הגדרת OAuth

כשמפרסמים אפליקציה, יש 4 משימות עיקריות שצריך להשלים כדי לבצע אימות והרשאה:

1. ממלאים את מסך ההסכמה של OAuth.
2. יוצרים את פרטי הכניסה ל-OAuth 2.0.
3. הגדרת כל ההיקפים הנדרשים להפעלת האפליקציה ב-Google Workspace Marketplace SDK
4. שליחת האפליקציה לאימות OAuth.

ההיקפים שאתם מוסיפים לכל מקום חייבים להיות זהים, והם משמשים בדרכים הבאות:

• ההיקפים שנוספו למסך ההסכמה של OAuth משמשים לאימות OAuth.
• ההיקפים שנוספו ל-SDK של Google Workspace Marketplace משמשים להתקנות ברמת הדומיין ולהתקנות ספציפיות כדי לאשר את האפליקציה כשהיא מותקנת מ-Google Workspace Marketplace.
• ההיקפים שנוספו למניפסט נחוצים כדי שהאפליקציה תפעל כמו שצריך.

לדוגמה, אם מפרסמים אפליקציה שכוללת תוסף ל-Google Sheets ותוסף ל-Google Docs, המניפסט של כל תוסף ב-Apps Script יכלול רק את ההיקפים שספציפיים לתוסף. בפרויקט ב-Google Cloud, מסך ההסכמה ל-OAuth ו-Google Workspace Marketplace SDK כוללים את ההיקפים של שני התוספים.

דרישות מוקדמות

• בפרויקט ב-Google Cloud, מפעילים את החיוב.
• פיתוח ובדיקה של אפליקציה.
• מידע על אימות והרשאה
• אם פיתחתם את האפליקציה ב-Google Apps Script, עליכם לעדכן את הפרויקט ב-Google Cloud עבור פרויקטים של Apps Script.

1. ממלאים את מסך ההסכמה של OAuth

מסך ההסכמה של OAuth הוא הודעה שמציגה למשתמשים מי מבקש גישה לנתונים שלהם ואיזה סוג נתונים המשתמשים מאפשרים לאפליקציה לגשת אליהם.

1. במסוף Google Cloud, נכנסים לתפריט menu > > Branding.

   כניסה לדף Branding

2. אם כבר הגדרתם את , תוכלו להגדיר את ההגדרות הבאות של מסך ההסכמה ל-OAuth בקטע מיתוג, קהל וגישה לנתונים. אם מופיעה ההודעה not configured yet, לוחצים על Get Started:
1. בקטע פרטי האפליקציה, בשדה שם האפליקציה, מזינים שם לאפליקציה.
2. בקטע כתובת אימייל לתמיכה במשתמשים, בוחרים כתובת אימייל לתמיכה שבה המשתמשים יוכלו לפנות אליכם אם יש להם שאלות לגבי ההסכמה שלהם.
3. לוחצים על הבא.
4. בקטע קהל, בוחרים את סוג המשתמש באפליקציה.
5. לוחצים על הבא.
6. בקטע פרטים ליצירת קשר, מזינים כתובת אימייל שאליה יישלחו התראות על שינויים בפרויקט.
7. לוחצים על הבא.
8. בקטע סיום, קוראים את המדיניות בנושא נתוני משתמשים בשירותי Google API. אם מסכימים, בוחרים באפשרות אני מסכים/ה למדיניות בנושא נתוני משתמשים בשירותי Google API.
9. לוחצים על המשך.
10. לוחצים על יצירה.
11. אם בחרתם באפשרות חיצוני לסוג המשתמש, מוסיפים משתמשי בדיקה:
    1. לוחצים על קהל.
    2. בקטע משתמשי בדיקה, לוחצים על הוספת משתמשים.
    3. מזינים את כתובת האימייל שלכם ואת כתובות האימייל של כל משתמשי הבדיקה המורשים האחרים, ולוחצים על שמירה.

3. אם אתם יוצרים אפליקציה לשימוש מחוץ לארגון שלכם ב-Google Workspace, לוחצים על גישה לנתונים > הוספה או הסרה של היקפי גישה. מומלץ להשתמש בשיטות המומלצות הבאות בבחירת ההיקפים:

   • בוחרים את היקפי ההרשאות שמספקים את רמת הגישה המינימלית שנדרשת לאפליקציה. רשימה של היקפי ההרשאות הזמינים מופיעה במאמר היקפי OAuth 2.0 ל-Google APIs.
   • בודקים את ההיקפים שמפורטים בכל אחד משלושת הקטעים: היקפים לא רגישים, היקפים רגישים והיקפים מוגבלים. לגבי כל ההיקפים שמפורטים בקטעים 'ההיקפים הרגישים שלך' או 'ההיקפים המוגבלים שלך', נסו לזהות היקפים חלופיים שאינם רגישים כדי למנוע בדיקות נוספות מיותרות.
   • לחלק מההיקפים נדרשות בדיקות נוספות מצד Google. באפליקציות שמשמשות רק באופן פנימי בארגון שלכם ב-Google Workspace, ההיקפים לא מופיעים במסך ההסכמה, והשימוש בהיקפים מוגבלים או רגישים לא מחייב בדיקה נוספת על ידי Google. מידע נוסף זמין במאמר קטגוריות היקף.
4. אחרי שבוחרים את ההיקפים הנדרשים לאפליקציה, לוחצים על Save.

למידע נוסף על הגדרת הסכמה ל-OAuth, עיינו במאמר תחילת העבודה עם .

2. יצירת פרטי הכניסה ל-OAuth 2.0

בהתאם לאופן שבו פיתחתם את האפליקציה, יש שתי דרכים שונות ליצירת פרטי הכניסה ל-OAuth 2.0.

אם פיתחתם את האפליקציה ב-Apps Script

מעבירים את הפרויקט של Apps Script מפרויקט ברירת המחדל ב-Google Cloud לפרויקט החדש הרגיל. למידע נוסף, ראו מעבר לפרויקט רגיל אחר.

אחרי שמקשרים את הפרויקט ב-Apps Script לפרויקט ב-Google Cloud, פרטי הכניסה ל-OAuth 2.0 נוצרים באופן אוטומטי.

אם לא השתמשתם ב-Apps Script כדי לפתח את האפליקציה

במאמר פרטי כניסה של מזהה לקוח OAuth מוסבר איך יוצרים את פרטי הכניסה ל-OAuth 2.0.

3. הגדרת היקפי הרשאות

יש לספק רשימה מלאה של היקפי הרשאות ה-OAuth הנדרשים לאפליקציה. תמיד כדאי להשתמש בהיקפים הצרים ביותר האפשריים.

כדי להגדיר את רמת הגישה שמוענקת לאפליקציה, צריך לזהות ולדווח על היקפי הרשאה. היקף הרשאה הוא מחרוזת URI של OAuth 2.0 שמכילה את שם האפליקציה ב-Google Workspace, את סוג הנתונים שהיא ניגשת אליהם ואת רמת הגישה. היקפים הם הבקשות של האפליקציה לעבוד עם נתוני Google Workspace, כולל נתונים מחשבון Google של המשתמשים.

כשהאפליקציה מותקנת, המשתמש מתבקש לאמת את ההיקפים שבהם האפליקציה משתמשת. באופן כללי, כדאי לבחור את ההיקף המצומצם ביותר האפשרי ולהימנע מבקשות להיקפים שלא נדרשים לאפליקציה. משתמשים נותנים גישה בקלות רבה יותר להיקפים מוגבלים ומתוארים בבירור.

4. שליחת בקשה לאימות OAuth (אפליקציות ציבוריות בלבד)

אם אפליקציה ציבורית משתמשת בהיקפים רגישים או מוגבלים, היא צריכה לעבור תהליך בדיקה של אימות OAuth.

• לצורך אימות OAuth, צריך לשלוח סרטון הדגמה שמציג את התהליך או את הזרימה ומסביר למשתמשים איך משתמשים בהיקפי ההרשאות או בנתונים המבוקשים.
• אם האפליקציה שלכם משתמשת בהיקפים מוגבלים, יכול להיות שהיא תצטרך לעבור גם בדיקת אבטחה. למידע נוסף, ראו למה צריך לבצע הערכת אבטחה.

כדי לשלוח את הבקשה לאימות:

1. במסוף Google Cloud, נכנסים לתפריט menu > APIs & Services > OAuth consent screen.

   מעבר למסך ההסכמה של OAuth

2. לוחצים על Project selector ובוחרים את הפרויקט הרצוי.
3. לוחצים על עריכת האפליקציה.
4. מזינים את הפרטים הנדרשים ולוחצים על שליחה לאימות.
5. בתיבת הדו-שיח Verification required, מזינים את נימוקי ההצדקה המתאימים ולוחצים על Submit כדי להתחיל את תהליך האימות.

אם תעדכנו את האפליקציה כך שתשתמש בהיקפים שונים שהם רגישים או מגבילים, תצטרכו לשלוח אותה שוב לאימות OAuth. אין צורך לשלוח אותה שוב לבדיקה.

מה ההבדל בין אימות OAuth לבין בדיקת אפליקציות

אימות OAuth הוא תהליך נפרד מהבדיקה של האפליקציה. המטרה שלו היא לוודא שמסך ההסכמה מייצג בצורה מדויקת את הזהות והכוונה של האפליקציה, ולוודא שהאפליקציה לא משתמשת לרעה בנתוני המשתמשים. לא נוכל לאשר את דף האפליקציה עד שתשלימו את תהליך האימות של האפליקציה באמצעות OAuth. למידע נוסף על אימות OAuth, ראו שאלות נפוצות בנושא אימות OAuth API.

בדיקת האפליקציה מתמקדת במידע שסיפקתם ב-Google Workspace Marketplace API, ובפונקציונליות ובנוחות השימוש באפליקציה. מידע נוסף על הקריטריונים לבדיקת האפליקציות זמין במאמר מידע על בדיקת האפליקציות.