Styra API-åtkomst med domänomfattande delegering

Domänomfattande delegering är en effektiv funktion som gör att du kan ge klientprogram behörighet att komma åt Workspace-användarnas data utan att begära deras samtycke. Du kan använda domänomfattande delegering på två sätt:

  1. Auktorisera ett tjänstkonto för att få åtkomst till data för en användares räkning. Ett tjänstkonto kan använda följande apptyper:
    • Verktyg för migrering och synkronisering som duplicerar användarinnehåll från en annan tjänst till Google Workspace.

    • Interna appar (till exempel automatiseringsappar) som utvecklare skapar för organisationen. Du kan till exempel delegera åtkomst till en app som använder Calendar API för att lägga till händelser i användarnas kalendrar.

  2. Tillåt användarna att använda OAuth-klientappar utan att visa en samtyckesskärm. Användarna kan få åtkomst till appar utan att bli tillfrågade om samtycke och du kan ange vilken användardata som apparna har åtkomst till.

Du kan även hantera domänomfattande installation och se API-omfattningar för appar i Google Workspace Marketplace. Läs mer om dataåtkomst och installation för Marketplace-appar.

Öppna alla   |   Stäng alla

Innan du börjar
  • Kontrollera att du har behörighet som avancerad administratör för ditt Google Workspace-konto.
  • Läs igenom rekommendationerna för domänomfattande delegering och rekommendationerna för att använda tjänstkonton.
  • Verifiera listan med API-omfattningar som krävs av app- eller tjänstkontot. Kontrollera att app- eller tjänstkontot har en åtkomstomfattning i lagom storlek.
  • (Om du delegerar en OAuth-app) Hämta OAuth-klient-id från apputvecklaren.
  • (Om du delegerar ett tjänstkonto) Hämta tjänstkontots klient-id. Om du äger tjänstkontot kan du hitta id:t så här:
    1. Logga in på Google Cloud som avancerad administratör.
    2. Klicka på IAM och adminföljt avTjänstkontonföljt av[namn på tjänstkontot].
    3. Utöka Avancerade inställningar och kopiera Kund-id.
  • Med domänomfattande delegering har appen åtkomst till data som tillhör alla dina användare. Vi rekommenderar att du regelbundet gör en granskning av tjänstkonton och tar bort konton som inte längre används.
Konfigurera domänomfattande delegering för en klient
  1. Logga inGoogles administratörskonsol.

    Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).

  2. Öppna menyn på administratörskonsolen följt av Säkerhetföljt avÅtkomst och datakontrollföljt avAPI-kontrollerföljt avHantera domänomfattande delegering.
    Du måste vara inloggad som avancerad administratör för den här uppgiften.
  3. Klicka på Lägg till ny.
  4. Ange klient-id för tjänstkontot eller OAuth2-klienten. 

  5. OAuth-omfattningar lägger du till varje omfattning som appen har åtkomst till (bör vara begränsad). Du kan använda alla OAuth 2.0-omfattningar för Googles API:er. Om appen till exempel behöver domänomfattande åtkomst till Google Drive API och Google Calendar API anger du https://www.googleapis.com/auth/drive och https://www.googleapis.com/auth/calendar.
  6. Klicka på Auktorisera. Om du får ett felmeddelande är kund-id:t kanske inte registrerat hos Google eller också kan det finnas dubbletter eller omfattningar som inte stöds.

    Obs! Om Flerpartsgodkännande har aktiverats för organisationen kräver du godkännande från en annan avancerad administratör för att auktorisera domänomfattande delegering för en klientapp.

  7. Välj det nya klient-id:t, klicka på Visa information och försäkra dig sedan om att varje omfattning visas.

    Om en omfattning inte finns med klickar du på Redigera och anger den omfattning som saknas. Klicka sedan på Auktorisera. Det går inte att redigera klient-id:t.

Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer

Visa, redigera eller ta bort klienter och omfattningar

Du bör regelbundet kontrollera appens omfattningar och ta bort omfattningar som inte krävs eller används aktivt. Ta även bort klienter som du inte längre behöver. Du kan till exempel ta bort åtkomsten för ett migreringsverktyg när du har slutfört migreringen.

  1. Logga inGoogles administratörskonsol.

    Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).

  2. Öppna menyn på administratörskonsolen följt av Säkerhetföljt avÅtkomst och datakontrollföljt avAPI-kontrollerföljt avHantera domänomfattande delegering.
    Du måste vara inloggad som avancerad administratör för den här uppgiften.
  3. Klicka på ett klientnamn och välj ett alternativ:
  • Visa detaljer – visa klientens fullständiga namn och listan med omfattningar.
  • Redigera – lägg till eller ta bort omfattningar. Det går inte att redigera klient-id:t. Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer
  • Radera – appar som är beroende av klientauktoriseringen slutar att fungera omedelbart.

    Obs! Om flerpartsgodkännande har aktiverats för organisationen måste en annan avancerad administratör godkänna ändring av omfattningar eller radering av domänomfattande delegering för en klientapp.

Var det här till hjälp?

Hur kan vi förbättra den?
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
624924863615886703
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false