Zugriff auf die G Suite API mit domainweiter Delegierung verwalten

Als G Suite-Administrator können Sie die domainweite Delegierung von Befugnissen nutzen, um Drittanbieter- und internen Apps Zugriff auf die Daten Ihrer G Suite-Nutzer zu gewähren.

App-Entwickler und G Suite-Administratoren können Dienstkonten mit OAuth 2.0 erstellen. Anschließend können Sie den Zugriff der Dienstkonten auf die G Suite-Daten Ihrer Nutzer genehmigen, ohne dass diese einzeln ihre Einwilligung geben müssen. Apps, bei denen typischerweise eine domainweite Delegierung infrage kommt:

  • G Suite-Migrations- und Synchronisierungstools (z. B. G Suite Migrate)

  • Interne Apps, z. B. Automatisierungs-Apps, die Entwickler für Ihre G Suite-Organisation erstellen. Sie können beispielsweise den Zugriff einer App autorisieren, mit der den Kalendern Ihrer Nutzer über die Calendar API Termine hinzugefügt werden.

  • Dreibeinige OAuth-Apps, die normalerweise die Einwilligung jedes Nutzers erfordern. Nutzer aktivieren Apps, ohne dass sie aufgefordert werden, ihre Einwilligung zu geben. Als Administrator können Sie festlegen, auf welche Nutzerdaten die Apps Zugriff haben.

In der Admin-Konsole finden Sie die Einstellungen zur Delegierung. Wenn Sie die Client-ID des Dienstkontos oder die OAuth2-Client-ID der App hinzufügen, können Sie ausgewählten Anwendungen Zugriff auf unterstützte Google APIs (Bereiche) gewähren.

Domainweite Delegierung

Die domainweite Delegierung ist eine leistungsstarke Funktion, mit der über Apps im gesamten G Suite-Konto auf Nutzerdaten zugegriffen werden kann. Sie können beispielsweise einer Migrations-App, über die Nutzerinhalte eines anderen Dienstes in der G Suite dupliziert werden, eine domainweite Delegierung gewähren. Deshalb können nur Super Admins die domainweite Delegierung verwalten und müssen jeden API-Bereich festlegen, auf den über die App zugegriffen werden kann.

Sie können auch domainweite Installationen verwalten und sich API-Bereiche für G Suite Marketplace-Apps anzeigen lassen. Hier finden Sie weitere Informationen zum Datenzugriff und zur Installation von Marketplace-Apps.

Hinweise

  • Sie benötigen Super Admin-Berechtigungen für Ihr G Suite-Konto.

  • Um eine App hinzuzufügen oder zu bearbeiten, benötigen Sie die folgenden Informationen vom App-Entwickler:
  • Client-ID des Dienstkontos
  • Die Liste der API-Bereiche, die die App benötigt. Achten Sie darauf, dass der Zugriffsbereich der App angemessen klein ist.
  • Durch die domainweite Delegierung hat die App auf alle Daten Ihrer G Suite-Nutzer Zugriff. Wir empfehlen die Einrichtung einer regelmäßigen Überprüfung der Dienstkonten und das Löschen aller Konten, die nicht mehr verwendet werden.

Domainweite Delegierung für einen Client einrichten

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf das Dreistrich-Menü"" und dann Sicherheit und dann API-Steuerelemente.
  3. Klicken Sie unter Domainweite Delegierung auf Domainweite Delegierung verwalten.
  4. Klicken Sie dann auf der Seite auf Neue hinzufügen.

  5. Geben Sie die Client-ID des Dienstkontos oder die OAuth2-Client-ID der App ein. Beide werden in der Regel vom Entwickler bereitgestellt. Wenn Sie der Inhaber des Dienstkontos sind, können Sie die ID auch nachlesen.

  6. Fügen Sie unter OAuth-Bereich jeden Bereich hinzu, auf den die App zugreifen kann. Sie sollten die Bereiche auf die beschränken, die wirklich notwendig sind. Sie können alle OAuth 2.0-Bereiche für Google APIs verwenden. Wenn die App beispielsweise domainweiten Zugriff auf die Google Drive API und die Google Calendar API benötigt, geben Sie https://www.googleapis.com/auth/drive und https://www.googleapis.com/auth/calendar ein.
     
  7. Klicken Sie auf Autorisieren. Wenn Sie eine Fehlermeldung erhalten, ist die Client-ID möglicherweise nicht bei Google registriert oder es sind duplizierte oder nicht unterstützte Bereiche vorhanden.

Die App sollte innerhalb einer Stunde verfügbar sein. Es kann jedoch bis zu 24 Stunden dauern.

Clients und Bereiche aufrufen, bearbeiten oder löschen

Sie sollten regelmäßig die Bereiche Ihrer App prüfen und diejenigen entfernen, die nicht mehr gebraucht oder aktiv genutzt werden. Löschen Sie auch Clients, die Sie nicht mehr benötigen. Sie können beispielsweise den Zugriff für G Suite Migrate entfernen, nachdem die Migration abgeschlossen ist.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Klicken Sie auf der Startseite der Admin-Konsole auf das Dreistrich-Menü"" und dann Sicherheit und dann API-Steuerelemente.
  3. Klicken Sie unter Domainweite Delegierung auf Domainweite Delegierung verwalten.
  4. Klicken Sie auf einen Clientnamen und dann auf eine der folgenden Aktionen:
  • Details ansehen: den vollständigen Clientnamen und eine Liste der Bereiche aufrufen

  • Bearbeiten: Bereiche hinzufügen oder entfernen. Die Client-ID kann nicht bearbeitet werden. Die Änderungen sollten innerhalb einer Stunde aktiv sein. Es kann jedoch bis zu 24 Stunden dauern.

  • Entfernen: Apps, die von der Autorisierung des Clients abhängig sind, funktionieren dann ab sofort nicht mehr.

War das hilfreich?
Wie können wir die Seite verbessern?