Controlar el acceso a la API de G Suite con la delegación de todo el dominio

Si eres administrador de G Suite, puedes utilizar la delegación de autoridad de todo el dominio para permitir que aplicaciones internas y de terceros accedan a datos de tus usuarios de G Suite.

Los desarrolladores de aplicaciones y los administradores de G Suite pueden crear cuentas de servicio con OAuth 2.0 y, a continuación, autorizar a esas cuentas a acceder a los datos de G Suite de los usuarios sin que cada uno de ellos deba dar su consentimiento. Estas son algunas aplicaciones a las que se les suele dar acceso mediante la delegación de todo el dominio:

  • Herramientas de migración y sincronización de G Suite (como G Suite Migrate).

  • Aplicaciones internas (como aplicaciones de automatización) desarrolladas para tu organización de G Suite. Por ejemplo, puedes delegar el acceso a una aplicación que añada eventos a los calendarios de tus usuarios mediante la API de Calendar.

  • Aplicaciones de OAuth de tres vías, que normalmente necesitan que cada usuario dé su consentimiento. Los usuarios activan estas aplicaciones sin que se les pida su consentimiento, y puedes especificar a cuáles de sus datos pueden acceder las aplicaciones.

Para delegar el acceso en la consola de administración, debes añadir el ID de cliente de la cuenta de servicio o el ID de cliente de OAuth2 de la aplicación y, a continuación, dar acceso a las API de Google admitidas (ámbitos).

Acerca de la delegación de todo el dominio

La delegación de todo el dominio es una potente función que permite a las aplicaciones acceder a datos de todos los usuarios de tu cuenta de G Suite. Por ejemplo, puedes utilizar la delegación de todo el dominio con una aplicación de migración que duplica el contenido de los usuarios de otro servicio en G Suite. Por este motivo, solo los superadministradores pueden gestionarla, y son ellos quienes deben especificar los ámbitos de la API a los que puede acceder la aplicación.

También puedes gestionar la instalación de aplicaciones de G Suite Marketplace en todo el dominio, así como ver los permisos de API que requieren. Consulta más información sobre el acceso a los datos y la instalación de las aplicaciones de Marketplace.

Antes de empezar

  • Tu cuenta de G Suite debe tener privilegios de superadministrador.

  • Para añadir o editar una aplicación, solicita la siguiente información a su desarrollador:
  • El ID de cliente de la cuenta de servicio.
  • La lista de permisos de API solicitados por la aplicación. Comprueba que la aplicación tenga solo los permisos de acceso que le correspondan.
  • Con la delegación de todo el dominio, la aplicación tiene acceso a los datos que pertenecen a todos tus usuarios de G Suite. Te recomendamos que revises periódicamente las cuentas de servicio y elimines las cuentas que ya no se utilicen.

Configurar la delegación de todo el dominio de un cliente

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Delegación de todo el dominio, haz clic en Gestionar delegación de todo el dominio.

  4. En la página Gestionar delegación de todo el dominio, haz clic en Añadir nuevo.

  5. Introduce el ID de cliente de la cuenta de servicio o el ID de cliente de OAuth2 de la aplicación. Aunque suele proporcionarlo el desarrollador, puedes buscarlo directamente si la cuenta de servicio es tuya.

  6. En Ámbito de OAuth, añade de forma precisa todos los ámbitos a los que puede acceder la aplicación. Puedes utilizar cualquiera de los ámbitos de OAuth 2.0 para APIs de Google. Por ejemplo, si la aplicación necesita acceso a nivel de dominio a la API de Google Drive y la API de Google Calendar, introduce https://www.googleapis.com/auth/drive y https://www.googleapis.com/auth/calendar.
     
  7. Haz clic en Autorizar. Si te aparece un mensaje de error, es posible que el ID de cliente no esté registrado en Google o que haya ámbitos duplicados o que no se admitan.

La aplicación debería estar disponible en una hora, pero puede tardar hasta 24 horas en estarlo.

Ver, editar o quitar clientes y ámbitos

Te recomendamos revisar periódicamente los ámbitos de tu aplicación y quitar los que ya no sean necesarios o no se estén utilizando. También puedes quitar los clientes que ya no necesites. Por ejemplo, retira el acceso de G Suite Migrate una vez que hayas completado la migración.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Delegación de todo el dominio, haz clic en Gestionar delegación de todo el dominio.
  4. Haz clic en el nombre de un cliente y, a continuación, selecciona una de estas opciones:
  • Ver detalles: consulta el nombre completo del cliente y la lista de ámbitos.

  • Editar: añade o quita ámbitos. No puedes editar el ID de cliente. Los cambios deberían surtir efecto en una hora, pero pueden tardar hasta 24 horas.

  • Quitar: las aplicaciones que dependen de la autorización del cliente dejarán de funcionar inmediatamente.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.