Как управлять доступом к G Suite API, используя делегирование доступа к данным в домене

Администратор G Suite может делегировать права на уровне домена, чтобы предоставить сторонним и внутренним приложениям доступ к данным пользователей G Suite.

Разработчики приложений и администраторы G Suite могут создать сервисные аккаунты с OAuth 2.0. Затем вы можете разрешить сервисным аккаунтам доступ к данным пользователей G Suite, при этом пользователям не потребуется предоставлять отдельное согласие. Приложения, которым обычно делегируются права доступа к данным в домене:

  • Инструменты для переноса и синхронизации данных G Suite (например, G Suite Migrate).

  • Внутренние приложения (например, приложения автоматизации), которые разработаны для вашей организации G Suite. Например, вы можете делегировать доступ приложению, которое использует Calendar API для добавления мероприятий в календари пользователей.

  • Приложения с поддержкой трехсторонней аутентификации OAuth, которые обычно требуют предоставления отдельного согласия пользователя. Пользователи активируют приложения без предоставления отдельного согласия, причем вы можете указать, к каким данным пользователей приложения получают доступ.

Чтобы делегировать доступ в консоли администратора, добавьте идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения, а затем предоставьте доступ к областям действия поддерживаемых Google API.

О делегировании доступа к данным в домене

Делегирование доступа к данным в домене – это эффективная функция, которая позволяет приложениям получать доступ к данным пользователей во всем аккаунте G Suite. Например, вы можете делегировать доступ к данным в домене приложению переноса, которое копирует данные пользователя из другого сервиса в G Suite. Управлять таким делегированием могут только суперадминистраторы, при этом им нужно задать все области действия API, к которым приложение сможет получать доступ.

Вы также можете управлять установкой приложений из каталога G Suite Marketplace в домене и просматривать области действия их API. Подробнее о доступе к данным и установке приложений из каталога Marketplace…

Подготовка

  • Вам потребуются права суперадминистратора для аккаунта G Suite.

  • Чтобы добавить или изменить приложение, получите следующие данные от его разработчика:
  • После делегирования приложение получает доступ к данным всех ваших пользователей G Suite. Мы рекомендуем настроить периодическую проверку сервисных аккаунтов и удалять все неиспользуемые аккаунты.

Как настроить делегирование доступа к данным в домене для клиента

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. В разделе Делегирование доступа к данным в домене нажмите Настроить делегирование доступа к данным в домене.

  4. На странице Настройка делегирования доступа к данным в домене нажмите Добавить.

  5. Введите идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения. Обычно эта информация предоставляется разработчиком. Если сервисный аккаунт принадлежит вам, вы можете самостоятельно найти идентификатор.

  6. В разделе Область действия OAuth добавьте все области, к которым может получать доступ приложение. Набор областей действия должен быть достаточно ограничен. Вы можете использовать любые области действия OAuth 2.0 для Google API. Например, если приложению нужен доступ к Google Drive API и Google Calendar API во всем домене, введите https://www.googleapis.com/auth/drive и https://www.googleapis.com/auth/calendar.
     
  7. Нажмите Авторизовать. Если вы видите сообщение об ошибке, возможно, идентификатор клиента не зарегистрирован в системе Google или присутствуют дублированные либо неподдерживаемые области действия.

Приложение станет доступно в течение часа, но в некоторых случаях на это может потребоваться до 24 часов.

Как посмотреть, изменить или удалить клиенты и области действия

Мы рекомендуем периодически проверять области действия приложения и удалять те из них, которые необязательны или используются редко. Также удаляйте ненужные клиенты. Например, удалите права доступа для приложения G Suite Migrate после переноса данных.

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите "" а затем Безопасность а затем Разрешения API.
  3. В разделе Делегирование доступа к данным в домене нажмите Настроить делегирование доступа к данным в домене.
  4. Нажмите на название клиента и выберите действие:
  • Подробнее: посмотреть полное название клиента и список областей действия.

  • Изменить: добавить или удалить области действия (изменить идентификатор клиента нельзя). Изменения вступают в силу в течение часа, но иногда на это требуется до 24 часов.

  • Удалить: приложения, которые зависят от авторизации клиента, немедленно прекратят работу.

Эта информация оказалась полезной?
Как можно улучшить эту статью?