Controlar o acesso às APIs do G Suite com a delegação em todo o domínio

Por ser administrador do G Suite, você pode usar a delegação de autoridade em todo o domínio para permitir que apps internos e de terceiros acessem os dados dos usuários do G Suite.

Os desenvolvedores de apps e administradores do G Suite podem criar contas de serviço com o OAuth 2.0. Você autoriza as contas de serviço a acessar os dados do G Suite dos seus usuários sem precisar pedir o consentimento. A delegação em todo o domínio geralmente é usada nestes apps:

  • Ferramentas de migração e sincronização do G Suite (como o G Suite Migrate).

  • Apps internos (por exemplo, apps de automação) desenvolvidos para sua organização do G Suite. Por exemplo, você pode delegar o acesso a um app que usa a API Calendar para adicionar eventos às agendas dos usuários.

  • Apps com o OAuth de três etapas, que normalmente exigem o consentimento do usuário. Os usuários ativam os apps sem que o consentimento seja solicitado, e você especifica os dados do usuário que os apps podem acessar.

Para delegar o acesso no Admin Console, adicione o ID do cliente da conta de serviço ou o ID do cliente OAuth2 do app e conceda acesso aos escopos das APIs do Google compatíveis.

Sobre a delegação em todo o domínio

A delegação em todo o domínio é uma funcionalidade avançada para que os apps acessem os dados dos usuários na conta do G Suite. Por exemplo, você pode ativá-la para um app de migração que duplica o conteúdo do usuário de outro serviço do G Suite. Por esse motivo, apenas os superadministradores gerenciam a delegação em todo o domínio e especificam cada escopo da API que o app pode acessar.

Você também pode gerenciar a instalação em todo o domínio e ver os escopos da API para os aplicativos do G Suite Marketplace. Saiba mais sobre o acesso aos dados e a instalação dos aplicativos do Marketplace.

Antes de começar

  • Você precisa ter privilégios de superadministrador na sua conta do G Suite.

  • Para adicionar ou editar um app, você precisa das seguintes informações do desenvolvedor:
  • Com a delegação em todo o domínio, o app tem acesso aos dados que pertencem a todos os usuários do G Suite. Recomendamos que você configure uma verificação periódica das contas de serviço e exclua as que não estão mais em uso.

Configurar a delegação em todo o domínio para um cliente

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse "" e depois Segurançae depois Controles da API.
  3. Em Delegação em todo o domínio, clique em Gerenciar a delegação em todo o domínio.

  4. Na página Gerenciar a delegação em todo o domínio, clique em Adicionar novo.

  5. Digite o ID do cliente da conta de serviço ou o ID do cliente OAuth2 do app. Normalmente, eles são informados pelo desenvolvedor. Se você é o proprietário da conta de serviço, pode procurar o ID.

  6. Em Escopo OAuth, adicione os escopos que o app pode acessar. Eles devem ser adequadamente limitados. Você pode usar qualquer escopo OAuth 2.0 para APIs do Google. Por exemplo, caso o app precise ter acesso em todo o domínio à API Google Drive e à API Google Calendar, insira https://www.googleapis.com/auth/drive e https://www.googleapis.com/auth/calendar.
     
  7. Clique em Autorizar. Caso você veja um erro, isso significa que o ID do cliente talvez não esteja registrado no Google ou que talvez existam escopos duplicados ou incompatíveis.

O app geralmente fica disponível para uso em 60 minutos, mas isso pode levar até 24 horas.

Ver, editar ou excluir clientes e escopos

Como prática recomendada, verifique periodicamente os escopos do seu app e remova os que não são necessários ou usados. Exclua também os clientes desnecessários. Por exemplo, remova o acesso ao G Suite Migrate depois de concluir a migração.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse "" e depois Segurançae depois Controles da API.
  3. Em Delegação em todo o domínio, clique em Gerenciar a delegação em todo o domínio.
  4. Clique em um nome de cliente e depois em uma ação:
  • Ver detalhes: veja o nome completo do cliente e a lista de escopos.

  • Editar: adicione ou remova escopos. Não é possível editar o ID do cliente. As configurações geralmente entram em vigor em 60 minutos, mas isso pode levar até 24 horas.

  • Remover: os apps que dependem da autorização do cliente deixam de funcionar imediatamente.

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.