Przekazywanie dostępu w całej domenie to zaawansowana funkcja, która umożliwia przyznawanie aplikacjom klienckim uzyskiwanie dostępu do danych użytkowników Workspace bez konieczności uzyskiwania ich zgody. Z przekazywania dostępu w całej domenie możesz korzystać na 2 sposoby:
- Przyznanie kontu usługi dostępu do danych w imieniu użytkownika. Konto usługi może korzystać z tych typów aplikacji:
-
Narzędzia do migracji i synchronizowania, które duplikują treści użytkowników z innej usługi do Google Workspace.
-
Aplikacje wewnętrzne (na przykład do automatyzacji procesów), które tworzą deweloperzy dla Twojej organizacji. Możesz na przykład przekazać dostęp aplikacji używającej interfejsu Calendar API, aby mogła ona dodawać wydarzenia do kalendarzy użytkowników.
-
- Zezwolenie użytkownikom na korzystanie z aplikacji klienckich OAuth bez wyświetlania ekranu zgody. Użytkownicy mogą korzystać z aplikacji bez konieczności wyrażenia zgody, a Ty możesz określić, do jakiego typu danych aplikacje mogą uzyskiwać dostęp.
Możesz też zarządzać instalacją w całej domenie i wyświetlać zakresy interfejsu API aplikacji z Google Workspace Marketplace. Dowiedz się więcej o dostępie do danych i instalacji aplikacji z Marketplace.
Otwórz wszystko | Zamknij wszystko
- Upewnij się, że masz uprawnienia superadministratora do konta Google Workspace.
- Zapoznaj się ze sprawdzonymi metodami dotyczącymi przekazywania dostępu w całej domenie oraz sprawdzonymi metodami korzystania z kont usługi.
- Sprawdź listę zakresów interfejsu API wymaganych przez aplikację lub konto usługi. Sprawdź, czy aplikacja lub konto usługi ma odpowiednio mały zakres dostępu.
- (Jeśli przekazujesz aplikację OAuth) Uzyskaj identyfikator klienta OAuth od dewelopera aplikacji.
- (Jeśli przekazujesz konto usługi) Uzyskaj identyfikator klienta tego konta. Jeśli jesteś właścicielem konta usługi, możesz znaleźć identyfikator w ten sposób:
- Zaloguj się w Google Cloud jako superadministrator.
- Kliknij Administracja
Konta usługi
- Rozwiń Ustawienia zaawansowane i skopiuj wartość z pola Identyfikator klienta.
- Aplikacja z przekazanym dostępem w całej domenie może korzystać ze wszystkich danych należących do wszystkich użytkowników w Twojej organizacji. Dlatego zalecamy regularne sprawdzanie kont usług i usuwanie tych, których już nie używasz.
Konta usługi -
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu
Bezpieczeństwo
Dostęp do danych i kontrola nad nimi
Aby wykonać te czynności, musisz zalogować się na konto superadministratora. -
Kliknij Dodaj domenę.
-
Wpisz identyfikator klienta konta usługi lub klienta OAuth2.
- W sekcji Zakresy OAuth dodaj każdy zakres, do jakiego aplikacja może uzyskiwać dostęp (powinien być odpowiednio zawężony). W przypadku interfejsów API Google możesz używać dowolnych zakresów OAuth 2.0. Jeśli na przykład aplikacja potrzebuje dostępu w całej domenie do interfejsów Google Drive API i Google Calendar API, wpisz https://www.googleapis.com/auth/drive oraz https://www.googleapis.com/auth/calendar.
- Kliknij Autoryzuj. Jeśli pojawi się błąd, może to oznaczać, że identyfikator klienta nie jest zarejestrowany w Google albo wpisano powielone lub nieobsługiwane zakresy.
Uwaga: jeśli w Twojej organizacji jest włączona funkcja Zatwierdzenie przez wiele osób, autoryzacja przekazywania uprawnień w całej domenie w przypadku aplikacji klienckiej wymaga zatwierdzenia przez innego superadministratora.
-
Wybierz nowy identyfikator klienta, kliknij Wyświetl szczegóły i sprawdź, czy na liście znajdują się wszystkie zakresy.
Jeśli jakiś zakres nie jest wymieniony, kliknij Edytuj, podaj brakujący zakres i kliknij Autoryzuj. Identyfikatora klienta nie można edytować.
Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
Zalecamy okresowe sprawdzanie zakresów aplikacji i usuwanie tych, które nie są wymagane ani używane. Pamiętaj też o usuwaniu klientów, których już nie potrzebujesz. Na przykład po ukończeniu migracji usuń dostęp narzędzia.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu
Aby wykonać te czynności, musisz zalogować się na konto superadministratora. -
Kliknij nazwę klienta, a następnie wybierz opcję:
- Wyświetl szczegóły – zobacz pełną nazwę klienta i listę zakresów.
- Edytuj – dodaj lub usuń zakresy. Nie możesz edytować identyfikatora klienta. Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
- Usuń – aplikacje zależne od autoryzacji klienta natychmiast przestaną działać.
Uwaga: jeśli w Twojej organizacji włączona jest opcja Zatwierdzenie przez wiele osób, edytowanie zakresów lub usuwanie przekazywania w całej domenie w przypadku aplikacji klienckiej wymaga zatwierdzenia przez innego superadministratora.