Controllare l'accesso all'API con la delega a livello di dominio

In qualità di amministratore, puoi utilizzare la delega dell'autorità a livello di dominio per consentire alle applicazioni interne e di terze parti di accedere ai dati dei tuoi utenti.

Sviluppatori di app e amministratori possono creare account di servizio con OAuth 2.0. Successivamente, dovrai autorizzare gli account di servizio ad accedere ai dati dei tuoi utenti senza che sia necessario il loro consenso. App a cui viene normalmente concessa la delega a livello di dominio:

  • Strumenti di migrazione e sincronizzazione di Google Workspace

  • App interne, ad esempio app per l'automazione, create dagli sviluppatori per l'organizzazione. Ad esempio, puoi delegare l'accesso a un'applicazione che utilizza l'API Calendar per aggiungere eventi ai calendari degli utenti.

  • App OAuth a tre vie, che in genere richiedono il consenso di ogni singolo utente. Gli utenti attivano le app senza che venga richiesto il loro consenso. Inoltre, puoi specificare i dati utente a cui possono accedere le app.

Per delegare l'accesso nella Console di amministrazione Google, aggiungi l'ID client dell'account di servizio o l'ID client OAuth2 dell'app, quindi concedi l'accesso alle API di Google supportate (ambiti).

Informazioni sulla delega a livello di dominio

La delega a livello di dominio è una potente funzionalità che consente alle app di accedere ai dati degli utenti nell'ambiente Google Workspace della tua organizzazione. Ad esempio, puoi concedere la delega a livello di dominio a un'app di migrazione che duplica i contenuti degli utenti da un altro servizio a Google Workspace. Per questo motivo, solo i super amministratori possono gestire la delega a livello di dominio, specificando obbligatoriamente ogni ambito API a cui l'app può accedere.

Puoi anche gestire l'installazione a livello di dominio e visualizzare gli ambiti API per le app di Google Workspace Marketplace. Scopri di più sull'accesso ai dati e sull'installazione delle app del Marketplace.

Apri tutto   |   Chiudi tutto

Prima di iniziare
  • Devi disporre dei privilegi di super amministratore per il tuo account Google Workspace.

  • Per aggiungere o modificare un'app, richiedi le seguenti informazioni allo sviluppatore:
  • ID client dell'account di servizio.
  • Elenco degli ambiti API richiesti dall'app. Verifica che per l'app siano impostati i limiti appropriati per l'ambito di accesso.
  • Con la delega a livello di dominio, l'app ha accesso ai dati appartenenti a tutti i tuoi utenti. Ti consigliamo di impostare una revisione regolare degli account di servizio e di eliminare gli account non più in uso.
Configurare la delega a livello di dominio per un client
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Delega a livello di dominio, fai clic su Gestisci delega a livello di dominio.
  4. Nella pagina Gestisci delega a livello di dominio, fai clic su Aggiungi nuovo.

  5. Inserisci l'ID client dell'account di servizio o l'ID client OAuth2 dell'app. In genere l'ID viene fornito dallo sviluppatore, ma se sei proprietario dell'account di servizio, puoi cercarlo direttamente.

  6. In Ambiti OAuth, aggiungi ogni ambito a cui può accedere l'app (deve essere opportunamente limitato). Puoi utilizzare uno degli ambiti OAuth 2.0 per le API di Google. Ad esempio, se l'applicazione richiede l'accesso a livello di dominio all'API di Google Drive e all'API di Google Calendar, inserisci https://www.googleapis.com/auth/drive e https://www.googleapis.com/auth/calendar.
  7. Fai clic su Autorizza. Se ricevi un messaggio di errore, è possibile che l'ID client non sia registrato in Google o che esistano ambiti duplicati o non supportati.
  8. Per assicurarti che venga visualizzato ogni ambito, seleziona il nuovo ID client e fai clic su Visualizza dettagli.

    Se questo non accade, fai clic su Modifica e inserisci gli ambiti mancanti, quindi fai clic su Autorizza. Tieni presente che non puoi modificare l'ID client.

L'app dovrebbe essere disponibile e utilizzabile entro un'ora, ma potrebbero essere necessario attendere fino a 24 ore.

Visualizzare, modificare o eliminare client e ambiti

Come best practice, controlla periodicamente gli ambiti della tua app e rimuovi quelli non necessari o che non vengono utilizzati attivamente. Elimina anche i client che non ti servono più. Ad esempio, rimuovi l'accesso a uno strumento di migrazione dopo aver completato l'operazione.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Dalla home page della Console di amministrazione, vai a "" e poi Sicurezza e poi Controllo accesso app.
  3. In Delega a livello di dominio, fai clic su Gestisci delega a livello di dominio.
  4. Fai clic sul nome di un client e scegli un'opzione:
  • Visualizza dettagli: visualizza il nome completo del client e l'elenco degli ambiti.

  • Modifica: aggiungi o rimuovi gli ambiti. Non puoi modificare l'ID client. Le modifiche dovrebbero essere effettive entro un'ora, ma potrebbero trascorrere fino a 24 ore.

  • Rimuovi: le applicazioni che dipendono dall'autorizzazione del client smetteranno di funzionare immediatamente.

È stato utile?
Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Accedi per scoprire altre opzioni di assistenza che ti consentiranno di risolvere rapidamente il tuo problema