

1. 填寫 OAuth 同意畫面

OAuth 同意畫面是一種提示，可告知使用者是誰要求存取其資料，以及使用者允許應用程式存取哪些資料。

1. 在 Google Cloud 控制台中，依序前往「選單」menu >「API 和服務」 >「OAuth 同意畫面」。

   前往 OAuth 同意畫面

2. 選取應用程式的使用者類型，然後按一下「建立」。
3. 填寫應用程式註冊表單，然後按一下「儲存並繼續」。

4. 如果您要建立用於 Google Workspace 機構以外的應用程式，請按一下「新增或移除範圍」。選擇範圍時，建議您採取下列最佳做法：

   • 選取提供應用程式所需最低存取權限的範圍。如需可用範圍的清單，請參閱「Google API 適用的 OAuth 2.0 範圍」。
   • 請查看每個部分列出的範圍：非機密範圍、機密範圍和受限制範圍。針對「您的機密範圍」或「您的受限制範圍」部分列出的任何範圍，請嘗試找出替代的非機密範圍，以免進行不必要的額外審查。
   • 部分權限需要 Google 額外審查。如果應用程式僅供貴機構的 Google Workspace 使用者在內部使用，同意畫面上不會列出範圍，且 Google 不需要進一步審查使用受限制或敏感範圍的情況。詳情請參閱「範圍類別」。
5. 選取應用程式所需的權限範圍後，按一下「儲存並繼續」。
6. 如果您選取的使用者類型為「外部」，請新增測試使用者：
   1. 在「測試使用者」下方，點選「新增使用者」。
   2. 輸入您的電子郵件地址和其他授權測試使用者，然後按一下「儲存並繼續」。
7. 查看應用程式註冊摘要。如要修改資訊，請按一下「編輯」。如果應用程式註冊看起來沒問題，請按一下「Back to Dashboard」。

2. 建立 OAuth 2.0 憑證

視您建構應用程式的方式而定，您可以透過兩種方式建立 OAuth 2.0 憑證。

如果您在 Apps Script 中建構應用程式

將 Apps Script 專案從預設的 Google Cloud 專案切換至新的標準專案。請參閱「切換至其他標準專案」。

將 Apps Script 專案與 Google Cloud 專案建立關聯後，系統會自動建立 OAuth 2.0 憑證。

如果您未使用 Apps Script 建構應用程式

如要建立 OAuth 2.0 憑證，請參閱「OAuth 用戶端 ID 憑證」。

3. 設定範圍

提供應用程式所需的 OAuth 範圍完整清單。請務必使用最狹隘的範圍。

如要定義授予應用程式的存取權層級，您必須識別並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串，其中包含 Google Workspace 應用程式名稱、應用程式存取的資料類型，以及存取層級。「範圍」是指應用程式要求處理 Google Workspace 資料的權限，包括使用者的 Google 帳戶資料。

安裝應用程式時，系統會要求使用者驗證應用程式使用的範圍。一般來說，您應盡可能選擇最狹隘的範圍，並避免要求應用程式不需要的範圍。使用者更願意授予明確說明的有限範圍存取權。

4. 提交 OAuth 驗證要求 (僅限公開應用程式)

如果公開應用程式使用機密或受限制的範圍，則必須通過 OAuth 驗證審查程序。

• 如要進行 OAuth 驗證，您必須提交示範影片，說明使用者如何在流程中使用所要求的範圍或資料。
• 如果您的應用程式使用受限制的範圍，可能也需要接受安全性評估。請參閱「為什麼需要進行安全性評估」一文。

如要提交驗證申請，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，依序前往「選單」menu >「API 和服務」 >「OAuth 同意畫面」。

   前往 OAuth 同意畫面

2. 按一下「專案選取器」，然後選取專案。
3. 按一下「編輯應用程式」
4. 輸入必要資訊，然後按一下「提交以供驗證」。
5. 在「需要驗證」對話方塊中輸入適當的理由，然後按一下「提交」即可開始驗證程序。

如果您更新應用程式，以便使用敏感或受限制的不同範圍，則必須再次提交應用程式以進行 OAuth 驗證。您不需要再次將其送交應用程式審查。

OAuth 驗證與應用程式審查的差異

OAuth 驗證程序與應用程式審查程序不同。這項政策著重於確保同意聲明畫面能準確呈現應用程式的身分和意圖，並確保應用程式不會濫用使用者資料。應用程式完成 OAuth 驗證前，應用程式資訊就無法獲得核准。如要進一步瞭解 OAuth 驗證，請參閱 OAuth API 驗證常見問題。

應用程式審查作業會著重於您在 Google Workspace Marketplace API 中提供的資訊，以及應用程式的功能和可用性。如要進一步瞭解應用程式審查標準，請參閱「關於應用程式審查」。