In qualità di amministratore, puoi utilizzare la delega dell'autorità a livello di dominio per consentire alle applicazioni interne e di terze parti di accedere ai dati dei tuoi utenti.
Sviluppatori di app e amministratori possono creare account di servizio con OAuth 2.0. Successivamente, dovrai autorizzare gli account di servizio ad accedere ai dati dei tuoi utenti senza che sia necessario il loro consenso. App a cui viene normalmente concessa la delega a livello di dominio:
-
Strumenti di migrazione e sincronizzazione di Google Workspace
-
App interne, ad esempio app per l'automazione, create dagli sviluppatori per l'organizzazione. Ad esempio, puoi delegare l'accesso a un'applicazione che utilizza l'API Calendar per aggiungere eventi ai calendari degli utenti.
-
App OAuth a tre vie, che in genere richiedono il consenso di ogni singolo utente. Gli utenti attivano le app senza che venga richiesto il loro consenso. Inoltre, puoi specificare i dati utente a cui possono accedere le app.
Per delegare l'accesso nella Console di amministrazione Google, aggiungi l'ID client dell'account di servizio o l'ID client OAuth2 dell'app, quindi concedi l'accesso alle API di Google supportate (ambiti).
Informazioni sulla delega a livello di dominio
La delega a livello di dominio è una potente funzionalità che consente alle app di accedere ai dati degli utenti nell'ambiente Google Workspace della tua organizzazione. Ad esempio, puoi concedere la delega a livello di dominio a un'app di migrazione che duplica i contenuti degli utenti da un altro servizio a Google Workspace. Per questo motivo, solo i super amministratori possono gestire la delega a livello di dominio, specificando obbligatoriamente ogni ambito API a cui l'app può accedere.
Puoi anche gestire l'installazione a livello di dominio e visualizzare gli ambiti API per le app di Google Workspace Marketplace. Scopri di più sull'accesso ai dati e sull'installazione delle app del Marketplace.
-
Devi disporre dei privilegi di super amministratore per il tuo account Google Workspace.
- Per aggiungere o modificare un'app, richiedi le seguenti informazioni allo sviluppatore:
- ID client dell'account di servizio.
- Elenco degli ambiti API richiesti dall'app. Verifica che per l'app siano impostati i limiti appropriati per l'ambito di accesso.
- Con la delega a livello di dominio, l'app ha accesso ai dati appartenenti a tutti i tuoi utenti. Ti consigliamo di impostare una revisione regolare degli account di servizio e di eliminare gli account non più in uso.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a Sicurezza
Controlli API.
-
Fai clic su Gestisci delega a livello di dominio.
-
Fai clic su Aggiungi nuovo e inserisci l'ID client del tuo account di servizio.
Puoi trovare questo ID (chiamato anche ID univoco) nel file JSON che hai scaricato durante la creazione dell'account di servizio o in Google Cloud (fai clic su IAM e amministrazione
-
Inserisci l'ID client dell'account di servizio o l'ID client OAuth2 dell'app. In genere l'ID viene fornito dallo sviluppatore, ma se sei proprietario dell'account di servizio, puoi cercarlo direttamente.
- In Ambiti OAuth, aggiungi ogni ambito a cui può accedere l'app (deve essere opportunamente limitato). Puoi utilizzare uno degli ambiti OAuth 2.0 per le API di Google. Ad esempio, se l'applicazione richiede l'accesso a livello di dominio all'API di Google Drive e all'API di Google Calendar, inserisci https://www.googleapis.com/auth/drive e https://www.googleapis.com/auth/calendar.
- Fai clic su Autorizza. Se ricevi un messaggio di errore, è possibile che l'ID client non sia registrato in Google o che esistano ambiti duplicati o non supportati.
-
Seleziona il nuovo ID client e fai clic su Visualizza dettagli, quindi assicurati che nell'elenco siano riportati tutti gli ambiti.
Se manca un ambito, fai clic su Modifica, inserisci l'ambito mancante e fai clic su Autorizza. Non puoi modificare l'ID client.
L'app dovrebbe essere disponibile e utilizzabile entro un'ora, ma potrebbero essere necessario attendere fino a 24 ore.
Come best practice, controlla periodicamente gli ambiti della tua app e rimuovi quelli non necessari o che non vengono utilizzati attivamente. Elimina anche i client che non ti servono più. Ad esempio, rimuovi l'accesso a uno strumento di migrazione dopo aver completato l'operazione.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando un account con privilegi di super amministratore (non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a Sicurezza
-
In Delega a livello di dominio, fai clic su Gestisci delega a livello di dominio.
-
Fai clic sul nome di un client e scegli un'opzione:
Visualizza dettagli: visualizza il nome completo del client e l'elenco degli ambiti.
Modifica: aggiungi o rimuovi gli ambiti. Non puoi modificare l'ID client. Le modifiche dovrebbero essere effettive entro un'ora, ma potrebbero trascorrere fino a 24 ore.
Rimuovi: le applicazioni che dipendono dall'autorizzazione del client smetteranno di funzionare immediatamente.
