Als Administrator können Sie die domainweite Delegierung von Befugnissen nutzen, um Drittanbieter- und internen Apps Zugriff auf die Daten Ihrer Nutzer zu gewähren.
App-Entwickler und Administratoren können Dienstkonten mit OAuth 2.0 erstellen. Anschließend können Sie den Zugriff der Dienstkonten auf die Daten Ihrer Nutzer genehmigen, ohne dass diese einzeln ihre Einwilligung geben müssen. Apps, bei denen typischerweise eine domainweite Delegierung infrage kommt:
-
Google Workspace-Migrations- und Synchronisierungstools
-
Interne Apps, z. B. Automatisierungs-Apps, die Entwickler für Ihre Organisation erstellen. Sie können beispielsweise den Zugriff einer App autorisieren, mit der den Kalendern Ihrer Nutzer über die Calendar API Termine hinzugefügt werden.
-
Dreibeinige OAuth-Apps, die normalerweise die Einwilligung jedes Nutzers erfordern. Nutzer aktivieren Apps, ohne dass sie aufgefordert werden, ihre Einwilligung zu geben. Als Administrator können Sie festlegen, auf welche Nutzerdaten die Apps Zugriff haben.
In der Admin-Konsole finden Sie die Einstellungen zur Delegierung. Wenn Sie die Client-ID des Dienstkontos oder die OAuth2-Client-ID der App hinzufügen, können Sie ausgewählten Anwendungen Zugriff auf unterstützte Google APIs (Bereiche) gewähren.
Domainweite Delegierung
Die domainweite Delegierung ist eine leistungsstarke Funktion, mit der über Apps in der gesamten Google Workspace-Umgebung Ihrer Organisation auf Nutzerdaten zugegriffen werden kann. Sie können beispielsweise einer Migrations-App, über die Nutzerinhalte eines anderen Dienstes in der Google Workspace dupliziert werden, eine domainweite Delegierung gewähren. Deshalb können nur Super Admins die domainweite Delegierung verwalten und müssen jeden API-Bereich festlegen, auf den über die App zugegriffen werden kann.
Sie können auch domainweite Installationen verwalten und sich API-Bereiche für Google Workspace Marketplace-Apps anzeigen lassen. Hier finden Sie weitere Informationen zum Datenzugriff und zur Installation von Marketplace-Apps.
-
Sie benötigen Super Admin-Berechtigungen für Ihr Google Workspace-Konto.
- Wenn Sie eine App hinzufügen oder bearbeiten möchten, benötigen Sie die folgenden Informationen vom App-Entwickler:
- Client-ID des Dienstkontos
- Die Liste der API-Bereiche, die die App benötigt. Achten Sie darauf, dass der Zugriffsbereich der App angemessen klein ist.
- Durch die domainweite Delegierung hat die App auf alle Daten Ihrer Nutzer Zugriff. Wir empfehlen, Dienstkonten regelmäßig zu prüfen und alle Konten zu löschen, die nicht mehr verwendet werden.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
-
Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit
API-Steuerung.
-
Klicken Sie auf Domainweite Delegierung verwalten.
-
Klicken Sie auf Neu hinzufügen und geben Sie die Client-ID Ihres Dienstkontos ein.
Sie finden die ID (auch bekannt als eindeutige ID) in der JSON-Datei, die Sie beim Erstellen des Dienstkontos heruntergeladen haben, oder in der Google Cloud unter IAM & Verwaltung
Dienstkonten
Name des Dienstkontos.
-
Geben Sie die Client-ID des Dienstkontos oder die OAuth2-Client-ID der App ein. Beide werden in der Regel vom Entwickler angegeben. Wenn Sie der Inhaber des Dienstkontos sind, können Sie die ID auch nachlesen.
- Fügen Sie unter OAuth-Bereiche jeden Bereich hinzu, auf den die App zugreifen kann. Sie sollten die Bereiche auf die beschränken, die wirklich notwendig sind. Sie können alle OAuth 2.0-Bereiche für Google APIs verwenden. Wenn die App beispielsweise domainweiten Zugriff auf die Google Drive API und die Google Calendar API benötigt, geben Sie https://www.googleapis.com/auth/drive und https://www.googleapis.com/auth/calendar ein.
- Klicken Sie auf Autorisieren. Wenn Sie eine Fehlermeldung erhalten, ist die Client-ID möglicherweise nicht bei Google registriert oder es sind duplizierte oder nicht unterstützte Bereiche vorhanden.
-
Wählen Sie die neue Client-ID aus, klicken Sie auf Details ansehen und prüfen Sie, ob alle Bereiche aufgelistet sind.
Wenn ein Bereich fehlt, klicken Sie auf Bearbeiten, geben Sie den fehlenden Bereich ein und klicken Sie auf Autorisieren. Die Client-ID lässt sich nicht bearbeiten.
Die App sollte innerhalb einer Stunde verfügbar sein. Es kann jedoch bis zu 24 Stunden dauern.
Sie sollten regelmäßig die Bereiche Ihrer App prüfen und diejenigen entfernen, die nicht mehr gebraucht oder aktiv genutzt werden. Löschen Sie auch Clients, die Sie nicht mehr benötigen. Sie können beispielsweise den Zugriff für ein Migrationstool entfernen, nachdem die Migration abgeschlossen ist.
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
-
Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit
API-Steuerung.
-
Klicken Sie unter Domainweite Delegierung auf Domainweite Delegierung verwalten.
-
Klicken Sie auf einen Clientnamen und dann auf eine der folgenden Aktionen:
Details ansehen: den vollständigen Clientnamen und eine Liste der Bereiche aufrufen
Bearbeiten: Bereiche hinzufügen oder entfernen. Die Client-ID lässt sich nicht bearbeiten. Die Änderungen sollten innerhalb einer Stunde aktiv sein. Es kann jedoch bis zu 24 Stunden dauern.
Entfernen: Apps, die von der Autorisierung des Clients abhängig sind, funktionieren dann ab sofort nicht mehr.