Mengontrol akses API dengan delegasi tingkat domain

Delegasi tingkat domain adalah fitur canggih yang memungkinkan Anda memberikan izin kepada aplikasi klien untuk mengakses data pengguna Workspace Anda tanpa memerlukan persetujuan mereka. Anda dapat menggunakan delegasi di seluruh domain dengan dua cara:

  1. Mengizinkan akun layanan mengakses data atas nama pengguna. Akun layanan mungkin menggunakan jenis aplikasi berikut:
    • Alat migrasi dan sinkronisasi yang menduplikasi konten pengguna dari layanan lain ke Google Workspace.

    • Aplikasi internal (misalnya, aplikasi otomatisasi) yang dibuat developer untuk organisasi Anda. Misalnya, Anda dapat mendelegasikan akses ke aplikasi yang menggunakan Calendar API untuk menambahkan acara ke kalender pengguna.

  2. Izinkan pengguna menggunakan aplikasi klien OAuth tanpa melihat layar izin. Pengguna dapat mengakses aplikasi tanpa diminta memberikan izin, dan Anda dapat menentukan data pengguna yang dapat diakses aplikasi.

Anda juga dapat mengelola penginstalan tingkat domain dan melihat cakupan API untuk aplikasi Google Workspace Marketplace. Pelajari akses data dan penginstalan aplikasi Marketplace.

Buka semua   |   Tutup semua

Sebelum Anda memulai
  • Pastikan Anda memiliki hak istimewa admin super untuk akun Google Workspace Anda.
  • Tinjau praktik terbaik delegasi seluruh domain dan praktik terbaik untuk menggunakan akun layanan.
  • Verifikasi daftar cakupan API yang diperlukan oleh akun aplikasi atau layanan. Pastikan akun aplikasi atau layanan memiliki sedikit cakupan akses yang sesuai.
  • (Jika mendelegasikan aplikasi OAuth) Dapatkan client ID OAuth dari developer aplikasi.
  • (Jika mendelegasikan akun layanan) Dapatkan client ID akun layanan. Jika Anda adalah pemilik akun layanan, Anda dapat menemukan ID sebagai berikut:
    1. Login ke Google Cloud sebagai administrator super.
    2. Klik IAM & AdminlaluAkun layananlalu[nama layanan Anda akun].
    3. Luaskan Setelan lanjutan dan salin Client ID.
  • Dengan delegasi tingkat domain, aplikasi dapat mengakses data milik semua pengguna Anda. Sebaiknya Anda menyiapkan peninjauan rutin atas akun layanan dan menghapus akun apa pun yang sudah tidak digunakan.
Menyiapkan delegasi tingkat domain untuk klien
  1. Login ke Konsol Google Admin.

    Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluKontrol APIlaluKelola Delegasi Tingkat Domain.
    Anda harus login sebagai administrator super untuk tugas ini.
  3. Klik Tambahkan baru.
  4. Masukkan Client ID untuk akun layanan atau klien OAuth2. 

  5. Pada bagian Cakupan OAuth, tambahkan tiap cakupan yang dapat diakses aplikasi (harus memiliki sedikit cakupan yang sesuai). Anda dapat menggunakan Cakupan OAuth 2.0 apa pun untuk Google API. Misalnya, jika aplikasi memerlukan akses tingkat domain ke Google Drive API dan Google Calendar API, masukkan https://www.googleapis.com/auth/drive dan https://www.googleapis.com/auth/calendar.
  6. Klik Otorisasi. Jika terjadi error, client ID mungkin tidak terdaftar dengan Google atau mungkin ada cakupan duplikat atau cakupan yang tidak didukung.

    Catatan: Jika Persetujuan banyak pihak diaktifkan untuk organisasi Anda, otorisasi delegasi seluruh domain untuk aplikasi klien memerlukan persetujuan dari admin super lain.

  7. Pilih client ID baru, klik Lihat detail dan pastikan setiap cakupan tercantum.

    Jika terdapat cakupan yang tidak tercantum, klik Edit, masukkan cakupan yang kurang, lalu klik Otorisasi. Anda tidak dapat mengedit client ID.

Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut

Melihat, mengedit, atau menghapus klien dan cakupan

Sebagai praktik terbaik, periksa cakupan aplikasi secara berkala dan hapus cakupan yang tidak diperlukan atau tidak digunakan secara aktif. Hapus juga klien yang sudah tidak dibutuhkan. Misalnya, hapus akses untuk alat migrasi setelah Anda menyelesaikan migrasi.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun yang memiliki hak istimewa administrator super (yang tidak diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluKontrol APIlaluKelola Delegasi Tingkat Domain.
    Anda harus login sebagai administrator super untuk tugas ini.
  3. Klik nama klien, lalu pilih opsi:
  • Tampilkan detail—Menampilkan nama klien dan daftar cakupan secara lengkap
  • Edit—Menambahkan atau menghapus cakupan. Anda tidak dapat mengedit client ID. Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut
  • Hapus—Aplikasi yang bergantung pada otorisasi klien akan langsung berhenti berfungsi.

    Catatan: Jika Persetujuan banyak pihak diaktifkan untuk organisasi Anda, pengeditan cakupan atau penghapusan delegasi tingkat domain untuk aplikasi klien memerlukan persetujuan dari admin super lain.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Aplikasi Google
Menu utama