Уведомление

Duet AI is now Gemini for Google Workspace. Learn more

Как управлять доступом к API, используя делегирование доступа к данным в домене

Администратор может делегировать права на уровне домена, чтобы предоставить сторонним и внутренним приложениям доступ к данным пользователей.

Разработчики приложений и администраторы могут создать сервисные аккаунты с OAuth 2.0. Затем вы можете разрешить сервисным аккаунтам доступ к данным пользователей, при этом пользователям не потребуется предоставлять отдельное согласие. Приложения, которым обычно делегируются права доступа к данным в домене:

  • Инструменты для переноса и синхронизации данных Google Workspace.

  • Внутренние приложения (например, приложения автоматизации), которые разработаны для вашей организации. Например, вы можете делегировать доступ к приложению, которое использует Calendar API для добавления мероприятий в календари пользователей.

  • Приложения с поддержкой трехсторонней аутентификации OAuth, которые обычно требуют предоставления отдельного согласия пользователя. Пользователи активируют приложения без предоставления отдельного согласия, причем вы можете указать, к каким данным пользователей приложения получают доступ.

Чтобы делегировать доступ в консоли администратора Google, добавьте идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения, а затем предоставьте доступ к областям действия поддерживаемых Google API.

О делегировании доступа к данным в домене

Делегирование доступа к данным в домене – это эффективная функция, которая позволяет приложениям получать доступ к данным пользователей во всей среде Google Workspace организации. Например, вы можете делегировать доступ к данным в домене приложению для переноса, которое копирует данные пользователя из другого сервиса в Google Workspace. Управлять таким делегированием могут только суперадминистраторы, при этом им нужно задать все области действия API, к которым приложение сможет получать доступ.

Вы также можете управлять установкой приложений из каталога Google Workspace Marketplace в домене и просматривать области действия их API. Подробнее о доступе к данным и установке приложений из каталога Marketplace

Развернуть все | Свернуть все

Подготовка
  • После делегирования приложение получает доступ к данным всех ваших пользователей. Мы рекомендуем настроить периодическую проверку сервисных аккаунтов и удалять все неиспользуемые аккаунты.
Как настроить делегирование доступа к данным в домене для клиента
  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемУправление APIа затемНастроить делегирование доступа к данным в домене.
    Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
  3. Нажмите Добавить и введите идентификатор клиента сервисного аккаунта.

    Этот уникальный идентификатор можно найти в файле JSON, скачанном при создании сервисного аккаунта, или в Google Cloud (IAM и администрированиеа затемСервисные аккаунтыа затемваш сервисный аккаунт).

  4. Введите идентификатор клиента для сервисного аккаунта или идентификатор клиента OAuth2 для приложения. Обычно эта информация предоставляется разработчиком. Если сервисный аккаунт принадлежит вам, вы можете самостоятельно найти идентификатор.

  5. В разделе Области действия OAuth укажите области, к которым приложение будет иметь доступ. Набор этих областей должен быть достаточно ограничен. Вы можете использовать любые области действия OAuth 2.0 для Google API. Например, если приложению нужен доступ к Google Drive API и Google Calendar API во всем домене, введите https://www.googleapis.com/auth/drive и https://www.googleapis.com/auth/calendar.
  6. Нажмите Авторизовать. Если вы видите сообщение об ошибке, возможно, идентификатор клиента не зарегистрирован в системе Google или присутствуют дублированные либо неподдерживаемые области действия.
  7. Выберите новый идентификатор клиента, нажмите Подробнее и убедитесь, что перечислены все области действия.

    Если какой-то области не хватает, нажмите Изменить, укажите ее и нажмите Авторизовать. Изменить идентификатор клиента нельзя.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Как посмотреть, изменить или удалить клиенты и области действия

Мы рекомендуем периодически проверять области действия приложения и удалять те из них, которые необязательны или используются редко. Также удаляйте ненужные клиенты. Например, после переноса данных следует удалить права доступа для инструмента переноса.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемУправление APIа затемНастроить делегирование доступа к данным в домене.
    Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
  3. Нажмите на название клиента и выберите действие:
  • Подробнее. Посмотреть полное название клиента и список областей действия.

  • Изменить. Добавить или удалить области. Изменить идентификатор клиента нельзя. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

  • Удалить. Приложения, которые зависят от авторизации клиента, немедленно прекратят работу.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
7361005658157966146
true
Поиск по Справочному центру
true
true
true
true
true
73010