Controlar qué aplicaciones internas y de terceros acceden a los datos de G Suite

Puedes controlar qué aplicaciones de terceros y pertenecientes al dominio pueden acceder a datos sensibles de G Suite. El acceso de las aplicaciones a los servicios de G Suite se controla mediante OAuth 2.0. Para facilitar su acceso, las aplicaciones más modernas y seguras utilizan ámbitos de OAuth 2.0, es decir, conjuntos de procedimientos denominados "API externas". Estos ámbitos permiten acceder a datos limitados de los usuarios de la mayoría de los servicios de G Suite, como Gmail y Google Drive, Calendar y Contactos. Al usar el control del acceso de aplicaciones, puedes: 

  • Restringir el acceso a la mayoría de los servicios de G Suite o dejarlos sin restricciones.
  • Dar permiso a aplicaciones específicas para que puedan acceder a servicios restringidos de G Suite.
  • Dar permiso a todas las aplicaciones que pertenezcan a un dominio.

En los pasos que se indican a continuación, se muestra cómo hacerlo y cómo encontrar información sobre las aplicaciones de terceros que ya se están utilizando. Puedes personalizar el mensaje de error que ven los usuarios cuando intentan instalar una aplicación no autorizada. 

Cambios en la configuración de las API de administración a partir del 4 de noviembre del 2019

Desactivación del ajuste "Referencia de la API" 

A partir del 4 de noviembre del 2019, el ajuste "Referencia de la API" dejará de estar disponible. Para mejorar la seguridad, solo mediante el permiso Administrador de G Suite de la consola de administración se podrá controlar el acceso a las API de administración de G Suite.

Cambios

Tendrás que hacer cambios en tu cuenta solo si la tienes configurada de este modo: 

El ajuste Referencia de la API está inhabilitado
Ubicación: Seguridad > Referencia de la API
El acceso de administrador de G Suite está habilitado
Ubicación: Seguridad > Control de acceso de aplicaciones
API Reference setting turned off Admin API setting enabled

 

A partir del 4 de noviembre del 2019: si has inhabilitado Referencia de la API, cambiaremos automáticamente el valor de Administrador de G Suite a Restringido. Por lo tanto, tus usuarios no podrán iniciar sesión en determinadas aplicaciones hasta que permitas que estas accedan a las API de administración de G Suite. El usuario recibirá una alerta que indica que el acceso a los datos de la cuenta está restringido por ciertas políticas (o el mensaje personalizado que hayas escrito). 

Si quieres volver a dar acceso a un usuario,  sigue los pasos de la siguiente sección para:

  • Revisar la configuración de las API de administración de G Suite y las aplicaciones que solicitan acceso a dichas API. 
  • Añade aplicaciones de confianza que puedan acceder a las API de administración de G Suite y conceder tokens de OAuth a los usuarios.

Utilizar el control de acceso de aplicaciones

Abrir todo   |   Cerrar todo

Revisar las aplicaciones de terceros del entorno

Antes de implementar controles, revisa la lista de aplicaciones que tienen el permiso de tus usuarios para acceder a los datos de G Suite.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En la página principal del control de acceso de aplicaciones, selecciona Gestionar acceso de aplicaciones de terceros.
  4. Para ver los detalles de una aplicación, búscala en la tabla de aplicaciones. 
    Cada entrada de la aplicación muestra los siguientes datos: 
    • Nombre de la aplicación
    • Tipo de aplicación
    • Número de usuarios que acceden a la aplicación
  5. Haz clic en una entrada. 
    En la página de detalles de la aplicación se indican:
    • Los servicios de G Suite que utiliza la aplicación
    • El ID de cliente OAuth2 de la aplicación
    • La información del editor, incluida la política de privacidad y los enlaces de asistencia
    • El estado de verificación de las aplicaciones que accedan a determinados ámbitos restringidos de la API (si la aplicación en cuestión está verificada)

Mediante la verificación, Google se asegura de que las aplicaciones de terceros que van a acceder a datos sensibles de los clientes pasan controles de seguridad y privacidad. Por este motivo, es posible que se bloquee la activación de aplicaciones no verificadas en las que no confíes. Consulta a continuación los detalles sobre cómo establecer que determinadas aplicaciones son de confianza. Para obtener más información sobre la verificación de aplicaciones, consulta el artículo Autorizar aplicaciones de terceros no verificadas.

Restringir el acceso a los servicios de Google

Puedes restringir (o dejar sin restricciones) el acceso a la mayoría de los servicios de G Suite, incluidos los servicios de Google Cloud Platform como Aprendizaje automático. En Gmail y Google Drive, puedes restringir específicamente el acceso a ámbitos de alto riesgo (por ejemplo, el envío de Gmail o la eliminación de archivos en Drive). Aunque a los usuarios se les pide que den su consentimiento a aplicaciones, no podrán añadir las que utilicen ámbitos con restricciones si no has indicado que confías en ellas. 

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En la página principal del control de acceso de aplicaciones, selecciona Gestionar servicios de Google.
    En los servicios de Google que puedes controlar se incluyen:
    • G Suite:
      • Consola de administración de G Suite
      • Gmail
      • Drive
      • Calendar
      • Contactos
      • Vault
      • Apps Script Runtime: controla qué pueden hacer los proyectos de Apps Script. Incluye complementos, secuencias de comandos y aplicaciones de App Maker, tanto si son del dominio como si no.
      • API de Apps Script: controla si los clientes pueden gestionar proyectos mediante la API de Apps Script.

    • Google Cloud Platform:
      • Cloud Platform: incluye todos los servicios de Google Cloud Platform, excepto Aprendizaje automático y Facturación de Google Cloud.
      • Aprendizaje automático: incluye Cloud Video Intelligence, API Cloud Speech, API Natural Language de Cloud, API Cloud Translation y API Cloud Vision.
      • Facturación de Google Cloud
  4. Revisa el acceso a cada servicio:
    • Sin restricciones: todas las aplicaciones de terceros pueden acceder a este servicio con el consentimiento del usuario.
    • Restringido: solo las aplicaciones de confianza pueden acceder a este servicio con el consentimiento del usuario.
    • Restringido - Acceso de alto riesgo: todas las aplicaciones pueden acceder a ámbitos de menor riesgo de este servicio, pero solo las aplicaciones de confianza pueden acceder a los ámbitos de alto riesgo. El consentimiento del usuario es obligatorio en todos los casos.
      • En Gmail, los ámbitos de OAuth de alto riesgo son:
        • https://mail.google.com/
        • https://www.googleapis.com/auth/gmail.compose
        • https://www.googleapis.com/auth/gmail.insert
        • https://www.googleapis.com/auth/gmail.metadata
        • https://www.googleapis.com/auth/gmail.modify
        • https://www.googleapis.com/auth/gmail.readonly
        • https://www.googleapis.com/auth/gmail.send
        • https://www.googleapis.com/auth/gmail.settings.basic
        • https://www.googleapis.com/auth/gmail.settings.sharing

          Para obtener más información sobre los ámbitos de Gmail, consulta cómo elegir ámbitos de Auth.

      • En Drive, los ámbitos de OAuth de alto riesgo son:
        • https://www.googleapis.com/auth/drive
        • https://www.googleapis.com/auth/drive.apps.readonly
        • https://www.googleapis.com/auth/drive.metadata
        • https://www.googleapis.com/auth/drive.metadata.readonly
        • https://www.googleapis.com/auth/drive.readonly
        • https://www.googleapis.com/auth/drive.scripts
        • https://www.googleapis.com/auth/documents
          Para obtener más información sobre los ámbitos de Drive, consulta la información sobre las autorizaciones.
  5. (Opcional) Para saber qué aplicaciones tienen acceso a un servicio: 
    1. En la parte superior de la tabla, haz clic en Aplicaciones.
    2. Haz clic en Añadir un filtro y luego Servicios solicitados.
    3. Selecciona los servicios que vas a comprobar.  
      Aparecerán las aplicaciones que tienen acceso a sus ámbitos de OAuth y si son o no de confianza.
  6. Para cambiar el acceso; por ejemplo, para restringirlo: 
    • Si solo quieres cambiar el de un servicio, ve a su fila en la tabla y, en el extremo derecho, haz clic en Cambiar acceso.
    • Si quieres cambiar el de varios a la vez, selecciónalos y, en la parte superior de la tabla, haz clic en Cambiar acceso.

Después de cambiar los ámbitos a Restringido, todas las aplicaciones instaladas anteriormente que no sean de confianza dejarán de funcionar y se revocarán los tokens. Cuando un usuario intente instalar una aplicación que tenga un ámbito con restricciones, se le notificará que está bloqueada.

Añadir o quitar aplicaciones de la lista de confianza

Puedes confiar en aplicaciones específicas que quieras que accedan a todos los servicios de G Suite (ámbitos de OAuth) y decidir si confías en todas las aplicaciones que pertenezcan al dominio. Confiar en las aplicaciones también asegura que los usuarios puedan instalar aplicaciones que no estén verificadas por nuestro equipo contra el uso inadecuado. Las aplicaciones en las que no confías tienen acceso limitado a las API de G Suite; solo pueden acceder a servicios que no tienen restricciones.

Nota: A los usuarios se les solicita que autoricen que se añadan aplicaciones web, pero en G Suite Marketplace, en el caso de las aplicaciones aprobadas, puedes evitar que aparezca la pantalla de solicitud de consentimiento durante las instalaciones en dominios.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En la página principal del control de acceso de aplicaciones, selecciona Gestionar acceso de aplicaciones de terceros.
  4. Revisa la lista de aplicaciones. 
  5. Para buscar el nombre de aplicación concreto, un ID de cliente o los servicios a los que accede la aplicación, haz clic en Añadir un filtro.
    Si la aplicación aparece en la lista, se está utilizando, es de confianza o ambas cosas.
  6. Para cambiar el acceso; por ejemplo, para permitirlo: 
    • Si solo quieres cambiar el de una aplicación, ve a su fila en la tabla y, en el extremo derecho, haz clic en Cambiar acceso.
    • Si quieres cambiar el de varias aplicaciones a la vez, selecciónalas en la tabla y, en la parte superior, haz clic en Cambiar acceso

      Puedes configurar una aplicación como:
      • De confianza: puede acceder a todos los servicios de Google.
      • Con acceso restringido: solo puede acceder a servicios de Google que no tengan restricciones.
  7. (Opcional) Para confiar en una aplicación que no está en la lista, haz clic en Añadir aplicación y selecciona una opción:
    • Si se trata de una aplicación web:
      1. Haz clic en Nombre de aplicación OAuth o ID de cliente
      2. Introduce el ID de cliente y haz clic en Buscar.
      3. Selecciona la aplicación y haz clic en Añadir
    • Si se trata de una aplicación móvil:
      1. Haz clic en Android o iOS. 
      2. Introduce el nombre de la aplicación y haz clic en Buscar para ver una lista con aplicaciones disponibles.
      3. Selecciona la aplicación y haz clic en Añadir

Nota: Si cambias el acceso de una aplicación de De confianza a Con acceso restringido y no tiene usuarios activos, desaparecerá de la lista hasta que la añadas de nuevo o hasta que un usuario la active.

Permitir que las aplicaciones internas accedan a las API restringidas de G Suite

Puedes permitir que todas las aplicaciones creadas por ti accedan a los servicios restringidos de G Suite. De lo contrario, deberás confiar en ellas de forma individual.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
  3. En la parte inferior de la página, marca la casilla Confiar en las aplicaciones internas que pertenecen al dominio y haz clic en Guardar.

Se considera que los siguientes recursos son propiedad del dominio:

  • Los proyectos de Google Apps Script creados por usuarios de la organización
  • Las aplicaciones asociadas a la organización en la consola de Google Cloud Platform 
Personalizar el mensaje de rechazo de aplicaciones

En función del servicio y de la aplicación que se esté usando, cuando un usuario esté instalando una aplicación web de terceros verá una pantalla de consentimiento o una de rechazo. Puedes personalizar esta pantalla de rechazo; por ejemplo, incluyendo tu información de contacto en casos de asistencia.  

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Menú y luego Seguridad y luego Control de acceso de aplicaciones.
  3. Ve a Configuración.
  4. En el cuadro "Mostrar este mensaje si un usuario intenta utilizar una aplicación que no puede acceder a los servicios de Google restringidos", introduce el texto que quieras.
  5. Haz clic en Guardar.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?