这些示例展示了如何豁免已列入许可名单的应用,使其始终可以访问特定 Google 服务的应用编程接口 (API),无论分配的访问权限级别如何。
用例 1:通过公开的 API 阻止受信任的应用
在此示例中,我们不豁免任何第三方受信任的应用。对于 Google Keep,我们已为 Temp Worker 组织部门设置禁止在公司网络外进行访问访问权限级别。这会导致任何通过 API 从您组织的网络外部访问 Google Keep 的应用被阻止。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 点击分配访问权限级别。
- 选择 Temp Worker 组织部门。
- 在应用列表中,选择 Google Keep,然后点击分配。
- 选择禁止在公司网络外进行访问,然后点击继续。
- 勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框。
- 勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框。
- 点击继续。
- 查看并点击完成。
用例 2:豁免第三方应用
在本示例中,我们豁免了第三方应用 Box。对于 Google 云端硬盘,我们为 Temp Worker 组织部门设置了禁止在公司网络外进行访问这一访问权限级别。因此,即使 API 请求来自贵组织的网络外部,第三方应用 Box 也能够访问 Google 云端硬盘。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击分配访问权限级别。
- 选择 Temp Worker 组织部门。
- 在应用列表中,选择 Google 云端硬盘,然后点击分配。
- 选择禁止在公司网络外进行访问,然后点击继续。
- 勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框。
- 勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框。
- 勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何)复选框。
您在“应用访问权限控制”页面上标记为受信任的任何第三方应用都会列在已列入许可名单的应用表格中。 - 选择 Box,然后点击继续。
- 查看并点击完成。
用例 3:在同一组织部门内豁免另一个第三方应用
在此示例中,我们将第三方应用 Salesforce 添加到前面用例的配置中。
应用豁免列表是一个组织部门专用列表,适用于在之前的情境感知访问权限级别分配和任何新的情境感知访问权限级别分配中豁免的所有第三方应用。应用豁免列表对于其定义所在的组织部门是唯一的。因此,组织部门拥有自己的应用豁免列表。
于是,在此示例中,Box 和 Salesforce 都将能够访问云端硬盘和 Gmail,无论分配的访问权限级别如何。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击分配访问权限级别。
- 选择 Temp Worker 组织部门。
- 在应用列表中,选择 Gmail 并点击分配。
- 选择禁止在美国境外访问这一访问权限级别,然后点击继续。
- 勾选阻止用户访问 Google 桌面和移动应用(如果不符合访问权限级别)复选框。
- 勾选阻止其他应用通过 API 访问所选应用(如果不符合访问权限级别)复选框。
- 勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何)复选框。
您在“应用访问权限控制”页面上标记为受信任的任何第三方应用都会列在已列入许可名单的应用表格中。 - 选择第三方应用 Salesforce,然后点击继续。
- 查看并点击完成。
群组和组织部门豁免行为
即使群组政策取代组织部门政策,您在群组级别分配情境感知访问权限级别时,仍然可以通过公开的 API 豁免受信任的第三方应用。不过,您无法像组织部门一样定义群组级豁免列表。
- 如果您在分配群组级情境感知访问权限级别时勾选豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何),则群组中的个人将受其所属的组织部门级豁免列表的约束。如果个人属于不同的组织部门,则将受这些组织部门的相应豁免列表的约束。
- 如果您在分配群组级情境感知访问权限级别时取消选中豁免已列入许可名单的应用,以便这些应用始终可以访问特定 Google 服务的 API(无论访问权限级别如何),则群组中的个人将不会受到任何豁免的约束。群组政策将取代组织部门政策,因此之前创建的情境感知访问权限级别的任何豁免将不会应用于此群组中的个人。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
