設定 OAuth

發布應用程式時,需要完成 4 項主要工作來進行驗證和授權:

  1. 填寫 OAuth 同意畫面
  2. 建立 OAuth 2.0 憑證
  3. 設定應用程式在 Google Workspace Marketplace SDK 中執行所需的所有範圍
  4. 提交您的應用程式以進行 OAuth 驗證

您為每個地點新增的範圍必須相符,且用途如下:

  • 新增至 OAuth 同意畫面的範圍會用於 OAuth 驗證。
  • 新增至 Google Workspace Marketplace SDK 的範圍會用於全網域和個別安裝,以便在透過 Google Workspace Marketplace 安裝應用程式時提供授權。
  • 您必須在資訊清單中新增範圍,應用程式才能正常運作。

舉例來說,假設您發布的應用程式包含 Google 試算表外掛程式和 Google 文件外掛程式,則每個外掛程式的 Apps Script 資訊清單只會包含該外掛程式專用的範圍。在 Google Cloud 專案中,OAuth 同意畫面和 Google Workspace Marketplace SDK 皆包含這兩個外掛程式的範圍。

必要條件

OAuth 同意畫面是一種提示,可以告知使用者要求存取其資料的人員,以及使用者允許應用程式存取的資料類型。

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「OAuth 同意畫面」

    前往 OAuth 同意畫面

  2. 選取應用程式的使用者類型,然後按一下「Create」
  3. 填寫應用程式註冊表單,然後按一下「儲存並繼續」
  4. 如要建立可在 Google Workspace 機構外部使用的應用程式,請按一下「新增或移除範圍」。建議您在選取範圍時採用以下最佳做法:

    • 選取提供應用程式所需最低存取權範圍的範圍。如需可用範圍的清單,請參閱 Google API 適用的 OAuth 2.0 範圍
    • 查看以下三個區段列出的範圍:非機密範圍、敏感範圍及受限制的範圍。針對「您的機密範圍」或「您的受限制範圍」部分中列出的任何範圍,請找出其他的非機密範圍,避免進行不必要的額外審查。
    • 部分範圍需要 Google 進行額外審查。如果應用程式只會在您的 Google Workspace 機構內部使用,同意畫面就不會列出範圍,而使用受限製或敏感範圍的應用程式並不需要經過 Google 進一步審查。詳情請參閱「範圍類別」相關說明。
  5. 選取應用程式所需的範圍後,請按一下「儲存並繼續」
  6. 針對使用者類型選取「外部」,請新增測試使用者:
    1. 在「測試使用者」下方,點選「新增使用者」
    2. 輸入您的電子郵件地址和任何其他授權測試使用者,然後按一下「儲存並繼續」
  7. 查看您的應用程式註冊摘要。如要變更,請按一下「編輯」。如果應用程式註冊正確無誤,請按一下「Back to Dashboard」(返回資訊主頁)

2. 建立 OAuth 2.0 憑證

視應用程式的建構方式而定,建立 OAuth 2.0 憑證的方法有兩種。

如果是使用 Apps Script 建構應用程式

將 Apps Script 專案從預設的 Google Cloud 專案切換至新的標準專案。請參閱「切換至其他標準專案」。

將 Apps Script 專案與 Google Cloud 專案建立關聯後,系統就會自動建立 OAuth 2.0 憑證。

如果您並未使用 Apps Script 建構應用程式

如要建立 OAuth 2.0 憑證,請參閱 OAuth 用戶端 ID 憑證

3. 設定範圍

提供應用程式所需的 OAuth 範圍完整清單。請盡可能使用最窄的範圍。

如要定義授予應用程式的存取權層級,您必須識別並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串,包含 Google Workspace 應用程式名稱、應用程式存取的資料類型,以及存取層級。「範圍」是應用程式要求處理 Google Workspace 資料的要求,包括使用者的 Google 帳戶資料。

應用程式安裝完畢後,系統會要求使用者驗證應用程式使用的範圍。一般而言,您應選擇盡可能縮小的範圍,並避免要求應用程式不需要的範圍。使用者能夠更順利地授予描述過明確、有限範圍的存取權。

4. 提交 OAuth 驗證要求 (僅限公開應用程式)

如果公開應用程式使用敏感或受限制的範圍,則該應用程式必須通過 OAuth 驗證程序。

  • 如要進行 OAuth 驗證,您必須提交示範流程或流程的示範影片,說明您如何使用要求的範圍或資料。
  • 如果您的應用程式使用受限制的範圍,可能還需要進行安全性評估。請參閱「為什麼需要進行安全性評估」。

如要提交驗證申請,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「OAuth 同意畫面」

    前往 OAuth 同意畫面

  2. 按一下「專案選取器」,然後選取所需專案。
  3. 按一下「編輯應用程式」
  4. 輸入必要資訊,然後按一下「提交驗證」
  5. 在「需要驗證」對話方塊中輸入適當的理由,然後按一下「提交」啟動驗證程序。

如果您將應用程式更新為使用不同的敏感或限制範圍,就必須再次提交應用程式以進行 OAuth 驗證。您不需要再次將應用程式送交審查。

OAuth 驗證與應用程式審查的差異

OAuth 驗證和應用程式審查是不同的程序。這著重於確保同意畫面如實反映應用程式的身分和意圖,並確保應用程式不會濫用使用者資料。您必須先完成應用程式 OAuth 驗證,應用程式資訊才能獲得核准。如要進一步瞭解 OAuth 驗證,請參閱 OAuth API 驗證常見問題

應用程式審查著重於您在 Google Workspace Marketplace API 中提供的資訊,以及應用程式的功能和可用性。如要進一步瞭解應用程式審查標準,請參閱「關於應用程式審查」。