Controlar o acesso às APIs com a delegação em todo o domínio

A delegação em todo o domínio é um recurso avançado que permite que os apps clientes acessem os dados dos usuários do Workspace sem o consentimento deles.É possível usar a delegação em todo o domínio de duas maneiras:

  1. Autorize uma conta de serviço a acessar dados em nome de um usuário. Uma conta de serviço pode usar os seguintes tipos de apps:
    • Ferramentas de migração e sincronização que duplicam o conteúdo do usuário de outro serviço para o Google Workspace.

    • Apps internos, como de automação, que os desenvolvedores criam para sua organização. Por exemplo, você pode delegar o acesso a um app que usa a API Calendar para adicionar eventos às agendas dos usuários.

  2. Permitir que os usuários utilizem apps cliente OAuth sem ver uma tela de consentimento. Os usuários podem acessar apps sem que o consentimento seja solicitado, e você pode especificar os dados do usuário que os apps podem acessar.

Você também pode gerenciar a instalação em todo o domínio e ver os escopos da API para apps do Google Workspace Marketplace. Saiba mais sobre o acesso aos dados e a instalação dos apps do Marketplace.

Abrir tudo   |   Fechar tudo

Antes de começar
  • Verifique se você tem privilégios de superadministrador na sua conta do Google Workspace.
  • Consulte as práticas recomendadas de delegação em todo o domínio e as práticas recomendadas para usar contas de serviço.
  • Verifique a lista de escopos da API necessários para o app ou a conta de serviço. Verifique se o app ou a conta de serviço tem um escopo de acesso adequadamente pequeno.
  • (Se delegar um app OAuth) Receba o ID do cliente OAuth do desenvolvedor do app.
  • (Se delegar uma conta de serviço) Consiga o ID do cliente da conta de serviço. Se você é o proprietário da conta de serviço, o ID pode ser encontrado desta forma:
    1. Faça login no Google Cloud como superadministrador.
    2. Clique em IAM e administradoreContas de serviçoe[nome do seu serviço] conta].
    3. Expanda Configurações avançadas e copie o ID do cliente.
  • Com a delegação em todo o domínio, o app tem acesso aos dados que pertencem a todos os seus usuários. Recomendamos que você configure uma verificação periódica das contas de serviço e exclua as que não estão mais em uso.
Configurar a delegação em todo o domínio para um cliente
  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de APIe depoisGerenciar a delegação em todo o domínio.
    Para realizar essa tarefa, você precisa fazer login como um superadministrador.
  3. Clique em Adicionar novo.
  4. Digite o ID do cliente da conta de serviço ou do cliente OAuth2. 

  5. Em Escopos OAuth, adicione os escopos que o app pode acessar. Eles devem ser limitados adequadamente. Você pode usar qualquer escopo OAuth 2.0 para APIs do Google. Por exemplo, caso o app precise ter acesso em todo o domínio à API Google Drive e à API Google Calendar, insira https://www.googleapis.com/auth/drive e https://www.googleapis.com/auth/calendar.
  6. Clique em Autorizar. Caso você veja um erro, isso significa que o ID do cliente talvez não esteja registrado no Google ou que talvez existam escopos duplicados ou incompatíveis.

    Observação: se a aprovação por várias partes estiver ativada para sua organização, a delegação de um app cliente para todo o domínio vai precisar da aprovação de outro superadministrador.

  7. Selecione o novo ID do cliente, clique em Ver detalhes e confirme que os escopos estão listados.

    Se um escopo não estiver listado, clique em Editar, digite o escopo ausente e clique em Autorizar. Não é possível editar o ID do cliente.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Ver, editar ou excluir clientes e escopos

Como prática recomendada, verifique periodicamente os escopos do seu app e remova os que não são necessários ou usados. Exclua também os clientes desnecessários. Por exemplo, remova o acesso a uma ferramenta de migração depois de concluir a migração.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisControle de acesso e dadose depoisControles de APIe depoisGerenciar a delegação em todo o domínio.
    Para realizar essa tarefa, você precisa fazer login como um superadministrador.
  3. Clique no nome de um cliente e escolha uma opção:
  • Ver detalhes: veja o nome completo do cliente e a lista de escopos.
  • Editar: adicione ou remova escopos. Não é possível editar o ID do cliente. As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais
  • Excluir: os apps que dependem da autorização do cliente deixam de funcionar imediatamente.

    Observação: se a aprovação de várias partes estiver ativada para sua organização, a edição de escopos ou a exclusão de delegação em todo o domínio para um app cliente vai precisar da aprovação de outro superadministrador.

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
1609105293193374462
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false