通知

Duet AI 现已更名为 Google Workspace 专用 Gemini。了解详情

使用全网域授权功能控制 API 访问权限

全网域授权是一项强大的功能,可让您向客户端应用授予访问您 Workspace 用户数据的权限,而无需获得用户同意。您可以通过以下两种方式使用全网域授权功能:

  1. 授权服务账号代表用户访问数据。 服务账号可以使用以下类型的应用:
    • 用于将用户内容从其他服务复制到 Google Workspace 的迁移和同步工具。

    • 开发者为您的单位构建的内部应用(例如自动化应用)。例如,您可以向使用 Calendar API 为用户日历添加活动的应用授予访问权限。

  2. 允许用户在不看到同意屏幕的情况下使用 OAuth 客户端应用。用户可以直接访问这类应用,而不会收到同意授权方面的提示,并且您可以指定这类应用可以访问哪些用户数据。

您还可以管理 Google Workspace Marketplace 中的应用在整个网域的安装情况,以及查看这些应用的 API 范围。了解 Google Workspace Marketplace 中应用的数据访问权限安装方式

展开所有部分  |  收起所有部分

准备工作
  • 确保您拥有 Google Workspace 账号的超级用户权限。
  • 查看全网域授权最佳做法使用服务账号的最佳做法
  • 验证应用或服务账号所需的 API 范围列表。检查应用或服务账号是否拥有适当小的访问权限范围。
  • (如果委托 OAuth 应用)从应用开发者处获取 OAuth 客户端 ID。
  • (如果委托服务账号)获取服务账号的客户端 ID。如果您是服务账号的所有者,则可以按如下方式找到相应 ID:
    1. 以超级用户的身份登录 Google Cloud
    2. 点击 IAM 和管理接着点按服务账号接着点按[服务账号名称]。
    3. 展开高级设置并复制客户端 ID
  • 利用全网域授权,应用可以访问您的所有用户的数据。我们建议您定期检查服务账号,并删除不再使用的账号。
为客户端设置全网域授权功能
  1. 登录您的 Google 管理控制台

    请使用拥有超级用户权限的帐号(不是以 @gmail.com 结尾)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 安全性接着点击访问权限和数据控件接着点击API 控件接着点击管理全网域授权
    您必须以超级用户身份登录,才能执行此任务。
  3. 点击新增
  4. 输入服务账号或 OAuth2 客户端的客户端 ID

  5. OAuth 范围中,添加应用可以访问的各个范围(应为适当且较小的范围)。您可以使用任何适用于 Google API 的 OAuth 2.0 范围。例如,如果应用需要具备对 Google Drive API 和 Google Calendar API 的网域级访问权限,请输入:https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar
  6. 点击授权。如果您收到错误消息,则表示客户端 ID 可能未向 Google 注册,或可能存在重复或不受支持的范围。
  7. 选择新的客户端 ID,点击查看详细信息,确保系统列出了所有范围。

    如有任何范围未列出,请点击修改,输入缺少的范围,然后点击授权。您无法修改客户端 ID。

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

查看、修改或删除客户端和范围

建议您最好定期检查应用的范围,并移除不需要或不常用的范围。同时,也请删除不再需要的客户端。举例来说,完成迁移后,请移除迁移工具的访问权限。

  1. 登录您的 Google 管理控制台

    请使用拥有超级用户权限的帐号(不是以 @gmail.com 结尾)登录。

  2. 在管理控制台中,依次点击“菜单”图标 接着点击 安全性接着点击访问权限和数据控件接着点击API 控件接着点击管理全网域授权
    您必须以超级用户身份登录,才能执行此任务。
  3. 点击客户端名称,然后选择一项操作:
  • 查看详细信息:查看完整的客户端名称和范围列表。

  • 修改:添加或移除范围。您无法修改客户端 ID。更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

  • 删除:需要客户端授权的应用会立即停止运行。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单