管理員可以使用「全網域授權委派」功能,授權第三方與內部應用程式存取機構的使用者資料。
應用程式開發人員和管理員可以使用 OAuth 2.0 建立服務帳戶。如此一來,當您授權服務帳戶存取使用者資料後,相關應用程式就不必逐一取得使用者的同意,可以直接存取他們的資料。一般而言,管理員會將全網域委派權限授予以下應用程式:
-
Google Workspace 的遷移和同步處理工具
-
開發人員替貴機構建立的內部應用程式 (例如自動化應用程式)。舉例來說,您可以將存取權委派給使用 Calendar API 的應用程式,以便將活動新增至使用者的日曆。
-
三足式 OAuth 應用程式 (通常必須取得個別使用者的同意)。使用者啟用應用程式時,系統無須取得他們同意,且您可以指定要讓應用程式存取哪些使用者資料。
如要在 Google 管理控制台委派存取權,請先新增服務帳戶的用戶端 ID 或應用程式的 OAuth2 用戶端 ID,然後再授予支援的 Google API 存取權 (範圍)。
全網域委派簡介
全網域委派功能十分強大,可讓應用程式存取整個機構的 Google Workspace 環境中的使用者資料。舉例來說,您可以將全網域委派權限授予遷移應用程式,讓該應用程式將其他服務的使用者內容複製到 Google Workspace。由於全網域委派牽涉範圍廣大,因此只有超級管理員能管控這項功能,而且他們必須清楚指明要讓應用程式存取哪些 API 範圍。
您也可以管理全網域安裝作業,以及查看 Google Workspace Marketplace 中的應用程式的 API 範圍。瞭解 Marketplace 中的應用程式的資料存取權和安裝程序。
-
-
在管理控制台首頁中,依序點選
圖示
[安全性]
-
在「全網域委派」下方,按一下 [管理全網域委派設定]。
-
在「管理全網域委派設定」頁面中,按一下 [新增]。
-
輸入服務帳戶的用戶端 ID 或應用程式的 OAuth2 用戶端 ID (通常必須向開發人員索取,但如果您是服務帳戶的擁有者,則可自行查詢)。
- 在「OAuth 範圍」 中新增應用程式可以存取的每個範圍 (應為適當的小範圍)。您可以使用所有 Google API 適用的 OAuth 2.0 範圍。舉例來說,如果應用程式需要 Google Drive API 和 Google Calendar API 的全網域存取權,請輸入 https://www.googleapis.com/auth/drive 和 https://www.googleapis.com/auth/calendar。
- 按一下 [授權]。如果出現錯誤訊息,表示用戶端 ID 可能尚未向 Google 註冊,或是您輸入了重複或不支援的範圍。
-
為了確保畫面上顯示所有範圍,請選取新的用戶端 ID 並點選 [查看詳細資訊]。
如果系統未顯示部分範圍,請按一下 [編輯],輸入缺少的範圍,然後按一下 [授權]。請注意,您無法編輯用戶端 ID。
您應可於 1 小時內開始使用該應用程式,但也可能需要等待 24 小時才能使用。
Google 建議的最佳做法是定期檢查應用程式的存取範圍,並移除不必要或不常使用的範圍,以及不再需要的用戶端。舉例來說,完成遷移作業後,請移除遷移工具的存取權。
-
-
在管理控制台首頁中,依序點選
-
在「全網域委派」下方,按一下 [管理全網域委派設定]。
-
點選用戶端名稱並選擇下列其中一種做法:
查看詳細資料:查看用戶端完整名稱和範圍清單。
編輯:新增或移除範圍 (您無法編輯用戶端 ID)。變更通常會在 1 小時內生效,但最長可能需要等待 24 小時。
移除:需要用戶端授權的應用程式將立即停止運作。
