Como administrador, puedes utilizar la delegación de autoridad de todo el dominio para permitir que aplicaciones internas y de terceros accedan a los datos de tus usuarios.
Los desarrolladores de aplicaciones y los administradores pueden crear cuentas de servicio con OAuth 2.0 y, a continuación, autorizar que esas cuentas accedan a los datos de los usuarios sin que cada uno de ellos deba dar su consentimiento. Estas son algunas aplicaciones a las que se les suele dar acceso mediante la delegación de todo el dominio:
-
Herramientas de sincronización y de migración de Google Workspace
-
Aplicaciones internas (como aplicaciones de automatización) que los desarrolladores crean para tu organización. Por ejemplo, puedes delegar el acceso a una aplicación que utilice la API de Calendar para añadir eventos a los calendarios de tus usuarios.
-
Aplicaciones de OAuth de tres vías, que normalmente requieren que cada usuario dé su consentimiento. Los usuarios activan estas aplicaciones sin que se les pida su consentimiento, y puedes especificar a cuáles de sus datos pueden acceder las aplicaciones.
Para delegar el acceso en la consola de administración de Google, debes añadir el ID de cliente de la cuenta de servicio o el ID de cliente de OAuth2 de la aplicación y, a continuación, dar acceso a las API de Google admitidas mediante permisos.
Acerca de la delegación de todo el dominio
La delegación de todo el dominio es una potente función que permite que las aplicaciones accedan a datos de los usuarios del entorno de Google Workspace de tu organización. Por ejemplo, puedes utilizar la delegación de todo el dominio en una aplicación de migración que duplica el contenido de los usuarios de otro servicio en Google Workspace. Por este motivo, solo los superadministradores pueden gestionar este tipo de delegación, y son ellos quienes deben especificar cada permiso que tiene la aplicación para acceder a las API.
También puedes gestionar la instalación de aplicaciones de Google Workspace Marketplace en todo el dominio, así como ver los permisos de las API que requieren. Consulta más información sobre el acceso a los datos y la instalación de las aplicaciones de Marketplace.
-
Necesitas tener privilegios de superadministrador en tu cuenta de Google Workspace.
- Para añadir o editar una aplicación, solicita la siguiente información a su desarrollador:
- El ID de cliente de la cuenta de servicio.
- La lista de permisos de APIs solicitados por la aplicación. Comprueba que la aplicación tenga solo los permisos de acceso que le correspondan.
- Con la delegación de todo el dominio, la aplicación tiene acceso a los datos que pertenecen a todos tus usuarios. Te recomendamos que revises periódicamente las cuentas de servicio y elimines las cuentas que ya no se utilicen.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la página principal de la consola de administración, ve a Seguridad
Controles de APIs.
-
Haz clic en Gestionar delegación de todo el dominio.
-
Haz clic en Añadir nuevo e introduce el ID de cliente de tu cuenta de servicio.
Este ID (también llamado ID único) se encuentra en el archivo JSON que descargaste cuando creaste la cuenta de servicio y en Google Cloud (haz clic en IAM y administración
-
Introduce el ID de cliente de la cuenta de servicio o el ID de cliente de OAuth2 de la aplicación. Normalmente te lo proporciona el desarrollador, pero si eres el propietario de la cuenta de servicio, puedes consultarlo directamente.
- En Permisos de OAuth, añade de forma precisa todos los permisos a los que puede acceder la aplicación. Puedes utilizar cualquiera de los permisos de OAuth 2.0 para APIs de Google. Por ejemplo, si la aplicación necesita acceso a nivel de dominio a la API de Google Drive y la API de Google Calendar, introduce https://www.googleapis.com/auth/drive y https://www.googleapis.com/auth/calendar.
- Haz clic en Autorizar. Si aparece un mensaje de error, es posible que el ID de cliente no esté registrado en Google o que haya permisos duplicados o que no se admitan.
-
Selecciona el nuevo ID de cliente, haz clic en Ver detalles y asegúrate de que aparecen todos los permisos.
Si falta alguno, haz clic en Editar, introdúcelo y haz clic en Autorizar. No puedes editar el ID de cliente.
La aplicación debería estar disponible en una hora, pero puede tardar hasta 24 horas en estarlo.
Te recomendamos revisar periódicamente los permisos de tu aplicación y quitar los que ya no se requieran y los que no se estén utilizando. También puedes quitar los clientes que ya no necesites. Por ejemplo, retira el acceso a una herramienta de migración una vez que hayas completado el proceso correspondiente.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la página principal de la consola de administración, ve a Seguridad
-
En Delegación de todo el dominio, haz clic en Gestionar delegación de todo el dominio.
-
Haz clic en el nombre de un cliente y elige una opción:
Ver detalles: consulta el nombre completo del cliente y la lista de permisos.
Editar: añade o quita permisos. No puedes editar el ID de cliente. Los cambios deberían surtir efecto en una hora, pero pueden tardar hasta 24 horas.
Quitar: las aplicaciones que dependen de la autorización del cliente dejarán de funcionar al momento.
