Вы также можете узнать, как настраивать мобильные приложения в организации.
Когда пользователи входят в сторонние приложения, выбрав элемент "Войти с аккаунтом Google" (система единого входа), вы можете настроить доступ этих приложений к данным в аккаунтах Google сотрудников организации. Управление доступом к сервисам Google Workspace через протокол OAuth 2.0 осуществляется в консоли администратора. Некоторые приложения используют области действия OAuth 2.0 – механизм, который позволяет ограничить доступ к аккаунту пользователя.
Вы также можете изменить сообщение, которое видят пользователи при попытке установить несанкционированное приложение.
Примечание. В Google Workspace for Education для пользователей из начальных и средних школ могут действовать дополнительные ограничения на доступ к некоторым сторонним приложениям.
Подготовка: проверьте сторонние приложения в вашей организации
На странице "Управление доступом приложений" вы можете посмотреть следующие категории сторонних приложений:
- Настроенные приложения – для них задана определенная категория доступа ("Надежные", "Ограниченный набор сервисов", "Определенные данные Google" или "Заблокированные").
- Приложения, получавшие доступ к данным – с их помощью пользователи осуществляли доступ к данным Google.
- Приложения, ожидающие проверки (версии Education) — к ним запрашивали доступ пользователи младше 18 лет.
Информация о сторонних приложениях обычно появляется в течение 24–48 часов после предоставления разрешения.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
На главной странице консоли администратора нажмите БезопасностьУправление API.
- Нажмите Управление правами доступа сторонних приложений, чтобы посмотреть настроенные приложения. Если вам нужно отфильтровать список, нажмите Добавить фильтр и выберите нужный вариант.
В списке приложений указывается название, тип и идентификатор, а также следующие сведения для каждого приложения:
- Статус проверки. Проверенные приложения – это приложения, которые проверены специалистами Google на соответствие определенным правилам. Обратите внимание, что некоторые известные приложения могут быть не проверены. Более подробная информация приведена в статье Что такое проверенное стороннее приложение?
- Доступ — список организационных подразделений, у которых есть настроенные правила доступа для приложения. Наведите указатель мыши на приложение и нажмите Подробнее, чтобы посмотреть назначенную ему категорию доступа ("Надежные", "Ограниченный набор сервисов", "Определенные данные Google" или "Заблокированные"). Выберите Изменить настройки доступа, чтобы изменить для приложения уровень доступа к данным.
Примечание. Если вы примените уровень доступа "А" к определенному подразделению, а затем уровень доступа "В" ко всей организации, для подразделения и далее будет действовать уровень доступа "А".
- В разделе Приложения, получавшие доступ к данным можно нажать Посмотреть список, чтобы увидеть такие приложения.
В разделе Приложения, получавшие доступ к данным также можно посмотреть следующие параметры:
- Пользователи. Число пользователей приложения.
- Сервисы, к которым запрошен доступ. API сервисов Google (области действия OAuth2), которые использует каждое приложение, например Gmail, Календарь или Диск. Сторонние сервисы, к которым был запрошен доступ, перечислены в разделе Другое.
- В списке Настроенные приложения или Приложения, получавшие доступ к данным выберите приложение. Вы можете:
- Проверить, имеет ли приложение доступ к сервисам Google, и изменить эту настройку с помощью метки "Надежные", "Ограниченный набор сервисов", "Определенные данные Google" или "Заблокированные". Если вы меняете эту настройку, для подтверждения нажмите Сохранить.
- Изучить сведения о приложении, такие как полный идентификатор клиента OAuth2 для приложения, количество пользователей, политика конфиденциальности и информация о поддержке.
- Посмотреть API сервисов Google (области действия OAuth), которые использует приложение – на странице сведений о приложении перечислены области действия OAuth, к которым обращается приложение. Чтобы посмотреть все области действия OAuth, разверните строку таблицы или нажмите Развернуть все.
- Чтобы скачать информацию о приложении в виде файла CSV, вверху списка Настроенные приложения или Приложения, получавшие доступ к данным нажмите Скачать список.
- Будут скачаны все данные из таблицы, в том числе из скрытых столбцов.
- Для настроенных приложений CSV-файл содержит дополнительные столбцы: "Статус проверки приложения", "Количество пользователей", "Организационное подразделение", "Сервисы, к которым запрошен доступ" и "Области применения API" для каждого из сервисов. Если к настроенному приложению никто не осуществлял доступ, число пользователей будет равно нулю (0), а два других столбца будут пустыми.
- Для приложений, получавших доступ к данным, CSV-файл содержит такие дополнительные столбцы: "Статус проверки приложения", "Организационное подразделение" и "Области применения API" для каждого из сервисов.
В рамках программы проверки приложений Google все сторонние приложения, которые получают доступ к конфиденциальным данным клиентов, должны пройти проверки безопасности и конфиденциальности. Вы можете заблокировать для пользователей возможность активировать небезопасные и непроверенные приложения. Информация о том, как включить приложение в число надежных, приведена ниже. Подробнее об авторизации непроверенных сторонних приложений…
Как разрешить или запретить доступ к сервисам Google
Вы можете ограничить (или оставить неограниченным) доступ к большинству сервисов Google Workspace (в числе которых и сервисы Google Cloud, например машинное обучение). Ниже мы опишем функции всех инструментов.
- Доступ ограничен – данные могут использовать только приложения с категорией доступа "Надежные".
- Без ограничений – доступ к настроенным администратором областям действий есть только у приложений с доступом "Надежные", "Ограниченный набор сервисов" или "Определенные данные Google", независимо от ограничений на доступ к данным в области действия.
Например, если вы ограничите доступ для Календаря, его данные смогут использовать приложения с категорией доступа "Надежные", но не приложения с категорией "Ограниченный набор сервисов".
Примечание. Для Gmail, Google Диска и Google Chat можно отдельно ограничить доступ к областям действия с высоким уровнем риска (например, к отправке почты или удалению файлов на Диске).
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
На главной странице консоли администратора нажмите БезопасностьУправление API.
- Нажмите Управление сервисами Google.
- В списке установите флажки для требуемых сервисов. Чтобы установить все флажки, установите флажок Сервис.
- Чтобы отфильтровать список, нажмите Добавить фильтр и выберите условие:
- Сервисы Google – выберите нужные сервисы и нажмите Применить.
- Доступ к сервисам Google – выберите Неограниченный доступ или Доступ ограничен и нажмите Применить.
- Разрешенные приложения – укажите диапазон для числа разрешенных приложений и нажмите Применить.
- Пользователи – укажите диапазон для числа пользователей и нажмите Применить.
- В верхней части страницы нажмите Изменить настройки доступа и выберите Неограниченный доступ или Доступ ограничен.
Если вы измените настройку на "Доступ ограничен", все ранее установленные приложения, которые не включены в список надежных, перестанут работать, а их токены будут отозваны. Если пользователь попытается установить недоверенное приложение, которое обращается к сервису с ограниченным доступом, или войти в него, он получит уведомление о том, что приложение заблокировано. Если ограничить доступ к Диску, также будет ограничен доступ к Google Forms API.
Примечание. Список приложений, получавших доступ к данным, обновляется через 48 часов после предоставления или отзыва токена. - Если вы выбрали вариант "Доступ ограничен", то, чтобы разрешить доступ к областям действия OAuth, не относящимся к областям с высоким риском (например, для доступа к хранящимся на Диске файлам, выбранным пользователями), установите флажок Разрешить пользователям предоставлять приложениям, которые не помечены как надежные, доступ ко всем областям действия OAuth, за исключением областей с высоким риском. Этот флажок показывается только для некоторых приложений, таких как Gmail и Диск.
- Нажмите Изменить и при необходимости подтвердите.
- Чтобы проверить, у каких приложений есть доступ к сервису:
- В разделе Приложения, получавшие доступ к данным нажмите Посмотреть список.
- Нажмите Добавить фильтрСервисы, к которым запрошен доступ.
- Выберите нужные сервисы и нажмите Применить.
Как ограничить доступ к областям действия OAuth с высоким риском
Развернуть раздел | Свернуть все и перейти к началу
Gmail, Google Диск, Документы и Chat также могут ограничивать доступ к предварительно заданному списку областей действия OAuth с высоким уровнем риска.
- https://mail.google.com/
- https://www.googleapis.com/auth/gmail.compose
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.metadata
- https://www.googleapis.com/auth/gmail.modify
- https://www.googleapis.com/auth/gmail.readonly
- https://www.googleapis.com/auth/gmail.send
- https://www.googleapis.com/auth/gmail.settings.basic
- https://www.googleapis.com/auth/gmail.settings.sharing
Подробнее об областях действия Gmail API…
- https://www.googleapis.com/auth/documents
- https://www.googleapis.com/auth/documents.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.activity
- https://www.googleapis.com/auth/drive.activity.readonly
- https://www.googleapis.com/auth/drive.admin
- https://www.googleapis.com/auth/drive.admin.labels
- https://www.googleapis.com/auth/drive.admin.labels.readonly
- https://www.googleapis.com/auth/drive.admin.readonly
- https://www.googleapis.com/auth/drive.admin.shareddrive
- https://www.googleapis.com/auth/drive.admin.shareddrive.readonly
- https://www.googleapis.com/auth/drive.apps
- https://www.googleapis.com/auth/drive.apps.readonly
- https://www.googleapis.com/auth/drive.categories.readonly
- https://www.googleapis.com/auth/drive.labels.readonly
- https://www.googleapis.com/auth/drive.meet.readonly
- https://www.googleapis.com/auth/drive.metadata
- https://www.googleapis.com/auth/drive.metadata.readonly
- https://www.googleapis.com/auth/drive.photos.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/drive.scripts
- https://www.googleapis.com/auth/drive.teams
- https://www.googleapis.com/auth/forms.body
- https://www.googleapis.com/auth/forms.body.readonly
- https://www.googleapis.com/auth/forms.currentonly
- https://www.googleapis.com/auth/forms.responses.readonly
- https://www.googleapis.com/auth/presentations
- https://www.googleapis.com/auth/presentations.readonly
- https://www.googleapis.com/auth/script.addons.curation
- https://www.googleapis.com/auth/script.projects
- https://www.googleapis.com/auth/sites
- https://www.googleapis.com/auth/sites.readonly
- https://www.googleapis.com/auth/spreadsheets
- https://www.googleapis.com/auth/spreadsheets.readonly
Подробная информация об областях действия приведена в следующих статьях:
- https://www.googleapis.com/auth/chat.delete
- https://www.googleapis.com/auth/chat.import
- https://www.googleapis.com/auth/chat.messages
- https://www.googleapis.com/auth/chat.messages.readonly
Подробнее об областях действия Chat…
Как настраивать уровень доступа сторонних приложений к сервисам Google и добавлять приложения
Вы можете управлять доступом к определенным приложениям. Для этого можно заблокировать доступ к приложению или назначить ему метку "Надежные", "Ограниченный набор сервисов", "Определенные данные Google" или "Заблокированные".
- Надежные. Приложение получает доступ ко всем сервисам Google Workspace (областям действия OAuth), в том числе к тем, доступ к которым ограничен. Вы можете добавлять в белый список приложения, настроенные с использованием идентификаторов клиентов OAuth, чтобы сохранить доступ через API к сервисам Google Workspace даже в том случае, если для сервисов действуют правила контекстно-зависимого доступа, которые применяются к доступу через API.
- Определенные данные Google. Приложение может запросить доступ к данным только в областях действия, заданных вами при его настройке.
- Ограниченный набор сервисов. Приложение может работать только с сервисами с неограниченным доступом. Вы можете изменить параметр доступа к данным из списка приложений или на странице сведений о приложении.
Развернуть раздел | Свернуть все и перейти к началу
-
В разделе Управление API Управление доступом приложений нажмите Управление правами доступа сторонних приложений.
- В списке "Приложения, получавшие доступ к данным" или "Настроенные приложения" наведите указатель на приложение и нажмите Изменить настройки доступа. Вы также можете установить флажки рядом с несколькими приложениями и в верхней части списка нажать Изменить настройки доступа.
- Укажите, для каких организационных подразделений вы хотите настроить доступ.
- Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня.
- Чтобы применить настройки к определенным подразделениям, нажмите Выбор подразделенийВключить организации и выберите нужные подразделения.
- Нажмите Далее.
- Выберите нужный вариант:
- Надежные. Приложение получает доступ ко всем сервисам Google (как с ограниченным, так и с неограниченным доступом). Приложения, принадлежащие Google, например Chrome, автоматически считаются надежными, и им нельзя присвоить эту категорию.
Чтобы сохранить доступ через API к сервисам Google Workspace даже в том случае, если для сервисов действуют правила контекстно-зависимого доступа, которые применяются к доступу через API, выберите Белый список приложений для обхода запрета на доступ через API при контекстно-зависимом доступе. Этот параметр можно выбрать только для приложений для Android и iOS, а также для веб-приложений, добавленных с использованием идентификаторов клиентов OAuth. При его выборе запреты на доступ через API для приложения не обходятся автоматически. Вам также нужно настроить такой обход при назначении уровня контекстно-зависимого доступа. Этот белый список применяется только для организационных подразделений, указанных на шаге 3. - Ограниченный набор сервисов. Доступ разрешен только к сервисам Google с неограниченным доступом.
- Определенные данные Google. Приложение может запросить доступ к данным только в областях действия, заданных вами при его настройке.
Примечание. Вы должны включить требуемые приложением области действия для входа с аккаунтом Google, чтобы разрешить пользователям входить, используя аккаунт Google. - Заблокированные. Доступ ко всем сервисам Google заблокирован.
Если вы внесете приложение в белый список, но одновременно заблокируете его с помощью элементов управления API, приложение будет заблокировано, так как блокировка на странице управления API имеет приоритет над белым списком.
Совет. Чтобы отменить настройку приложения, используйте возможность загрузки CSV-файла, описанную в статье Как добавить и настроить большое количество сторонних приложений одновременно.
- Надежные. Приложение получает доступ ко всем сервисам Google (как с ограниченным, так и с неограниченным доступом). Приложения, принадлежащие Google, например Chrome, автоматически считаются надежными, и им нельзя присвоить эту категорию.
- Нажмите Далее.
- Проверьте область действия и параметр доступа, а затем нажмите Изменить настройки доступа.
Посмотреть видео
Change access from the app information page
Как изменить настройки доступа приложения
- Нажмите на приложение в списке, а затем выберите Доступ к данным в аккаунте Google.
- Выберите группу или организационное подразделение, для которого хотите задать настройки доступа к данным. По умолчанию выбрано организационное подразделение верхнего уровня, то есть изменения применяются для всей организации.
- Выберите уровень доступа к данным.
- Нажмите Сохранить.
- Вы можете применять разные настройки к разным организационным подразделениям. Примеры:
- Чтобы запретить доступ приложения к данным всех пользователей, выберите организационное подразделение верхнего уровня и нажмите Заблокировано.
- Чтобы заблокировать доступ приложения к данным только некоторых пользователей, для организационного подразделения верхнего уровня выберите Надежные, а для дочернего организационного подразделения с этими пользователями – Заблокированные. После каждого изменения настроек нажимайте Сохранить.
- В разделе Управление доступом приложений нажмите Управление правами доступа сторонних приложений.
- В разделе Настроенные приложения нажмите Добавить приложение.
- Выберите Название приложения OAuth или идентификатор клиента (чтобы позже разрешить приложениям из белого списка доступ к API), Android или iOS.
- Введите название приложения или идентификатор клиента и нажмите Найти.
- Наведите указатель на приложение и нажмите Выбрать.
- Установите флажки для нужных идентификаторов клиента и нажмите Выбрать.
- Укажите, для кого вы хотите настроить доступ:
- По умолчанию выбрано организационное подразделение верхнего уровня. Оставьте этот параметр включенным, чтобы настроить доступ для всех пользователей в организации.
- Чтобы применить настройки к определенным подразделениям, нажмите Выбор подразделений, а потом нажмите на значок "+", чтобы посмотреть организационные подразделения. Установите флажки рядом с нужными организационными подразделениями, а затем нажмите Выбрать.
- Нажмите Продолжить.
- Выберите один из вариантов:
- Надежные. Приложение получает доступ ко всем сервисам Google (как с ограниченным, так и с неограниченным доступом).
Чтобы сохранить доступ через API к сервисам Google Workspace даже в том случае, если для сервисов действуют правила контекстно-зависимого доступа, которые применяются к доступу через API, выберите Белый список приложений для обхода запрета на доступ через API при контекстно-зависимом доступе. Этот параметр можно выбрать только для приложений для Android и iOS, а также для веб-приложений, добавленных с использованием идентификаторов клиентов OAuth. При его выборе запреты на доступ через API для приложения не обходятся автоматически. Вам также нужно настроить такой обход при назначении уровня контекстно-зависимого доступа. Этот белый список применяется только для организационных подразделений, указанных на шаге 7. - Ограниченный набор сервисов. Доступ разрешен только к сервисам Google с неограниченным доступом.
- Определенные данные Google. Приложение может запросить доступ к данным только в областях действия, заданных вами при его настройке.
Примечание. Вы должны включить требуемые приложением области действия для входа с аккаунтом Google, чтобы разрешить пользователям входить, используя аккаунт Google. - Заблокированные. Доступ ко всем сервисам Google заблокирован.
Если вы внесете приложение в белый список, но одновременно заблокируете его с помощью элементов управления API, приложение будет заблокировано, так как блокировка на странице управления API имеет приоритет над белым списком.
- Надежные. Приложение получает доступ ко всем сервисам Google (как с ограниченным, так и с неограниченным доступом).
- Проверьте настройки для приложения, а затем нажмите Готово.
Пользователи должны дать согласие на добавление веб-приложений, но вы можете пропустить этот этап в Google Workspace Marketplace для утвержденных приложений, выполнив установку на уровне домена.
Как выбрать параметры для ненастроенных приложений
Сторонние приложения, для которых вы не задали категорию доступа ("Надежные", "Ограниченный набор сервисов", "Определенные данные Google" или "Заблокированные"), как описано в разделе Как настраивать уровень доступа сторонних приложений к сервисам Google и добавлять приложения, считаются ненастроенными. Вы можете указать, что должно произойти, если пользователь попытается войти в ненастроенное приложение, используя свой аккаунт Google.
Посмотреть видео
Find the settings for unconfigured apps
Как найти настройки
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
На главной странице консоли администратора нажмите БезопасностьУправление API.
- Выберите Настройки.
- Чтобы применить параметр к отделу или команде, выберите сбоку организационное подразделение. Инструкции
- Выберите нужные значения настроек. Подробнее о параметрах ненастроенных приложений…
- Нажмите Сохранить.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Параметры ненастроенных приложений
Развернуть раздел | Свернуть все и перейти к началу
Это специальное сообщение будет показано пользователю, если он не сможет получить доступ к заблокированному приложению. Чтобы создать такое сообщение, выберите Включить и введите текст.
Если специальное сообщение отключено или его не удается показать, пользователи видят сообщение по умолчанию.
С помощью этого параметра вы можете указать, что должно произойти, если пользователь попытается войти в ненастроенное приложение, используя свой аккаунт Google. Независимо от значения этого параметра пользователи смогут получить доступ к приложениям из категорий "Надежные", "Ограниченный набор сервисов" и "Определенные данные Google".
Выберите нужный вариант:
- Разрешить пользователям получать доступ к любым сторонним приложениям (по умолчанию). Пользователи могут войти с аккаунтом Google в любое стороннее приложение. Приложение, к которому пользователь получил доступ, может запросить неограниченный доступ к данным в аккаунте Google этого пользователя.
- Разрешить пользователям доступ к сторонним приложениям, которые запрашивают только основную информацию для входа с аккаунтом Google. Пользователи могут войти с аккаунтом Google в сторонние приложения, которые запрашивают только основную информацию – имя, адрес электронной почты и фото профиля.
- Запретить пользователям получать доступ к сторонним приложениям. Пользователи не смогут войти с аккаунтом Google ни в одно из сторонних приложений и сайтов, пока вы не настроите доступ для этих приложений и сайтов. Подробнее о том, как настраивать уровень доступа сторонних приложений к сервисам Google и добавлять приложения…
Версии Google Workspace for Education. Вы можете задать разные параметры для пользователей старше и младше 18 лет. Если вы используете этот параметр, чтобы блокировать сторонние приложения, вы можете разрешить пользователям младше 18 лет запрашивать доступ к приложениям, которые заблокированы с помощью параметра Пользователь запрашивает доступ к ненастроенным приложениям.
Этот параметр позволяет внутренним приложениям вашей организации использовать Google Workspace API с ограниченным доступом.
Чтобы разрешить доступ через API всем внутренним приложениям, установите флажок Доверять внутренним приложениям.
Эта возможность доступна только в версии Google Workspace for Education.
Это позволяет пользователям младше 18 лет запрашивать доступ к приложениям, заблокированным с помощью параметра Ненастроенные сторонние приложения.
Когда пользователь запрашивает доступ к приложению, администраторы получают уведомление и могут изменить настройки, чтобы разрешить доступ.
Чтобы разрешить пользователям запрашивать доступ, установите флажок Разрешить пользователям запрашивать доступ к ненастроенным сторонним приложениям.
Статьи по теме
- Область действия OAuth 2.0 для API Google
- Как подготовить приложение к проверке OAuth (блог Google Developers)