Kontrola dostępu do interfejsów API przy użyciu przekazywania dostępu w całej domenie

Przekazywanie dostępu w całej domenie to zaawansowana funkcja, która umożliwia aplikacjom klienckim uzyskiwanie dostępu do danych użytkowników Workspace bez konieczności uzyskiwania ich zgody. Z przekazywania dostępu w całej domenie możesz korzystać na 2 sposoby:

  1. Przyznanie kontu usługi dostępu do danych w imieniu użytkownika. Konto usługi może korzystać z tych typów aplikacji:
    • Narzędzia do migracji i synchronizowania, które duplikują treści użytkowników z innej usługi do Google Workspace.

    • Aplikacje wewnętrzne (na przykład do automatyzacji procesów), które tworzą deweloperzy dla Twojej organizacji. Możesz na przykład przekazać dostęp aplikacji używającej interfejsu Calendar API, aby mogła ona dodawać wydarzenia do kalendarzy użytkowników.

  2. Zezwolenie użytkownikom na korzystanie z aplikacji klienckich OAuth bez wyświetlania ekranu zgody. Użytkownicy mogą korzystać z aplikacji bez konieczności wyrażenia zgody, a Ty możesz określić, do jakiego typu danych aplikacje mogą uzyskiwać dostęp.

Możesz też zarządzać instalacją w całej domenie i wyświetlać zakresy interfejsu API aplikacji z Google Workspace Marketplace. Dowiedz się więcej o dostępie do danych i instalacji aplikacji z Marketplace.

Otwórz wszystko | Zamknij wszystko

Zanim zaczniesz
  • Sprawdź, czy masz uprawnienia superadministratora do swojego konta Google Workspace.
  • Zapoznaj się ze sprawdzonymi metodami przekazywania dostępu w całej domenie oraz sprawdzonymi metodami korzystania z kont usługi.
  • Sprawdź listę zakresów interfejsów API wymaganych przez aplikację lub konto usługi. Sprawdź, czy aplikacja lub konto usługi ma odpowiednio mały zakres dostępu.
  • (W przypadku przekazywania dostępu do aplikacji OAuth) Uzyskaj identyfikator klienta OAuth od dewelopera aplikacji.
  • (W przypadku przekazywania dostępu do konta usługi) Uzyskaj identyfikator klienta konta usługi. Jeśli jesteś właścicielem konta usługi, identyfikator znajdziesz w ten sposób:
    1. Zaloguj się w Google Cloud jako superadministrator.
    2. Kliknij Administracja a potem Konta usługi a potem [nazwa konta usługi].
    3. Rozwiń Ustawienia zaawansowane i skopiuj wartość z pola Identyfikator klienta.
  • Aplikacja z przekazanym dostępem w całej domenie może korzystać ze wszystkich danych należących do wszystkich użytkowników w Twojej organizacji. Dlatego zalecamy regularne sprawdzanie kont usług i usuwanie tych, których już nie używasz.
Konfigurowanie przekazywania dostępu w całej domenie dla klienta
  1. Zaloguj się w: konsoli administracyjnej Google.

    Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Bezpieczeństwo a potem Dostęp do danych i kontrola nad nimi a potem Dostęp do interfejsów API a potem Zarządzaj przekazywaniem dostępu w całej domenie.
    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
  3. Kliknij Dodaj domenę.
  4. Wpisz identyfikator klienta konta usługi lub klienta OAuth2.

  5. W sekcji Zakresy OAuth dodaj każdy zakres, do jakiego aplikacja może uzyskiwać dostęp (powinien być odpowiednio zawężony). W przypadku interfejsów API Google możesz używać dowolnych zakresów OAuth 2.0. Jeśli na przykład aplikacja potrzebuje dostępu w całej domenie do interfejsów Google Drive API i Google Calendar API, wpisz https://www.googleapis.com/auth/drive oraz https://www.googleapis.com/auth/calendar.
  6. Kliknij Autoryzuj. Jeśli pojawi się błąd, może to oznaczać, że identyfikator klienta nie jest zarejestrowany w Google albo wpisano powielone lub nieobsługiwane zakresy.
  7. Wybierz nowy identyfikator klienta, kliknij Wyświetl szczegóły i sprawdź, czy na liście znajdują się wszystkie zakresy.

    Jeśli jakiś zakres nie jest wymieniony, kliknij Edytuj, podaj brakujący zakres i kliknij Autoryzuj. Identyfikatora klienta nie można edytować.

Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Wyświetlanie, edytowanie i usuwanie klientów oraz zakresów

Zalecamy okresowe sprawdzanie zakresów aplikacji i usuwanie tych, które nie są wymagane ani używane. Pamiętaj też o usuwaniu klientów, których już nie potrzebujesz. Na przykład po ukończeniu migracji usuń dostęp narzędzia.

  1. Zaloguj się w: konsoli administracyjnej Google.

    Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Bezpieczeństwo a potem Dostęp do danych i kontrola nad nimi a potem Dostęp do interfejsów API a potem Zarządzaj przekazywaniem dostępu w całej domenie.
    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
  3. Kliknij nazwę klienta, a następnie wybierz opcję:
  • Wyświetl szczegóły – zobacz pełną nazwę klienta i listę zakresów.

  • Edytuj – dodaj lub usuń zakresy. Nie możesz edytować identyfikatora klienta. Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

  • Usuń – aplikacje zależne od autoryzacji klienta natychmiast przestaną działać.

Czy to było pomocne?

Jak możemy ją poprawić?
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne