Controlar el acceso a las API con la delegación de todo el dominio

Como administrador, puedes utilizar la delegación de autoridad de todo el dominio para permitir que aplicaciones internas y de terceros accedan a los datos de tus usuarios.

Los desarrolladores de aplicaciones y los administradores pueden crear cuentas de servicio con OAuth 2.0 y, a continuación, autorizar que esas cuentas accedan a los datos de los usuarios sin que cada uno de ellos deba dar su consentimiento. Estas son algunas aplicaciones a las que se les suele dar acceso mediante la delegación de todo el dominio:

  • Herramientas de sincronización y de migración de Google Workspace

  • Aplicaciones internas (como aplicaciones de automatización) que los desarrolladores crean para tu organización. Por ejemplo, puedes delegar el acceso a una aplicación que utilice la API de Calendar para añadir eventos a los calendarios de tus usuarios.

  • Aplicaciones de OAuth de tres vías, que normalmente requieren que cada usuario dé su consentimiento. Los usuarios activan estas aplicaciones sin que se les pida su consentimiento, y puedes especificar a cuáles de sus datos pueden acceder las aplicaciones.

Para delegar el acceso en la consola de administración de Google, debes añadir el ID de cliente de la cuenta de servicio o el ID de cliente de OAuth2 de la aplicación y, a continuación, dar acceso a las API de Google admitidas mediante permisos.

Acerca de la delegación de todo el dominio

La delegación de todo el dominio es una potente función que permite que las aplicaciones accedan a datos de los usuarios del entorno de Google Workspace de tu organización. Por ejemplo, puedes utilizar la delegación de todo el dominio en una aplicación de migración que duplica el contenido de los usuarios de otro servicio en Google Workspace. Por este motivo, solo los superadministradores pueden gestionar este tipo de delegación, y son ellos quienes deben especificar cada permiso que tiene la aplicación para acceder a las API.

También puedes gestionar la instalación de aplicaciones de Google Workspace Marketplace en todo el dominio, así como ver los permisos de las API que requieren. Consulta más información sobre el acceso a los datos y la instalación de las aplicaciones de Marketplace.

Mostrar todo   |   Ocultar todo

Antes de empezar
  • Necesitas tener privilegios de superadministrador en tu cuenta de Google Workspace.

  • Para añadir o editar una aplicación, solicita la siguiente información a su desarrollador:
  • El ID de cliente de la cuenta de servicio.
  • La lista de permisos de APIs solicitados por la aplicación. Comprueba que la aplicación tenga solo los permisos de acceso que le correspondan.
  • Con la delegación de todo el dominio, la aplicación tiene acceso a los datos que pertenecen a todos tus usuarios. Te recomendamos que revises periódicamente las cuentas de servicio y elimines las cuentas que ya no se utilicen.
Configurar la delegación de todo el dominio de un cliente
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Delegación de todo el dominio, haz clic en Gestionar delegación de todo el dominio.
  4. En la página Gestionar delegación de todo el dominio, haz clic en Añadir nuevo.

  5. Introduce el ID de cliente de la cuenta de servicio o el ID de cliente de OAuth2 de la aplicación. Normalmente te lo proporciona el desarrollador, pero si eres el propietario de la cuenta de servicio, puedes consultarlo directamente.

  6. En Permisos de OAuth, añade de forma precisa todos los permisos a los que puede acceder la aplicación. Puedes utilizar cualquiera de los permisos de OAuth 2.0 para APIs de Google. Por ejemplo, si la aplicación necesita acceso a nivel de dominio a la API de Google Drive y la API de Google Calendar, introduce https://www.googleapis.com/auth/drive y https://www.googleapis.com/auth/calendar.
  7. Haz clic en Autorizar. Si aparece un mensaje de error, es posible que el ID de cliente no esté registrado en Google o que haya permisos duplicados o que no se admitan.
  8. Para que aparezcan todos los permisos, selecciona el nuevo ID de cliente y haz clic en Ver detalles.

    Si no se muestran todos, haz clic en Editar, introduce los permisos que faltan y selecciona Autorizar. No puedes editar el ID de cliente.

La aplicación debería estar disponible en una hora, pero puede tardar hasta 24 horas en estarlo.

Ver, editar o quitar clientes y permisos

Te recomendamos revisar periódicamente los permisos de tu aplicación y quitar los que ya no se requieran y los que no se estén utilizando. También puedes quitar los clientes que ya no necesites. Por ejemplo, retira el acceso a una herramienta de migración una vez que hayas completado el proceso correspondiente.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a "" y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En Delegación de todo el dominio, haz clic en Gestionar delegación de todo el dominio.
  4. Haz clic en el nombre de un cliente y elige una opción:
  • Ver detalles: consulta el nombre completo del cliente y la lista de permisos.

  • Editar: añade o quita permisos. No puedes editar el ID de cliente. Los cambios deberían surtir efecto en una hora, pero pueden tardar hasta 24 horas.

  • Quitar: las aplicaciones que dependen de la autorización del cliente dejarán de funcionar al momento.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.