Делегирование доступа к данным в домене – это эффективная функция, которая позволяет предоставлять клиентским приложениям доступ к данным пользователей Workspace без их согласия. Делегирование доступа к данным в домене можно использовать двумя способами:
- Разрешить сервисному аккаунту получать доступ к данным от имени пользователя. Сервисный аккаунт может использовать следующие типы приложений:
-
Инструменты для переноса и синхронизации, которые копируют контент пользователей из другого сервиса в Google Workspace.
-
Внутренние приложения (например, приложения автоматизации), которые разработаны для вашей организации. Например, вы можете делегировать доступ к приложению, которое использует Calendar API для добавления мероприятий в календари пользователей.
-
- Разрешить пользователям доступ к клиентским приложениям OAuth без отображения окна запроса доступа. Пользователи могут получить доступ к приложениям без предоставления отдельного согласия, причем вы можете указать, к каким данным пользователей приложения получают доступ.
Вы также можете управлять установкой приложений из каталога Google Workspace Marketplace в домене и просматривать области действия их API. Подробнее о доступе к данным и установке приложений из каталога Marketplace…
- Убедитесь, что у вас есть права суперадминистратора для аккаунта Google Workspace.
- Ознакомьтесь с рекомендациями по делегированию доступа к данным в домене и рекомендациями по использованию сервисных аккаунтов.
- Ознакомьтесь с областями применения API, необходимыми программе или сервисному аккаунту. Убедитесь, что область доступа приложения или сервисного аккаунта достаточно ограничена.
- Если доступ делегирован приложению OAuth, получите идентификатор клиента OAuth от разработчика приложения.
- Если доступ делегирован сервисному аккаунту, получите идентификатор клиента этого аккаунта. Если сервисный аккаунт принадлежит вам, вы можете самостоятельно найти идентификатор следующим образом:
- Войдите в Google Cloud как суперадминистратор.
- Выберите IAM и администрирование
Сервисные аккаунты
- Разверните раздел Расширенные настройки и скопируйте значение в поле Идентификатор клиента.
- После делегирования приложение получает доступ к данным всех ваших пользователей. Мы рекомендуем настроить периодическую проверку сервисных аккаунтов и удалять все неиспользуемые аккаунты.
Сервисные аккаунты-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Управление доступом и данными
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора. -
Нажмите Добавить.
-
Укажите идентификатор клиента для сервисного аккаунта или клиента OAuth2.
- В разделе Области действия OAuth укажите области, к которым приложение будет иметь доступ. Набор этих областей должен быть достаточно ограничен. Вы можете использовать любые области действия OAuth 2.0 для Google API. Например, если приложению нужен доступ к Google Drive API и Google Calendar API во всем домене, введите https://www.googleapis.com/auth/drive и https://www.googleapis.com/auth/calendar.
- Нажмите Авторизовать. Если вы видите сообщение об ошибке, возможно, идентификатор клиента не зарегистрирован в системе Google или присутствуют дублированные либо неподдерживаемые области действия.
Примечание. Если в вашей организации включено групповое одобрение, для разрешения делегирования доступа к данным в домене для клиентского приложения потребуется одобрение другого суперадминистратора.
-
Выберите новый идентификатор клиента, нажмите Подробнее и убедитесь, что перечислены все области действия.
Если какой-то области не хватает, нажмите Изменить, укажите ее и нажмите Авторизовать. Изменить идентификатор клиента нельзя.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Мы рекомендуем периодически проверять области действия приложения и удалять те из них, которые необязательны или используются редко. Также удаляйте ненужные клиенты. Например, после переноса данных следует удалить права доступа для инструмента переноса.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора. -
Нажмите на название клиента и выберите действие:
- Подробнее. Посмотреть полное название клиента и список областей действия.
- Изменить. Добавить или удалить области. Изменить идентификатор клиента нельзя. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
- Удалить. Приложения, которые зависят от авторизации клиента, немедленно прекратят работу.
Примечание. Если в вашей организации включено групповое одобрение, для изменения области действия или удаления делегирования в домене для клиентского приложения потребуется одобрение другого суперадминистратора.