Die domainweite Delegierung ist eine leistungsstarke Funktion, mit der über Clientanwendungen ohne Zustimmung auf Workspace-Nutzerdaten zugegriffen werden kann. Sie haben zwei Möglichkeiten, die domainweite Delegierung zu verwenden:
- Dienstkonto für den Zugriff auf Daten im Namen eines Nutzers autorisieren. Für ein Dienstkonto können die folgenden Arten von Apps verwendet werden:
-
Migrations- und Synchronisierungstools, mit denen Nutzerinhalte aus einem anderen Dienst in Google Workspace dupliziert werden
-
Interne Apps, z. B. Automatisierungs-Apps, die Entwickler für Ihre Organisation erstellen. Sie können beispielsweise den Zugriff einer App autorisieren, mit der den Kalendern Ihrer Nutzer über die Calendar API Termine hinzugefügt werden.
-
- Nutzer dürfen OAuth-Client-Apps verwenden, ohne dass ein Einwilligungsbildschirm angezeigt wird. Nutzer können auf Apps zugreifen, ohne dass sie aufgefordert werden, ihre Zustimmung zu geben. Als Administrator können Sie festlegen, auf welche Nutzerdaten die Apps Zugriff haben.
Sie können auch domainweite Installationen verwalten und sich API-Bereiche für Google Workspace Marketplace-Apps anzeigen lassen. Hier finden Sie weitere Informationen zum Datenzugriff und zur Installation von Marketplace-Apps.
- Sie benötigen Super Admin-Berechtigungen für Ihr Google Workspace-Konto.
- Sehen Sie sich die Best Practices für die domainweite Delegierung und die Best Practices für die Verwendung von Dienstkonten an.
- Überprüfen Sie die Liste der für die Anwendung oder das Dienstkonto erforderlichen API-Bereiche. Achten Sie darauf, dass der Zugriffsbereich der App oder des Dienstkontos angemessen klein ist.
- Wenn Sie eine OAuth-Anwendung delegieren, erhalten Sie die OAuth-Client-ID vom App-Entwickler.
- (Bei der Deaktivierung eines Dienstkontos) Rufen Sie die Client-ID des Dienstkontos ab. Wenn Sie der Inhaber des Dienstkontos sind, finden Sie die ID folgendermaßen:
- Melden Sie sich in Google Cloud als Super Admin an.
- Klicken Sie auf IAM und Verwaltung
Dienstkonten
- Maximieren Sie Erweiterte Einstellungen und kopieren Sie die Kunden-ID.
- Durch die domainweite Delegierung hat die App auf alle Daten Ihrer Nutzer Zugriff. Wir empfehlen, Dienstkonten regelmäßig zu prüfen und alle Konten zu löschen, die nicht mehr verwendet werden.
Dienstkonten-
Melden Sie sich mit einem Super Admin-Konto in Google Admin-Konsole an.
Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.
-
Öffnen Sie das Dreistrich-Menü
Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung > Domainweite Delegierung verwalten.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Klicken Sie auf Neu hinzufügen.
-
Geben Sie die Client-ID für das Dienstkonto oder den OAuth2-Client ein.
- Fügen Sie unter OAuth-Bereiche jeden Bereich hinzu, auf den die App zugreifen kann. Sie sollten die Bereiche auf die beschränken, die wirklich notwendig sind. Sie können alle OAuth 2.0-Bereiche für Google APIs verwenden. Wenn die App beispielsweise domainweiten Zugriff auf die Google Drive API und die Google Calendar API benötigt, geben Sie https://www.googleapis.com/auth/drive und https://www.googleapis.com/auth/calendar ein.
- Klicken Sie auf Autorisieren. Wenn Sie eine Fehlermeldung erhalten, ist die Client-ID möglicherweise nicht bei Google registriert oder es sind duplizierte oder nicht unterstützte Bereiche vorhanden.
Hinweis: Wenn die Genehmigung durch mehrere Parteien für Ihre Organisation aktiviert ist, ist für die Autorisierung der domainweiten Delegierung für eine Client-App die Genehmigung eines anderen Super Admins erforderlich.
-
Wählen Sie die neue Client-ID aus, klicken Sie auf Details ansehen und prüfen Sie, ob alle Bereiche aufgelistet sind.
Wenn ein Bereich fehlt, klicken Sie auf Bearbeiten, geben Sie den fehlenden Bereich ein und klicken Sie auf Autorisieren. Die Client-ID lässt sich nicht bearbeiten.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Sie sollten regelmäßig die Bereiche Ihrer App prüfen und diejenigen entfernen, die nicht mehr gebraucht oder aktiv genutzt werden. Löschen Sie auch Clients, die Sie nicht mehr benötigen. Sie können beispielsweise den Zugriff für ein Migrationstool entfernen, nachdem die Migration abgeschlossen ist.
-
Melden Sie sich mit einem Super Admin-Konto in Google Admin-Konsole an.
Wenn Sie kein Super Admin-Konto verwenden, können Sie diese Schritte nicht ausführen.
-
Öffnen Sie das Dreistrich-Menü
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
-
Klicken Sie auf einen Clientnamen und dann auf eine der folgenden Aktionen:
- Details ansehen: den vollständigen Clientnamen und eine Liste der Bereiche aufrufen
- Bearbeiten: Bereiche hinzufügen oder entfernen. Die Client-ID lässt sich nicht bearbeiten. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
- Löschen: Apps, die von der Autorisierung des Clients abhängig sind, funktionieren dann ab sofort nicht mehr.
Hinweis: Wenn die Mehrfachgenehmigung für Ihre Organisation aktiviert ist, ist die Genehmigung eines anderen Super Admins erforderlich, um Bereiche zu bearbeiten oder die domainweite Delegierung für eine Client-App zu löschen.
