Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Styra API-åtkomst med domänomfattande delegering

Domänomfattande delegering är en kraftfull funktion som gör att du kan ge klientappar åtkomstbehörighet till Workspace-användarnas data utan att deras samtycke krävs. Du kan använda domänomfattande delegering på två sätt:

  1. Ge ett tjänstkonto åtkomst till data för en användares räkning. Ett tjänstkonto kan använda följande typer av appar:

    • Migrerings- och synkroniseringsverktyg som duplicerar användarinnehåll från en annan tjänst till Google Workspace.

    • Interna appar (till exempel automatiseringsappar) som utvecklare skapar för organisationen. Du kan till exempel delegera åtkomst till en app som använder Calendar API för att lägga till händelser i användarnas kalendrar.

  2. Tillåt användarna att använda OAuth-klientappar utan att se en samtyckesskärm. Användarna kan få åtkomst till appar utan att bli tillfrågade om samtycke och du kan ange vilken användardata som apparna har åtkomst till.

Du kan även hantera domänomfattande installation och se API-omfattningar för appar i Google Workspace Marketplace. Läs mer om dataåtkomst och installation för Marketplace-appar.

Öppna alla   |   Stäng alla

Innan du börjar
  • Kontrollera att du har behörighet som avancerad administratör för ditt Google Workspace-konto.
  • Läs igenom metodtipsen för domänomfattande delegering och metodtips för användning av tjänstkonton.
  • Verifiera listan över API-omfattningar som krävs för app- eller tjänstkontot. Kontrollera att app- eller tjänstkontot har en lagom liten åtkomstomfattning.
  • (Om du delegerar en OAuth-app) Hämta klient-id:t för OAuth från apputvecklaren.
  • (Om du delegerar ett tjänstkonto) Hämta tjänstkontots klient-id. Om du äger tjänstkontot hittar du id:t så här:
    1. Logga in på Google Cloud som avancerad administratör.
    2. Klicka på IAM och adminföljt avTjänstkontonföljt av[namn på tjänsten account].
    3. Utöka Avancerade inställningar och kopiera klient-id:t.
  • Med domänomfattande delegering har appen åtkomst till data som tillhör alla dina användare. Vi rekommenderar att du regelbundet gör en granskning av tjänstkonton och tar bort konton som inte längre används.
Konfigurera domänomfattande delegering för en klient
  1. Logga inGoogles administratörskonsol.

    Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).

  2. Öppna menyn på administratörskonsolen följt av Säkerhetföljt avÅtkomst och datakontrollföljt avAPI-kontrollerföljt avHantera domänomfattande delegering.
    Du måste vara inloggad som avancerad administratör för den här uppgiften.
  3. Klicka på Lägg till ny.

  4. Ange Klient-id för tjänstkontot eller OAuth2-klienten. 

  5. OAuth-omfattningar lägger du till varje omfattning som appen har åtkomst till (bör vara begränsad). Du kan använda alla OAuth 2.0-omfattningar för Googles API:er. Om appen till exempel behöver domänomfattande åtkomst till Google Drive API och Google Calendar API anger du https://www.googleapis.com/auth/drive och https://www.googleapis.com/auth/calendar.
  6. Klicka på Auktorisera. Om du får ett felmeddelande är kund-id:t kanske inte registrerat hos Google eller också kan det finnas dubbletter eller omfattningar som inte stöds.
  7. Välj det nya klient-id:t, klicka på Visa information och försäkra dig sedan om att varje omfattning visas.

    Om en omfattning inte finns med klickar du på Redigera och anger den omfattning som saknas. Klicka sedan på Auktorisera. Det går inte att redigera klient-id:t.

Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer

Visa, redigera eller ta bort klienter och omfattningar

Du bör regelbundet kontrollera appens omfattningar och ta bort omfattningar som inte krävs eller används aktivt. Ta även bort klienter som du inte längre behöver. Du kan till exempel ta bort åtkomsten för ett migreringsverktyg när du har slutfört migreringen.

  1. Logga inGoogles administratörskonsol.

    Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).

  2. Öppna menyn på administratörskonsolen följt av Säkerhetföljt avÅtkomst och datakontrollföljt avAPI-kontrollerföljt avHantera domänomfattande delegering.
    Du måste vara inloggad som avancerad administratör för den här uppgiften.
  3. Klicka på ett klientnamn och välj ett alternativ:

  • Visa detaljer – visa klientens fullständiga namn och listan med omfattningar.

  • Redigera – lägg till eller ta bort omfattningar. Det går inte att redigera klient-id:t. Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer

  • Radera – appar som är beroende av klientauktoriseringen slutar att fungera omedelbart.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
2327895776562292448
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false