Controlar o acesso às APIs com a delegação em todo o domínio

Por ser administrador, você pode usar a delegação de autoridade em todo o domínio para permitir que apps internos e de terceiros acessem os dados dos seus usuários.

Os desenvolvedores e administradores de apps podem criar contas de serviço com o OAuth 2.0. Você autoriza as contas de serviço a acessar os dados dos seus usuários sem precisar pedir o consentimento. A delegação em todo o domínio geralmente é usada nestes apps:

  • Ferramentas de migração e sincronização do Google Workspace.

  • Apps internos, como de automação, que os desenvolvedores criam para sua organização. Por exemplo, você pode delegar o acesso a um app que usa a API Calendar para adicionar eventos às agendas dos usuários.

  • Apps OAuth de três etapas, que normalmente exigem o consentimento do usuário. Os usuários ativam os apps sem que o consentimento seja solicitado, e você especifica os dados do usuário que os apps podem acessar.

Para delegar o acesso no Google Admin Console, adicione o ID do cliente da conta de serviço ou o ID do cliente OAuth2 do app e conceda acesso aos escopos das APIs do Google compatíveis.

Sobre a delegação em todo o domínio

A delegação em todo o domínio é uma funcionalidade avançada para que os apps acessem os dados dos usuários no ambiente do Google Workspace da sua organização. Por exemplo, você pode ativá-la para um app de migração que duplica o conteúdo do usuário de outro serviço do Google Workspace. Por esse motivo, apenas os superadministradores gerenciam a delegação em todo o domínio e especificam cada escopo da API que o app pode acessar.

Você também pode gerenciar a instalação em todo o domínio e ver os escopos da API para apps do Google Workspace Marketplace. Saiba mais sobre o acesso aos dados e a instalação dos apps do Marketplace.

Abrir tudo   |   Fechar tudo

Antes de começar

  • Você precisa de privilégios de superadministrador para sua conta do Google Workspace.

  • Para adicionar ou editar um app, você precisa das seguintes informações do desenvolvedor:
  • Com a delegação em todo o domínio, o app tem acesso aos dados que pertencem a todos os seus usuários. Recomendamos que você configure uma verificação periódica das contas de serviço e exclua as que não estão mais em uso.
Configurar a delegação em todo o domínio para um cliente
  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Clique em Gerenciar a delegação em todo o domínio.

  4. Clique em Adicionar novo e digite o ID do cliente da conta de serviço.

    Você encontra o ID (também chamado de ID exclusivo) no arquivo JSON que salvou ao criar a conta de serviço ou no Google Cloud (clique em IAM e administradore depoisContas de serviçoe depoissua conta de serviço).

  5. Digite o ID do cliente da conta de serviço ou o ID do cliente OAuth2 do app. Normalmente eles são informados pelo desenvolvedor. Se você é o proprietário da conta de serviço, pode pesquisar o ID.

  6. Em Escopos OAuth, adicione os escopos que o app pode acessar. Eles devem ser limitados adequadamente. Você pode usar qualquer escopo OAuth 2.0 para APIs do Google. Por exemplo, caso o app precise ter acesso em todo o domínio à API Google Drive e à API Google Calendar, insira https://www.googleapis.com/auth/drive e https://www.googleapis.com/auth/calendar.
  7. Clique em Autorizar. Caso você veja um erro, o ID do cliente talvez não esteja registrado no Google ou talvez existam escopos duplicados ou incompatíveis.
  8. Selecione o novo ID do cliente, clique em Ver detalhes e confirme que os escopos estão listados.

    Se um escopo não estiver listado, clique em Editar, digite o escopo ausente e clique em Autorizar. Não é possível editar o ID do cliente.

O app geralmente fica disponível para uso em 60 minutos, mas isso pode levar até 24 horas.

Ver, editar ou excluir clientes e escopos

Como prática recomendada, verifique periodicamente os escopos do seu app e remova os que não são necessários ou usados. Exclua também os clientes desnecessários. Por exemplo, remova o acesso a uma ferramenta de migração depois de concluir a migração.

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Segurançae depoisControles da API.
  3. Em Delegação em todo o domínio, clique em Gerenciar a delegação em todo o domínio.
  4. Clique no nome de um cliente e escolha uma opção:

  • Ver detalhes: veja o nome completo do cliente e a lista de escopos.

  • Editar: adicione ou remova escopos. Não é possível editar o ID do cliente. As configurações geralmente entram em vigor em 60 minutos, mas isso pode levar até 24 horas.

  • Remover: os apps que dependem da autorização do cliente deixam de funcionar imediatamente.

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.

true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010