Przekazywanie dostępu w całej domenie to zaawansowana funkcja, która umożliwia przyznawanie aplikacjom klienckim uzyskiwanie dostępu do danych użytkowników Workspace bez konieczności uzyskiwania ich zgody. Z przekazywania dostępu w całej domenie możesz korzystać na 2 sposoby:
- Przyznanie kontu usługi dostępu do danych w imieniu użytkownika. Konto usługi może korzystać z tych typów aplikacji:
-
Narzędzia do migracji i synchronizowania, które duplikują treści użytkowników z innej usługi do Google Workspace.
-
Aplikacje wewnętrzne (na przykład do automatyzacji procesów), które tworzą deweloperzy dla Twojej organizacji. Możesz na przykład przekazać dostęp aplikacji używającej interfejsu Calendar API, aby mogła ona dodawać wydarzenia do kalendarzy użytkowników.
- Zezwolenie użytkownikom na korzystanie z aplikacji klienckich OAuth bez wyświetlania ekranu zgody. Użytkownicy mogą korzystać z aplikacji bez konieczności wyrażenia zgody, a Ty możesz określić, do jakiego typu danych aplikacje mogą uzyskiwać dostęp.
Możesz też zarządzać instalacją w całej domenie i wyświetlać zakresy interfejsu API aplikacji z Google Workspace Marketplace. Dowiedz się więcej o dostępie do danych i instalacji aplikacji z Marketplace.
Otwórz wszystko | Zamknij wszystko
- Upewnij się, że masz uprawnienia superadministratora do konta Google Workspace.
- Zapoznaj się ze sprawdzonymi metodami dotyczącymi przekazywania dostępu w całej domenie oraz sprawdzonymi metodami korzystania z kont usługi.
- Sprawdź listę zakresów interfejsu API wymaganych przez aplikację lub konto usługi. Sprawdź, czy aplikacja lub konto usługi ma odpowiednio mały zakres dostępu.
- (Jeśli przekazujesz aplikację OAuth) Uzyskaj identyfikator klienta OAuth od dewelopera aplikacji.
- (Jeśli przekazujesz konto usługi) Uzyskaj identyfikator klienta tego konta. Jeśli jesteś właścicielem konta usługi, możesz znaleźć identyfikator w ten sposób:
- Zaloguj się w Google Cloud jako superadministrator.
- Kliknij Administracja
Konta usługi [nazwa konta usługi].
- Rozwiń Ustawienia zaawansowane i skopiuj wartość z pola Identyfikator klienta.
- Aplikacja z przekazanym dostępem w całej domenie może korzystać ze wszystkich danych należących do wszystkich użytkowników w Twojej organizacji. Dlatego zalecamy regularne sprawdzanie kont usług i usuwanie tych, których już nie używasz.
-
Zaloguj się na konto
superadministratora w konsoli administracyjnej Google.
Jeśli nie używasz konta superadministratora, nie możesz wykonać tych czynności.
-
-
Kliknij Dodaj domenę.
-
Wpisz identyfikator klienta konta usługi lub klienta OAuth2.
- W sekcji Zakresy OAuth dodaj każdy zakres, do jakiego aplikacja może uzyskiwać dostęp (powinien być odpowiednio zawężony). W przypadku interfejsów API Google możesz używać dowolnych zakresów OAuth 2.0. Jeśli na przykład aplikacja potrzebuje dostępu w całej domenie do interfejsów Google Drive API i Google Calendar API, wpisz https://www.googleapis.com/auth/drive oraz https://www.googleapis.com/auth/calendar.
- Kliknij Autoryzuj. Jeśli pojawi się błąd, może to oznaczać, że identyfikator klienta nie jest zarejestrowany w Google albo wpisano powielone lub nieobsługiwane zakresy.
Uwaga: jeśli w Twojej organizacji jest włączona funkcja Zatwierdzenie przez wiele osób, autoryzacja przekazywania uprawnień w całej domenie w przypadku aplikacji klienckiej wymaga zatwierdzenia przez innego superadministratora.
-
Wybierz nowy identyfikator klienta, kliknij
Wyświetl szczegóły i sprawdź, czy na liście znajdują się wszystkie zakresy.
Jeśli jakiś zakres nie jest wymieniony, kliknij Edytuj, podaj brakujący zakres i kliknij Autoryzuj. Identyfikatora klienta nie można edytować.
Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
Zalecamy okresowe sprawdzanie zakresów aplikacji i usuwanie tych, które nie są wymagane ani używane. Pamiętaj też o usuwaniu klientów, których już nie potrzebujesz. Na przykład po ukończeniu migracji usuń dostęp narzędzia.
-
Zaloguj się na konto
superadministratora w konsoli administracyjnej Google.
Jeśli nie używasz konta superadministratora, nie możesz wykonać tych czynności.
-
-
Kliknij nazwę klienta, a następnie wybierz opcję:
Konta usługi