Styra API-åtkomst med domänomfattande delegering

Som administratör kan du använda domänomfattande delegering av auktorisering för att ge externa och interna appar åtkomst till användarnas data.

Apputvecklare och administratörer kan skapa tjänstkonton med OAuth 2.0. Sedan ger du tjänstkontona åtkomst till användarnas data utan att varje användare måste ge samtycke. Vanliga appar som beviljas domänomfattande delegering:

  • Migrerings- och synkroniseringsverktyg i Google Workspace

  • Interna appar (till exempel automatiseringsappar) som utvecklare skapar för organisationen. Du kan till exempel delegera åtkomst till en app som använder Calendar API för att lägga till händelser i användarnas kalendrar.

  • Appar med tresidig OAuth, som normalt kräver individuellt användarsamtycke. Användarna aktiverar appar utan att bli tillfrågade om samtycke och du kan ange vilken användardata som apparna har åtkomst till.

Om du vill delegera åtkomsten i Google Administratörskonsol lägger du till klient-id för tjänstkontot eller klient-id för OAuth2 för appen och ger åtkomst till Google-API:er som stöds (omfattningar).

Om domänomfattande delegering

Domänomfattande delegering är en effektiv funktion som gör att appar kan komma åt användarnas data i hela organisationens Google Workspace-miljö. Tilldela till exempel domänomfattande delegering till en migreringsapp som duplicerar användarinnehåll från en annan tjänst till Google Workspace. Därför kan endast avancerade administratörer hantera domänomfattande delegering och de måste ange varje API-omfattning som appen kan komma åt.

Du kan även hantera domänomfattande installation och se API-omfattningar för appar i Google Workspace Marketplace. Läs mer om dataåtkomst och installation för Marketplace-appar.

Öppna alla   |   Stäng alla

Innan du börjar
  • Du måste ha behörighet som avancerad administratör för ditt Google Workspace-konto.

  • Om du vill lägga till eller redigera en app behöver du följande information från apputvecklaren:
  • Med domänomfattande delegering har appen åtkomst till data som tillhör alla dina användare. Vi rekommenderar att du regelbundet gör en granskning av tjänstkonton och tar bort konton som inte längre används.
Konfigurera domänomfattande delegering för en klient
  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Från startsidan för administratörskonsolen öppnar du "" följt av Säkerhetföljt av API-kontroller.
  3. Under Domänomfattande delegering klickar du på Hantera domänomfattande delegering.
  4. På sidan Hantera domänomfattande delegering klickar du på Lägg till ny.

  5. Ange klient-id för tjänstkontot eller klient-id för OAuth2 för appen. (Id:t tillhandahålls vanligen av utvecklaren. Om du äger tjänstkontot kan du söka efter id:t.)

  6. OAuth-omfattningar lägger du till varje omfattning som appen har åtkomst till (bör vara begränsad). Du kan använda alla OAuth 2.0-omfattningar för Googles API:er. Om appen till exempel behöver domänomfattande åtkomst till Google Drive API och Google Calendar API anger du https://www.googleapis.com/auth/drive och https://www.googleapis.com/auth/calendar.
  7. Klicka på Auktorisera. Om du får ett felmeddelande är kund-id:t kanske inte registrerat hos Google eller också kan det finnas dubbletter eller omfattningar som inte stöds.
  8. Försäkra dig om att varje omfattning visas genom att välja det nya klient-id:t och klicka på Visa information.

    Om de inte gör det klickar du på Redigera, anger de omfattningar som saknas och klickar på Auktorisera. Du kan inte redigera klient-id:t.

Appen ska vara tillgänglig för användning inom en timme, men det kan ta upp till 24 timmar.

Visa, redigera eller ta bort klienter och omfattningar

Du bör regelbundet kontrollera appens omfattningar och ta bort omfattningar som inte krävs eller används aktivt. Ta även bort klienter som du inte längre behöver. Du kan till exempel ta bort åtkomsten för ett migreringsverktyg när du har slutfört migreringen.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Från startsidan för administratörskonsolen öppnar du "" följt av Säkerhetföljt av API-kontroller.
  3. Under Domänomfattande delegering klickar du på Hantera domänomfattande delegering.
  4. Klicka på ett klientnamn och välj ett alternativ:
  • Visa detaljer – visa klientens fullständiga namn och listan med omfattningar.

  • Redigera – lägg till eller ta bort omfattningar. Det går inte att redigera klient-id:t. Ändringarna bör träda i kraft inom en timme, men det kan ta upp till 24 timmar.

  • Ta bort – appar som är beroende av klientauktoriseringen slutar att fungera omedelbart.

Var det här till hjälp?
Hur kan vi förbättra den?

Behöver du mer hjälp?

Logga in för ytterligare supportalternativ så att du kan lösa problemet snabbt