La delega a livello di dominio è una potente funzionalità che ti consente di concedere alle applicazioni client l'autorizzazione ad accedere ai dati degli utenti di Workspace senza richiedere il loro consenso. Puoi utilizzare la delega a livello di dominio in due modi:
- Autorizzare un account di servizio ad accedere ai dati per conto di un utente. Un account di servizio potrebbe utilizzare i seguenti tipi di app:
-
Strumenti di migrazione e sincronizzazione che duplicano i contenuti degli utenti da un altro servizio a Google Workspace.
-
App interne, ad esempio app per l'automazione, create dagli sviluppatori per l'organizzazione. Ad esempio, puoi delegare l'accesso a un'applicazione che utilizza l'API Calendar per aggiungere eventi ai calendari degli utenti.
-
- Consenti agli utenti di utilizzare le app client OAuth senza visualizzare una schermata per il consenso. Gli utenti possono accedere alle applicazioni senza che venga richiesto il loro consenso. Inoltre, puoi specificare i dati utente a cui possono accedere le applicazioni.
Puoi anche gestire l'installazione a livello di dominio e visualizzare gli ambiti API per le app di Google Workspace Marketplace. Scopri di più sull'accesso ai dati e sull'installazione delle app del Marketplace.
- Assicurati di disporre dei privilegi di super amministratore per il tuo account Google Workspace.
- Consulta le best practice per la delega a livello di dominio e le best practice per l'utilizzo degli account di servizio.
- Verifica l'elenco degli ambiti API necessari per l'account dell'app o di servizio. Verifica che l'ambito di accesso dell'app o del servizio sia relativamente ridotto.
- (Se deleghi un'app OAuth) Recupera l'ID client OAuth dallo sviluppatore dell'app.
- (Se si delega un account di servizio) Recupera l'ID client dell'account di servizio. Se sei il proprietario dell'account di servizio, puoi trovare l'ID come segue:
- Accedi a Google Cloud come super amministratore.
- Fai clic su IAM e amministratoreAccount di servizio[nome dell'account di servizio].
- Espandi Impostazioni avanzate e copia l'ID client.
- Con la delega a livello di dominio, l'app ha accesso ai dati appartenenti a tutti i tuoi utenti. Ti consigliamo di impostare una revisione regolare degli account di servizio e di eliminare gli account non più in uso.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu SicurezzaAccesso e controllo dei datiControlli APIGestisci delega a livello di dominio.
Per questa attività, devi aver eseguito l'accesso come super amministratore. -
Fai clic su Aggiungi nuovo.
-
Inserisci l'ID client per l'account di servizio o per il client OAuth2.
- In Ambiti OAuth, aggiungi ogni ambito a cui può accedere l'app (deve essere opportunamente limitato). Puoi utilizzare uno degli ambiti OAuth 2.0 per le API di Google. Ad esempio, se l'applicazione richiede l'accesso a livello di dominio all'API di Google Drive e all'API di Google Calendar, inserisci https://www.googleapis.com/auth/drive e https://www.googleapis.com/auth/calendar.
- Fai clic su Autorizza. Se ricevi un messaggio di errore, è possibile che l'ID client non sia registrato in Google o che esistano ambiti duplicati o non supportati.
Nota: se per la tua organizzazione è attiva l'approvazione da più parti, per autorizzare la delega a livello di dominio per un'app client è necessaria l'approvazione di un altro super amministratore.
-
Seleziona il nuovo ID client e fai clic su Visualizza dettagli, quindi assicurati che nell'elenco siano riportati tutti gli ambiti.
Se manca un ambito, fai clic su Modifica, inserisci l'ambito mancante e fai clic su Autorizza. Non puoi modificare l'ID client.
Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
Come best practice, controlla periodicamente gli ambiti della tua app e rimuovi quelli non necessari o che non vengono utilizzati attivamente. Elimina anche i client che non ti servono più. Ad esempio, rimuovi l'accesso a uno strumento di migrazione dopo aver completato l'operazione.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu SicurezzaAccesso e controllo dei datiControlli APIGestisci delega a livello di dominio.
Per questa attività, devi aver eseguito l'accesso come super amministratore. -
Fai clic sul nome di un client e scegli un'opzione:
- Visualizza dettagli: visualizza il nome completo del client e l'elenco degli ambiti.
- Modifica: aggiungi o rimuovi gli ambiti. Non puoi modificare l'ID client. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
- Elimina: le applicazioni che dipendono dall'autorizzazione del client smetteranno di funzionare immediatamente.
Nota: se per la tua organizzazione è attivata l'approvazione da più parti, la modifica degli ambiti o l'eliminazione della delega a livello di dominio per un'app client richiede l'approvazione di un altro super amministratore.