Как управлять доступом к API, используя делегирование доступа к данным в домене

Делегирование доступа к данным в домене – это эффективная функция, которая позволяет предоставлять клиентским приложениям доступ к данным пользователей Workspace без их согласия. Делегирование доступа к данным в домене можно использовать двумя способами:

  1. Разрешить сервисному аккаунту получать доступ к данным от имени пользователя. Сервисный аккаунт может использовать следующие типы приложений:
    • Инструменты для переноса и синхронизации, которые копируют контент пользователей из другого сервиса в Google Workspace.

    • Внутренние приложения (например, приложения автоматизации), которые разработаны для вашей организации. Например, вы можете делегировать доступ к приложению, которое использует Calendar API для добавления мероприятий в календари пользователей.

  2. Разрешить пользователям доступ к клиентским приложениям OAuth без отображения окна запроса доступа. Пользователи могут получить доступ к приложениям без предоставления отдельного согласия, причем вы можете указать, к каким данным пользователей приложения получают доступ.

Вы также можете управлять установкой приложений из каталога Google Workspace Marketplace в домене и просматривать области действия их API. Подробнее о доступе к данным и установке приложений из каталога Marketplace

Развернуть все | Свернуть все

Подготовка
  • Убедитесь, что у вас есть права суперадминистратора для аккаунта Google Workspace.
  • Ознакомьтесь с рекомендациями по делегированию доступа к данным в домене и рекомендациями по использованию сервисных аккаунтов.
  • Ознакомьтесь с областями применения API, необходимыми программе или сервисному аккаунту. Убедитесь, что область доступа приложения или сервисного аккаунта достаточно ограничена.
  • Если доступ делегирован приложению OAuth, получите идентификатор клиента OAuth от разработчика приложения.
  • Если доступ делегирован сервисному аккаунту, получите идентификатор клиента этого аккаунта. Если сервисный аккаунт принадлежит вам, вы можете самостоятельно найти идентификатор следующим образом:
    1. Войдите в Google Cloud как суперадминистратор.
    2. Выберите IAM и администрирование>Сервисные аккаунты>[название вашего сервисного аккаунта].
    3. Разверните раздел Расширенные настройки и скопируйте значение в поле Идентификатор клиента.
  • После делегирования приложение получает доступ к данным всех ваших пользователей. Мы рекомендуем настроить периодическую проверку сервисных аккаунтов и удалять все неиспользуемые аккаунты.
Как настроить делегирование доступа к данным в домене для клиента
  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемУправление APIа затемНастроить делегирование доступа к данным в домене.
    Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
  3. Нажмите Добавить.
  4. Укажите идентификатор клиента для сервисного аккаунта или клиента OAuth2.

  5. В разделе Области действия OAuth укажите области, к которым приложение будет иметь доступ. Набор этих областей должен быть достаточно ограничен. Вы можете использовать любые области действия OAuth 2.0 для Google API. Например, если приложению нужен доступ к Google Drive API и Google Calendar API во всем домене, введите https://www.googleapis.com/auth/drive и https://www.googleapis.com/auth/calendar.
  6. Нажмите Авторизовать. Если вы видите сообщение об ошибке, возможно, идентификатор клиента не зарегистрирован в системе Google или присутствуют дублированные либо неподдерживаемые области действия.

    Примечание. Если в вашей организации включено групповое одобрение, для разрешения делегирования доступа к данным в домене для клиентского приложения потребуется одобрение другого суперадминистратора.

  7. Выберите новый идентификатор клиента, нажмите Подробнее и убедитесь, что перечислены все области действия.

    Если какой-то области не хватает, нажмите Изменить, укажите ее и нажмите Авторизовать. Изменить идентификатор клиента нельзя.

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…

Как посмотреть, изменить или удалить клиенты и области действия

Мы рекомендуем периодически проверять области действия приложения и удалять те из них, которые необязательны или используются редко. Также удаляйте ненужные клиенты. Например, после переноса данных следует удалить права доступа для инструмента переноса.

  1. Войдите в консоль администратора Google.

    Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемУправление APIа затемНастроить делегирование доступа к данным в домене.
    Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
  3. Нажмите на название клиента и выберите действие:
  • Подробнее. Посмотреть полное название клиента и список областей действия.
  • Изменить. Добавить или удалить области. Изменить идентификатор клиента нельзя. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
  • Удалить. Приложения, которые зависят от авторизации клиента, немедленно прекратят работу.

    Примечание. Если в вашей организации включено групповое одобрение, для изменения области действия или удаления делегирования в домене для клиентского приложения потребуется одобрение другого суперадминистратора.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню