作为管理员,您可以使用全网域授权功能向第三方和内部应用授予访问您用户数据的权限。
应用开发者和管理员可以创建使用 OAuth 2.0 协议的服务账号。然后,您便可向这些服务账号授予权限,以便其直接访问您用户的数据,而无需经过每位用户的同意。采用全网域授权的典型应用:
-
Google Workspace 的迁移和同步工具
-
开发者为您的单位构建的内部应用(例如自动化应用)。例如,您可以向使用 Calendar API 为用户日历添加活动的应用授予访问权限。
-
通常需要获得用户个人同意的三足式 OAuth 应用。用户可以直接激活这类应用,而不会收到同意授权方面的提示,并且您可以指定这类应用可以访问哪些用户数据。
要在 Google 管理控制台中授予访问权限,请添加服务账号的客户端 ID 或应用的 OAuth2 客户端 ID,然后授予对受支持的 Google API(范围)的访问权限。
关于全网域授权
全网域授权是一项强大的功能,可允许应用访问贵单位的整个 Google Workspace 环境中的用户数据。例如,您可以为迁移应用(可将用户内容从其他服务复制到 Google Workspace)启用全网域授权功能。由于全网域授权涉及的范围较大,因此只有超级用户才能管理全网域授权功能,而且他们必须指定应用可以访问的各个 API 范围。
您还可以管理 Google Workspace Marketplace 中的应用在整个网域的安装情况,以及查看这些应用的 API 范围。了解 Google Workspace Marketplace 中应用的数据访问权限和安装方式。
-
-
点击新增,然后输入您的服务帐号客户端 ID。
该 ID(又称“唯一 ID”)可在您创建服务帐号时所下载的 JSON 文件中找到,也可以在 Google Cloud 中找到(点击 IAM 和管理
服务帐号
-
输入服务账号的客户端 ID 或应用的 OAuth2 客户端 ID(ID 通常由开发者提供。如果您是服务账号的所有者,则可以查询该 ID)。
- 在 OAuth 范围中,添加应用可以访问的各个范围(应为适当且较小的范围)。您可以使用任何适用于 Google API 的 OAuth 2.0 范围。例如,如果应用需要具备对 Google Drive API 和 Google Calendar API 的网域级访问权限,请输入:https://www.googleapis.com/auth/drive 和 https://www.googleapis.com/auth/calendar。
- 点击授权。如果您收到错误消息,则表示客户端 ID 可能未向 Google 注册,或可能存在重复或不受支持的范围。
-
选择新的客户端 ID,点击查看详细信息,确保系统列出了所有范围。
如有任何范围未列出,请点击修改,输入缺少的范围,然后点击授权。您无法修改客户端 ID。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
建议您最好定期检查应用的范围,并移除不需要或不常用的范围。同时,也请删除不再需要的客户端。举例来说,完成迁移后,请移除迁移工具的访问权限。
-
-
点击客户端名称,然后选择一项操作:
查看详细信息:查看完整的客户端名称和范围列表。
修改:添加或移除范围。您无法修改客户端 ID。更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
删除:需要客户端授权的应用会立即停止运行。
