Администратор может делегировать права на уровне домена, чтобы предоставить сторонним и внутренним приложениям доступ к данным пользователей.
Разработчики приложений и администраторы могут создать сервисные аккаунты с OAuth 2.0. Затем вы можете разрешить сервисным аккаунтам доступ к данным пользователей, при этом пользователям не потребуется предоставлять отдельное согласие. Приложения, которым обычно делегируются права доступа к данным в домене:
-
Инструменты для переноса и синхронизации данных Google Workspace.
-
Внутренние приложения (например, приложения автоматизации), которые разработаны для вашей организации. Например, вы можете делегировать доступ к приложению, которое использует Calendar API для добавления мероприятий в календари пользователей.
-
Приложения с поддержкой трехсторонней аутентификации OAuth, которые обычно требуют предоставления отдельного согласия пользователя. Пользователи активируют приложения без предоставления отдельного согласия, причем вы можете указать, к каким данным пользователей приложения получают доступ.
Чтобы делегировать доступ в консоли администратора Google, добавьте идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения, а затем предоставьте доступ к областям действия поддерживаемых Google API.
О делегировании доступа к данным в домене
Делегирование доступа к данным в домене – это эффективная функция, которая позволяет приложениям получать доступ к данным пользователей во всей среде Google Workspace организации. Например, вы можете делегировать доступ к данным в домене приложению для переноса, которое копирует данные пользователя из другого сервиса в Google Workspace. Управлять таким делегированием могут только суперадминистраторы, при этом им нужно задать все области действия API, к которым приложение сможет получать доступ.
Вы также можете управлять установкой приложений из каталога Google Workspace Marketplace в домене и просматривать области действия их API. Подробнее о доступе к данным и установке приложений из каталога Marketplace…
-
Вам потребуются права суперадминистратора для аккаунта Google Workspace.
- Чтобы добавить или изменить приложение, получите следующие данные от его разработчика:
- идентификатор клиента для сервисного аккаунта;
- список областей действия API, используемых приложением (убедитесь, что приложение имеет достаточно ограниченные права доступа).
- После делегирования приложение получает доступ к данным всех ваших пользователей. Мы рекомендуем настроить периодическую проверку сервисных аккаунтов и удалять все неиспользуемые аккаунты.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Управление доступом и данными
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора. -
Нажмите Добавить и введите идентификатор клиента сервисного аккаунта.
Этот уникальный идентификатор можно найти в файле JSON, скачанном при создании сервисного аккаунта, или в Google Cloud (IAM и администрирование
-
Введите идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения. Обычно эта информация предоставляется разработчиком. Если сервисный аккаунт принадлежит вам, вы можете самостоятельно найти идентификатор.
- В разделе Области действия OAuth укажите области, к которым приложение будет иметь доступ. Набор этих областей должен быть достаточно ограничен. Вы можете использовать любые области действия OAuth 2.0 для Google API. Например, если приложению нужен доступ к Google Drive API и Google Calendar API во всем домене, введите https://www.googleapis.com/auth/drive и https://www.googleapis.com/auth/calendar.
- Нажмите Авторизовать. Если вы видите сообщение об ошибке, возможно, идентификатор клиента не зарегистрирован в системе Google или присутствуют дублированные либо неподдерживаемые области действия.
-
Выберите новый идентификатор клиента, нажмите Подробнее и убедитесь, что перечислены все области действия.
Если какой-то области не хватает, нажмите Изменить, укажите ее и нажмите Авторизовать. Изменить идентификатор клиента нельзя.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Мы рекомендуем периодически проверять области действия приложения и удалять те из них, которые необязательны или используются редко. Также удаляйте ненужные клиенты. Например, после переноса данных следует удалить права доступа для инструмента переноса.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора. -
Нажмите на название клиента и выберите действие:
Подробнее. Посмотреть полное название клиента и список областей действия.
Изменить. Добавить или удалить области. Изменить идентификатор клиента нельзя. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Удалить. Приложения, которые зависят от авторизации клиента, немедленно прекратят работу.
