全网域授权是一项强大的功能,可让您向客户端应用授予访问您 Workspace 用户数据的权限,而无需获得用户同意。您可以通过以下两种方式使用全网域授权:
- 授权服务账号代表用户访问数据。服务账号可能会使用以下类型的应用:
-
迁移和同步工具,可将用户内容从其他服务复制到 Google Workspace。
-
开发者为您的单位构建的内部应用(例如自动化应用)。例如,您可以向使用 Calendar API 为用户日历添加活动的应用授予访问权限。
-
- 允许用户在看不到权限请求页面的情况下使用 OAuth 客户端应用。用户可以直接访问这类应用,而不会收到同意授权方面的提示,并且您可以指定这类应用可以访问哪些用户数据。
您还可以管理 Google Workspace Marketplace 中的应用在整个网域的安装情况,以及查看这些应用的 API 范围。了解 Google Workspace Marketplace 中应用的数据访问权限和安装方式。
准备工作
- 确保您拥有 Google Workspace 账号的超级用户权限。
- 查看全网域授权最佳实践和服务账号使用最佳实践。
- 验证应用或服务账号所需的 API 范围列表。检查应用或服务账号是否拥有适当小的访问权限范围。
- (如果委托 OAuth 应用)从应用开发者处获取 OAuth 客户端 ID。
- (如果委托服务账号)获取服务账号的客户端 ID。如果您是服务账号的所有者,则可以按以下方式查找 ID:
- 以超级用户身份登录 Google Cloud。
- 点击 IAM 和管理
服务账号
- 展开高级设置,然后复制客户端 ID。
- 利用全网域授权,应用可以访问您的所有用户的数据。我们建议您定期检查服务账号,并删除不再使用的账号。
服务账号为客户端设置全网域授权功能
-
-
点击新增。
-
输入服务账号或 OAuth2 客户端的客户端 ID。
- 在 OAuth 范围中,添加应用可以访问的各个范围(应为适当且较小的范围)。您可以使用任何适用于 Google API 的 OAuth 2.0 范围。例如,如果应用需要具备对 Google Drive API 和 Google Calendar API 的网域级访问权限,请输入:https://www.googleapis.com/auth/drive 和 https://www.googleapis.com/auth/calendar。
- 点击授权。如果您收到错误消息,则表示客户端 ID 可能未向 Google 注册,或可能存在重复或不受支持的范围。
注意:如果您的组织启用了多方审批,则需要其他超级用户批准才能对客户端应用进行全网域授权。
-
选择新的客户端 ID,点击查看详细信息,确保系统列出了所有范围。
如有任何范围未列出,请点击修改,输入缺少的范围,然后点击授权。您无法修改客户端 ID。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
查看、修改或删除客户端和范围
建议您最好定期检查应用的范围,并移除不需要或不常用的范围。同时,也请删除不再需要的客户端。举例来说,完成迁移后,请移除迁移工具的访问权限。
-
-
点击客户端名称,然后选择一项操作:
