ในฐานะผู้ดูแลระบบ คุณจะใช้การมอบสิทธิ์ทั่วทั้งโดเมนเพื่อมอบสิทธิ์การเข้าถึงข้อมูลผู้ใช้ของคุณแก่แอปพลิเคชันบุคคลที่สามและแอปพลิเคชันภายในได้
นักพัฒนาแอปและผู้ดูแลระบบจะสร้างบัญชีบริการที่มี OAuth 2.0 ได้ จากนั้นคุณก็ให้สิทธิ์บัญชีบริการเพื่อเข้าถึงข้อมูลผู้ใช้โดยไม่ต้องขอคำยินยอมจากผู้ใช้แต่ละคน แอปทั่วไปที่ได้รับมอบสิทธิ์ทั่วทั้งโดเมน ได้แก่
-
เครื่องมือสําหรับการย้ายและซิงค์ข้อมูลของ Google Workspace
-
แอปภายใน (เช่น แอปการทํางานอัตโนมัติ) ที่นักพัฒนาซอฟต์แวร์สร้างไว้ให้องค์กรของคุณ เช่น คุณจะมอบสิทธิ์เข้าถึงให้กับแอปพลิเคชันที่ใช้ Calendar API เพื่อเพิ่มกิจกรรมไปยังปฏิทินของผู้ใช้ได้
-
แอป OAUTH แบบ 3 ทาง ซึ่งโดยปกติแล้วต้องได้รับคำยินยอมจากผู้ใช้แต่ละคน แต่ผู้ใช้จะเปิดใช้งานแอปได้โดยที่ระบบไม่ต้องขอคำยินยอม และคุณจะระบุได้ว่าแอปจะเข้าถึงข้อมูลใดของผู้ใช้ได้บ้าง
หากต้องการมอบสิทธิ์เข้าถึงในคอนโซลผู้ดูแลระบบ Google คุณต้องเพิ่มรหัสไคลเอ็นต์ของบัญชีบริการหรือรหัสไคลเอ็นต์ OAuth2 ของแอป จากนั้นจึงมอบสิทธิ์เข้าถึง Google API ที่รองรับ (ขอบเขต)
เกี่ยวกับการมอบสิทธิ์ทั่วทั้งโดเมน
การมอบสิทธิ์ทั่วทั้งโดเมนเป็นฟีเจอร์ที่มีประสิทธิภาพซึ่งช่วยให้แอปเข้าถึงข้อมูลของผู้ใช้ในระบบ Google Workspace ขององค์กรได้ เช่น มอบสิทธิ์ทั่วทั้งโดเมนให้แอปการย้ายข้อมูลที่ทำสำเนาเนื้อหาของผู้ใช้จากบริการอื่นไปยัง Google Workspace ด้วยเหตุนี้จึงมีเพียงผู้ดูแลระบบขั้นสูงเท่านั้นที่จัดการการมอบสิทธิ์ทั่วทั้งโดเมนได้ โดยจะต้องระบุขอบเขต API แต่ละรายการที่แอปเข้าถึงได้
นอกจากนี้คุณยังจัดการการติดตั้งทั่วทั้งโดเมนและดูขอบเขต API สําหรับแอปใน Google Workspace Marketplace ได้อีกด้วย ดูข้อมูลเกี่ยวกับแอปใน Marketplace ที่หัวข้อการเข้าถึงข้อมูลและการติดตั้ง
-
คุณต้องได้รับสิทธิ์ผู้ดูแลระบบขั้นสูงสําหรับบัญชี Google Workspace
- หากต้องการเพิ่มหรือแก้ไขแอป ให้ขอข้อมูลต่อไปนี้จากนักพัฒนาแอป
- รหัสไคลเอ็นต์ของบัญชีบริการ
- รายการขอบเขต API ที่แอปส่งคำขอ โดยให้ตรวจสอบว่าแอปมีขอบเขตการเข้าถึงที่เหมาะสม
- เมื่อใช้การมอบสิทธิ์ทั่วทั้งโดเมน แอปจะมีสิทธิ์เข้าถึงข้อมูลที่เป็นของผู้ใช้ทุกคน เราขอแนะนำให้ตั้งค่าการตรวจสอบบัญชีบริการเป็นประจำและลบบัญชีที่ไม่ได้ใช้แล้ว
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
ในหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่ความปลอดภัย
การควบคุม API
-
คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมน
-
คลิกเพิ่มใหม่ แล้วป้อนรหัสไคลเอ็นต์ของบัญชีบริการ
คุณสามารถดูรหัส (เรียกอีกอย่างว่า รหัสที่ไม่ซ้ำกัน) ได้ในไฟล์ JSON ที่ดาวน์โหลดไว้เมื่อสร้างบัญชีบริการ หรือใน Google Cloud (คลิก IAM และผู้ดูแลระบบ
-
ป้อนรหัสไคลเอ็นต์ของบัญชีบริการ หรือรหัสไคลเอ็นต์ OAuth2 ของแอป (โดยปกติแล้ว นักพัฒนาซอฟต์แวร์จะเป็นผู้ให้รหัส แต่หากคุณเป็นเจ้าของบัญชีบริการ คุณก็ค้นหารหัสได้)
- ในส่วนขอบเขต OAuth ให้เพิ่มแต่ละขอบเขตที่แอปพลิเคชันเข้าถึงได้ (ควรจํากัดให้แคบอย่างเหมาะสม) คุณจะใช้ขอบเขต OAuth 2.0 สำหรับ Google APIs ใดก็ได้ เช่น หากแอปพลิเคชันต้องการสิทธิ์เข้าถึง Google Drive API และ Google Calendar API แบบทั่วทั้งโดเมน ให้ป้อน https://www.googleapis.com/auth/drive และ https://www.googleapis.com/auth/calendar
- คลิกให้สิทธิ์ หากคุณพบข้อผิดพลาด ระบบอาจไม่ได้ลงทะเบียนรหัสไคลเอ็นต์กับ Google หรืออาจมีขอบเขตที่ซ้ำกันหรือไม่รองรับ
-
เลือกรหัสไคลเอ็นต์ใหม่ แล้วคลิกดูรายละเอียด จากนั้นตรวจสอบว่าได้ระบุขอบเขตทุกรายการแล้ว
หากยังไม่ได้ระบุขอบเขต ให้คลิกแก้ไขแล้วป้อนขอบเขตดังกล่าว จากนั้นคลิกอนุมัติ คุณไม่สามารถแก้ไขรหัสไคลเอ็นต์ได้
ซึ่งแอปควรพร้อมใช้งานภายใน 1 ชั่วโมง แต่อาจใช้เวลาถึง 24 ชั่วโมงได้เช่นกัน
แนวทางปฏิบัติแนะนำคือให้ตรวจสอบขอบเขตของแอปเป็นระยะๆ และนำขอบเขตที่ไม่จำเป็นหรือไม่ค่อยได้ใช้ออก รวมทั้งลบไคลเอ็นต์ที่ไม่ต้องการแล้วออกด้วย ตัวอย่างเช่น นำสิทธิ์เข้าถึงเครื่องมือการย้ายข้อมูลออกหลังจากที่ย้ายข้อมูลเสร็จแล้ว
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
ในหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่ความปลอดภัย
-
คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมนในส่วนการมอบสิทธิ์ทั่วทั้งโดเมน
-
คลิกชื่อไคลเอ็นต์แล้วเลือกตัวเลือกต่อไปนี้
ดูรายละเอียด - ดูชื่อไคลเอ็นต์แบบเต็มและรายการขอบเขต
แก้ไข - เพิ่มหรือนำขอบเขตออก คุณไม่สามารถแก้ไขรหัสไคลเอ็นต์ได้ การเปลี่ยนแปลงควรมีผลภายใน 1 ชั่วโมง แต่อาจใช้เวลาสูงสุด 24 ชั่วโมง
นำออก - แอปพลิเคชันที่ต้องใช้การให้สิทธิ์ไคลเอ็นต์จะหยุดทำงานทันที
