Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

Zugriff auf die API mit domainweiter Delegierung verwalten

Die domainweite Delegierung ist eine leistungsstarke Funktion, mit der Sie Clientanwendungen Zugriff auf die Daten Ihrer Workspace-Nutzer gewähren können, ohne dass ihre Einwilligung erforderlich ist.Sie können die domainweite Delegierung auf zwei Arten verwenden:

  1. Gewähren Sie einem Dienstkonto Zugriff auf Daten im Namen eines Nutzers. Ein Dienstkonto kann die folgenden Arten von Anwendungen verwenden:
    • Migrations- und Synchronisierungstools, mit denen Nutzerinhalte aus einem anderen Dienst in Google Workspace dupliziert werden.

    • Interne Apps, z. B. Automatisierungs-Apps, die Entwickler für Ihre Organisation erstellen. Sie können beispielsweise den Zugriff einer App autorisieren, mit der den Kalendern Ihrer Nutzer über die Calendar API Termine hinzugefügt werden.

  2. Nutzern erlauben, OAuth-Client-Apps zu verwenden, ohne einen Zustimmungsbildschirm zu sehen Nutzer können auf Apps zugreifen, ohne dass sie aufgefordert werden, ihre Zustimmung zu geben. Als Administrator können Sie festlegen, auf welche Nutzerdaten die Apps Zugriff haben.

Sie können auch domainweite Installationen verwalten und sich API-Bereiche für Google Workspace Marketplace-Apps anzeigen lassen. Hier finden Sie weitere Informationen zum Datenzugriff und zur Installation von Marketplace-Apps.

Alle öffnen   |   Alle schließen

Hinweise
  • Sie benötigen Super Admin-Berechtigungen für Ihr Google Workspace-Konto.
  • Sehen Sie sich die Best Practices für die domainweite Delegierung und die Best Practices für die Verwendung von Dienstkonten an.
  • Überprüfen Sie die Liste der API-Bereiche, die für die App oder das Dienstkonto erforderlich sind. Prüfen Sie, ob der Zugriffsbereich der App oder des Dienstkontos angemessen klein ist.
  • (Beim Delegieren einer OAuth-Anwendung) Rufen Sie die OAuth-Client-ID vom App-Entwickler ab.
  • (Beim Delegieren eines Dienstkontos) Rufen Sie die Client-ID des Dienstkontos ab. Wenn Sie der Inhaber des Dienstkontos sind, finden Sie die ID folgendermaßen:
    1. Melden Sie sich als Super Admin in Google Cloud an.
    2. Klicken Sie auf IAM und Verwaltungund dannDienstkontenund dann[Name Ihres Dienstkontos].
    3. Maximieren Sie Erweiterte Einstellungen und kopieren Sie die Client-ID.
  • Durch die domainweite Delegierung hat die App auf alle Daten Ihrer Nutzer Zugriff. Wir empfehlen, Dienstkonten regelmäßig zu prüfen und alle Konten zu löschen, die nicht mehr verwendet werden.
Domainweite Delegierung für einen Client einrichten
  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerungund dannDomainweite Delegierung verwalten.
    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
  3. Klicken Sie auf Neu hinzufügen.
  4. Geben Sie die Client-ID für das Dienstkonto oder den OAuth2-Client ein. 

  5. Fügen Sie unter OAuth-Bereiche jeden Bereich hinzu, auf den die App zugreifen kann. Sie sollten die Bereiche auf die beschränken, die wirklich notwendig sind. Sie können alle OAuth 2.0-Bereiche für Google APIs verwenden. Wenn die App beispielsweise domainweiten Zugriff auf die Google Drive API und die Google Calendar API benötigt, geben Sie https://www.googleapis.com/auth/drive und https://www.googleapis.com/auth/calendar ein.
  6. Klicken Sie auf Autorisieren. Wenn Sie eine Fehlermeldung erhalten, ist die Client-ID möglicherweise nicht bei Google registriert oder es sind duplizierte oder nicht unterstützte Bereiche vorhanden.
  7. Wählen Sie die neue Client-ID aus, klicken Sie auf Details ansehen und prüfen Sie, ob alle Bereiche aufgelistet sind.

    Wenn ein Bereich fehlt, klicken Sie auf Bearbeiten, geben Sie den fehlenden Bereich ein und klicken Sie auf Autorisieren. Die Client-ID lässt sich nicht bearbeiten.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Clients und Bereiche aufrufen, bearbeiten oder löschen

Sie sollten regelmäßig die Bereiche Ihrer App prüfen und diejenigen entfernen, die nicht mehr gebraucht oder aktiv genutzt werden. Löschen Sie auch Clients, die Sie nicht mehr benötigen. Sie können beispielsweise den Zugriff für ein Migrationstool entfernen, nachdem die Migration abgeschlossen ist.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerungund dannDomainweite Delegierung verwalten.
    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
  3. Klicken Sie auf einen Clientnamen und dann auf eine der folgenden Aktionen:
  • Details ansehen: den vollständigen Clientnamen und eine Liste der Bereiche aufrufen

  • Bearbeiten: Bereiche hinzufügen oder entfernen. Die Client-ID lässt sich nicht bearbeiten. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

  • Löschen: Apps, die von der Autorisierung des Clients abhängig sind, funktionieren dann ab sofort nicht mehr.

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü