Как управлять доступом к API, используя делегирование доступа к данным в домене

Администратор может делегировать права на уровне домена, чтобы предоставить сторонним и внутренним приложениям доступ к данным пользователей.

Разработчики приложений и администраторы могут создать сервисные аккаунты с OAuth 2.0. Затем вы можете разрешить сервисным аккаунтам доступ к данным пользователей, при этом пользователям не потребуется предоставлять отдельное согласие. Приложения, которым обычно делегируются права доступа к данным в домене:

  • Инструменты для переноса и синхронизации данных Google Workspace.

  • Внутренние приложения (например, приложения автоматизации), которые разработаны для вашей организации. Например, вы можете делегировать доступ к приложению, которое использует Calendar API для добавления мероприятий в календари пользователей.

  • Приложения с поддержкой трехсторонней аутентификации OAuth, которые обычно требуют предоставления отдельного согласия пользователя. Пользователи активируют приложения без предоставления отдельного согласия, причем вы можете указать, к каким данным пользователей приложения получают доступ.

Чтобы делегировать доступ в консоли администратора Google, добавьте идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения, а затем предоставьте доступ к областям действия поддерживаемых Google API.

О делегировании доступа к данным в домене

Делегирование доступа к данным в домене – это эффективная функция, которая позволяет приложениям получать доступ к данным пользователей во всей среде Google Workspace организации. Например, вы можете делегировать доступ к данным в домене приложению для переноса, которое копирует данные пользователя из другого сервиса в Google Workspace. Управлять таким делегированием могут только суперадминистраторы, при этом им нужно задать все области действия API, к которым приложение сможет получать доступ.

Вы также можете управлять установкой приложений из каталога Google Workspace Marketplace в домене и просматривать области действия их API. Подробнее о доступе к данным и установке приложений из каталога Marketplace

Развернуть все | Свернуть все

Подготовка
  • Вам потребуются права суперадминистратора для аккаунта Google Workspace.

  • Чтобы добавить или изменить приложение, получите следующие данные от его разработчика:
  • После делегирования приложение получает доступ к данным всех ваших пользователей. Мы рекомендуем настроить периодическую проверку сервисных аккаунтов и удалять все неиспользуемые аккаунты.
Как настроить делегирование доступа к данным в домене для клиента
  1. Войдите в Консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.
  3. Нажмите Настроить делегирование доступа к данным в домене.
  4. Нажмите Добавить и введите идентификатор клиента сервисного аккаунта.

    Этот уникальный идентификатор можно найти в файле JSON, скачанном при создании сервисного аккаунта, и в консоли Google Cloud Console (IAM и администрированиеа затемСервисные аккаунтыа затемнужный сервисный аккаунт).

  5. Введите идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения. Обычно эта информация предоставляется разработчиком. Если сервисный аккаунт принадлежит вам, вы можете самостоятельно найти идентификатор.

  6. В разделе Области действия OAuth укажите области, к которым приложение будет иметь доступ. Набор этих областей должен быть достаточно ограничен. Вы можете использовать любые области действия OAuth 2.0 для Google API. Например, если приложению нужен доступ к Google Drive API и Google Calendar API во всем домене, введите https://www.googleapis.com/auth/drive и https://www.googleapis.com/auth/calendar.
  7. Нажмите Авторизовать. Если вы видите сообщение об ошибке, возможно, идентификатор клиента не зарегистрирован в системе Google или присутствуют дублированные либо неподдерживаемые области действия.
  8. Выберите новый идентификатор клиента, нажмите Подробнее и убедитесь, что перечислены все области действия.

    Если какой-то области не хватает, нажмите Изменить, укажите ее и нажмите Авторизовать. Изменить идентификатор клиента нельзя.

Приложение станет доступно в течение часа, но в некоторых случаях на это может потребоваться до 24 часов.

Как посмотреть, изменить или удалить клиенты и области действия

Мы рекомендуем периодически проверять области действия приложения и удалять те из них, которые необязательны или используются редко. Также удаляйте ненужные клиенты. Например, после переноса данных следует удалить права доступа для инструмента переноса.

  1. Войдите в Консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите Безопасностьа затемУправление API.
  3. В разделе Делегирование доступа к данным в домене нажмите Настроить делегирование доступа к данным в домене.
  4. Нажмите на название клиента и выберите действие:
  • Подробнее. Посмотреть полное название клиента и список областей действия.

  • Изменить. Добавить или удалить области. Изменить идентификатор клиента нельзя. Изменения вступают в силу в течение часа, но иногда на это требуется до 24 часов.

  • Удалить. Приложения, которые зависят от авторизации клиента, немедленно прекратят работу.

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false