全網域委派功能可讓您授權用戶端應用程式存取 Workspace 使用者資料,且不必經過使用者同意。全網域委派功能有兩種使用方式:
- 授權服務帳戶代表使用者存取資料。服務帳戶可能會使用以下類型的應用程式:
-
遷移和同步處理工具,可將使用者內容從其他服務複製到 Google Workspace。
-
開發人員替貴機構建立的內部應用程式 (例如自動化應用程式)。舉例來說,您可以將存取權委派給使用 Calendar API 的應用程式,以便將活動新增至使用者的日曆。
-
- 允許使用者在沒看到同意畫面的情況下使用 OAuth 用戶端應用程式。使用者可以直接存取應用程式,而不會收到要求同意的提示,且您可以指定要讓應用程式存取哪些使用者資料。
您也可以管理全網域安裝作業,以及查看 Google Workspace Marketplace 中的應用程式的 API 範圍。瞭解 Marketplace 中的應用程式的資料存取權和安裝程序。
事前準備
- 請確認您具備 Google Workspace 帳戶的超級管理員權限。
- 詳閱「全網域委派功能的最佳做法」和「使用服務帳戶的最佳做法」。
- 請確認應用程式或服務帳戶需要的 API 範圍清單。確認應用程式或服務帳戶擁有適當的小範圍存取權。
- (如果委派 OAuth 應用程式) 向應用程式開發人員要求 OAuth 用戶端 ID。
- (如果委派服務帳戶) 取得服務帳戶的用戶端 ID。如果您是服務帳戶的擁有者,可以按照下列步驟找出 ID:
- 以超級管理員的身分登入 Google Cloud。
- 依序點選「IAM 與管理」「服務帳戶」 <服務帳戶名稱>。
- 展開「進階設定」,然後複製用戶端 ID。
- 全網域委派功能可讓應用程式存取「貴機構所有使用者」擁有的資料。建議您為服務帳戶安排定期檢查,並刪除不再使用的帳戶。
為用戶端設定全網域委派功能
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「存取權與資料控管」「API 控制項」「管理全網域委派設定」。
您必須以超級管理員的身分登入才能執行這項工作。 -
按一下「新增」。
-
輸入服務帳戶或 OAuth2 用戶端的用戶端 ID。
- 在「OAuth 範圍」 中新增應用程式可以存取的每個範圍 (應為適當的小範圍)。您可以使用所有 Google API 適用的 OAuth 2.0 範圍。舉例來說,如果應用程式需要 Google Drive API 和 Google Calendar API 的全網域存取權,請輸入 https://www.googleapis.com/auth/drive 和 https://www.googleapis.com/auth/calendar。
- 按一下 [授權]。如果出現錯誤訊息,表示用戶端 ID 可能尚未向 Google 註冊,或是您輸入了重複或不支援的範圍。
注意:如果貴機構已啟用多方核准功能,您必須取得另一位超級管理員的核准,才能授權將用戶端應用程式委派給整個網域。
-
選取新的用戶端 ID、按一下 [查看詳細資料],然後確認系統已列出每一個範圍。
如有未列出的範圍,請點選 [編輯] 並輸入該範圍,然後按一下 [授權]。請注意,您無法編輯用戶端 ID。
變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
查看、編輯或刪除用戶端和範圍
Google 建議的最佳做法是定期檢查應用程式的存取範圍,並移除不必要或不常使用的範圍,以及不再需要的用戶端。舉例來說,完成遷移作業後,請移除遷移工具的存取權。
-
-
在管理控制台中,依序點選「選單」圖示 「安全性」「存取權與資料控管」「API 控制項」「管理全網域委派設定」。
您必須以超級管理員的身分登入才能執行這項工作。 -
點選用戶端名稱並選擇下列其中一種做法: