Добавление связанных приложений в белый список

Управление доступом OAuth для подключенных приложений

Чтобы ограничить доступ внешних пользователей к конфиденциальным данным организации, хранящимся на Google Диске и в Gmail, через сторонние приложения и дополнения с поддержкой OAuth, администратор может отозвать токены доступа OAuth.

Кроме того, можно отключить несколько областей применения API в таких сервисах G Suite, как Gmail, Диск, Календарь и сервисы Google Cloud Platform, в частности машинное обучение. Вы можете занести в белый список выбранные сторонние приложения, которым разрешен доступ к этим областям применения.

Если отключить область применения API или разрешить стороннему приложению доступ к сервису G Suite, например к Календарю, это затронет все соответствующие области применения, в том числе области применения OAuth.Некоторые приложения, такие как Gmail, позволяют полнее контролировать доступ к стандартным областям применения, связанным с высоким риском.

 

Изменения в настройках Admin API с 4 ноября 2019 г.

Прекращение использования настройки "Справочник по API"

С 4 ноября 2019 г. настройка "Справочник по API" больше не будет доступна. В целях повышения безопасности доступ к G Suite Admin API через API будет контролироваться только с помощью разрешения Admin API в консоли администратора.

Что изменится?

Вам потребуется выполнить определенные действия только в том случае, если у вас заданы следующие настройки:

Параметр "Справочник по API" отключен
Местоположение: Безопасность > Справочник по API
Доступ к Admin API включен
Местоположение: Безопасность > Разрешения Admin API
API Reference setting turned off Admin API setting enabled

 

С 4 ноября 2019 г. будут действовать следующие условия: если параметр Справочник по API отключен, то доступ к Admin API будет также автоматически отключен.В результате пользователи не смогут входить в некоторые приложения, пока вы не предоставите им доступ к этим приложениям через API. Пользователи получат оповещение: "Доступ к данным вашего аккаунта ограничен внутренними правилами… " (или другое заданное вами сообщение).

Действия, которые необходимо выполнить до 4 ноября 2019 г.

Выполните описанные в следующем разделе действия, чтобы:

  • проверить настройки Доступ через API > Admin API и приложения, которым необходим доступ к G Suite Admin API;
  • добавить приложения как Надежные для предоставления им доступа к Admin API и назначения пользователям токенов OAuth.

Как внести приложение в белый список

Для выполнения этого действия войдите в аккаунт суперадминистратора.

В Drive Enterprise настройки доступа через API не применяются к Gmail и Календарю.

Чтобы внести приложения в белый список, сначала укажите, к каким областям применения G Suite API могут обращаться сторонние приложения. Далее создайте белые списки, определяющие, у каких приложений есть доступ к заблокированным областям. Для этого выполните указанные ниже действия.

Шаг 1. Проверьте доступ сторонних приложений к областям применения API
  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность.

    Если на главной странице нет значка "Безопасность", нажмите Добавить элементы управления в нижней части экрана.

  3. Нажмите Разрешения API.
  4. Проверьте доступ через API к следующим основным сервисам:
    • G Suite:
      • Gmail
      • Диск
      • Календарь
      • Контакты
      • Консоль администратора
      • Сейф
      • Среда выполнения скрипта приложений Google Apps: контролирует действия, которые могут выполнять проекты скрипта приложений Google Apps. Этот сервис включает приложения, дополнения и скрипты Конструктора приложений, которые создаются как в домене, так и за его пределами.
      • Apps Script API: указывает, могут ли клиенты использовать Apps Script API для управления проектами.
    • Google Cloud Platform:
      • Cloud Platform: включает все сервисы Google Cloud Platform, за исключением машинного обучения и Cloud Billing
      • Машинное обучение: включает Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API и Cloud Vision API
      • Cloud Billing
  5. Нажмите на ссылку приложения под каждой областью применения API и проверьте, каким приложениям предоставлен доступ к основным сервисам.
  6. Приложения в списке можно фильтровать по разрешениям API, названию или количеству пользователей.
  7. Чтобы добавить приложение в список доверенных, справа нажмите на значок "Ещё" Ещё и выберите Надежное.
  8. Прежде чем перейти к следующему шагу по созданию белого списка, проверьте перечень приложений.
Шаг 2. Добавьте приложение в белый список доверенных приложений
  1. На главной странице консоли администратора выберите Безопасность затем Разрешения API.
  2. Внизу списка приложений нажмите на ссылку Доверенные приложения.
  3. Нажмите "Добавить приложение в белый список" Добавить.
    Откроется окно Добавление приложения в список доверенных.
  4. Выберите один из следующих вариантов из списка Выберите тип приложения:
    • Android
    • iOS
    • Веб-приложение (потребуется указать идентификатор клиента OAuth2)
  5. Введите название приложения Android или iOS® и нажмите Поиск, чтобы увидеть список доступных приложений.
  6. Прокрутите страницу вниз, чтобы увидеть все приложения.
  7. После того как откроется полный список, найдите нужное приложение по названию или части названия, воспользовавшись сочетанием клавиш Ctrl + F (Windows) или ⌘ + F (macOS).
  8. Установите флажок рядом с приложением, которое нужно добавить, и нажмите Добавить.
  9. Если нужно предоставить внутренним приложениям доступ к G Suite API:
    1. Вернитесь на страницу "Безопасность".
    2. Внизу страницы рядом с разделом Внутренние настройки приложений установите флажок Доверять приложениям, принадлежащим домену и нажмите Сохранить.

Примечание. Если снять флажок Доверять приложениям, принадлежащим домену, у внутренних приложений не будет доступа к заблокированным G Suite API. К ним относятся:

  • любые скрипты приложений Google Apps, созданные пользователями домена;
  • приложения, связанные с организацией в консоли Google Cloud Platform Console, которая принадлежит домену.
Шаг 3. Заблокируйте определенные области применения API
  1. На главной странице консоли администратора выберите Безопасность затем Разрешения API.
  2. Нажмите на ссылку Приложения, чтобы проверить, к каким приложениям будут применены изменения.
    После запрета доступа приложение удаляется из списка в течение суток.
  3. Нажмите Отключить службу, чтобы заблокировать доступ через API к любым основным сервисам из следующего списка:
    • G Suite:
      • Gmail
      • Диск
      • Календарь
      • Контакты
      • Консоль администратора
      • Сейф
    • Google Cloud Platform:
      • Cloud Platform: включает все сервисы Google Cloud Platform, за исключением машинного обучения и Cloud Billing
      • Машинное обучение: включает Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API и Cloud Vision API
      • Cloud Billing
  4. При отключении доступа через API к Gmail выберите нужный вариант:
    • Все варианты доступа: заблокировать все сторонние приложения, кроме тех, что добавлены в белый список.
    • Доступ, связанный с высоким риском: заблокировать сторонние приложения с областями действия OAuth, связанными с высоким риском.
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing

        Подробнее об областях действия Gmail

        .
  5. При отключении доступа через API к Диску выберите нужный вариант:
    • Все варианты доступа: заблокировать все сторонние приложения, кроме тех, что добавлены в белый список.
    • Доступ, связанный с высоким риском: заблокировать сторонние приложения с областями действия OAuth, связанными с высоким риском.
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
      • https://www.googleapis.com/auth/documents

        Подробнее об областях действия Диска

        .
  6. Нажмите Сохранить.

Если запретить доступ через API:

  • после блокировки областей применения уже установленные приложения перестанут работать, а токены будут отозваны;
  • если пользователь попытается установить приложение, область применения которого находится в черном списке, отображается сообщение об ошибке, указанное в разделе Показывать сообщение, когда пользователи пытаются получить доступ к приложениям с отключенными разрешениями (под списком областей применения API).Вы можете изменить сообщение по умолчанию. Обратите внимание, что его длина не может превышать 300 символов.
Шаг 4. Удалите приложения из белого списка
  1. На главной странице консоли администратора выберите Безопасность затем Разрешения API.
  2. Внизу списка приложений нажмите на ссылку Доверенные приложения.
  3. Нажмите на значок "Ещё" Action menu рядом с приложением, которое нужно удалить из белого списка, и выберите Удалить.
Эта информация оказалась полезной?
Как можно улучшить эту статью?