Як керувати доступом до API за допомогою делегування повноважень на рівні домену

Делегування повноважень на рівні домену – це потужна функція, яка дає змогу надавати клієнтським додаткам дозвіл на доступ до даних користувачів Workspace, не запитуючи в них згоду. Повноваження на рівні домену можна використовувати двома способами, наведеними нижче.

  1. Дозволити сервісному обліковому запису отримувати доступ до даних від імені користувача. Сервісний обліковий запис може використовувати такі типи додатків:

    • інструменти перенесення й синхронізації, які дублюють контент користувача з іншого сервісу в Google Workspace;

    • внутрішні додатки (наприклад, додатки автоматизації), які розроблені для вашої організації. Наприклад, ви можете делегувати доступ додатку, який за допомогою Calendar API включає події в календарі ваших користувачів.

  2. Дозволити користувачам застосовувати клієнтські додатки OAuth, не відображаючи екран згоди. Користувачі можуть отримувати доступ до додатків без запиту згоди, а ви можете вказати дані користувача, до яких додатки мають доступ.

Ви також можете керувати встановленням на рівні домену й переглядати області дії API для додатків Google Workspace Marketplace. Докладніше про доступ до даних і встановлення додатків Marketplace.

Відкрити все   |   Закрити все

Перш ніж почати
  • Переконайтеся, що у вас є права суперадміністратора для вашого облікового запису Google Workspace.
  • Ознайомтеся з найкращими методами делегування повноважень на рівні домену й найкращими методами використання сервісних облікових записів.
  • Перегляньте список областей дії API, необхідних для додатка або сервісного облікового запису. Переконайтеся, що область дії додатка чи сервісного облікового запису достатньо обмежена.
  • Якщо доступ делеговано додатку OAuth, отримайте ідентифікатор клієнта OAuth у розробника додатка.
  • Якщо доступ делеговано сервісному обліковому запису, отримайте його ідентифікатор клієнта. Власники сервісного облікового запису можуть знайти ідентифікатор за вказівками нижче.
    1. Увійдіть у Google Cloud як суперадміністратор.
    2. Натисніть IAM & Admin (Адміністрування й керування ідентифікацією і доступом)і потімService accounts (Сервісні облікові записи)і потім[назва вашого сервісного облікового запису].
    3. Розгорніть меню Advanced settings (Додаткові налаштування) й скопіюйте ідентифікатор клієнта.
  • Завдяки делегуванню повноважень на рівні домену додаток має доступ до даних, що належать усім вашим користувачам. Ми рекомендуємо налаштувати регулярну перевірку сервісних облікових записів і видалити всі облікові записи, які більше не використовуються.
Як налаштувати делегування повноважень на рівні домену для клієнта
  1. Відкрийте Консоль адміністратора Google.

    Увійдіть за допомогою облікового запису, який має права суперадміністратора (не закінчується на @gmail.com).

  2. У Консолі адміністратора натисніть значок потім БезпекапотімДоступ і керування данимипотімЗасоби керування APIпотімКерувати повноваженнями на рівні домену.
    Щоб виконати це завдання, потрібно ввійти як суперадміністратор.
  3. Натисніть Додати.

  4. Введіть ідентифікатор клієнта для сервісного облікового запису або клієнта OAuth2. 

  5. У розділі Області дії OAuth укажіть усі області дії додатка. Вони мають бути вузькими й не включати зайвих доступів. Ви можете використовувати будь-які області дії OAuth 2.0 для Google API. Наприклад, якщо додатку потрібен доступ на рівні домену до Google Drive API і Google Calendar API, введіть https://www.googleapis.com/auth/drive і https://www.googleapis.com/auth/calendar.
  6. Натисніть Дозволити. Якщо з’являється повідомлення про помилку, можливо, ідентифікатор клієнта не зареєстровано в Google або є повторювані чи непідтримувані області дії.
  7. Наведіть курсор на новий ідентифікатор клієнта, натисніть Переглянути деталі й переконайтеся, що вказано всі області дії.

    Якщо області немає в списку, натисніть Редагувати, введіть відсутню область дії і натисніть Авторизувати. Ви не можете змінити ідентифікатор клієнта.

Зміни почнуть діяти протягом 24 годин (зазвичай швидше). Докладніше

Як переглядати, редагувати або видаляти клієнти й області дії

Рекомендуємо періодично перевіряти області дії вашого додатка й видаляти необов’язкові або ті, що рідко використовуються. Крім того, видаліть непотрібні клієнти. Наприклад, після завершення перенесення скасуйте доступ для відповідного інструмента.

  1. Відкрийте Консоль адміністратора Google.

    Увійдіть за допомогою облікового запису, який має права суперадміністратора (не закінчується на @gmail.com).

  2. У Консолі адміністратора натисніть значок потім БезпекапотімДоступ і керування данимипотімЗасоби керування APIпотімКерувати повноваженнями на рівні домену.
    Щоб виконати це завдання, потрібно ввійти як суперадміністратор.
  3. Натисніть назву клієнта, а потім виберіть потрібний параметр.

  • Переглянути деталі: переглянути повну назву клієнта й список областей дії.

  • Редагувати: додати або вилучити області дії. Ви не можете змінити ідентифікатор клієнта. Зміни почнуть діяти протягом 24 годин (зазвичай швидше). Докладніше

  • Видалити: додатки, які залежать від авторизації клієнта, негайно припинять працювати.

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
16058112124467351739
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false