Autorizzare le applicazioni connesse

Gestire l'accesso basato su OAuth ad applicazioni connesse

In qualità di amministratore, se non vuoi condividere contenuti sensibili di Google Drive o Gmail al di fuori del dominio della tua organizzazione tramite applicazioni o componenti aggiuntivi di terze parti di OAuth, puoi revocare i token di accesso OAuth.

Puoi anche disattivare diversi ambiti API nei servizi G Suite, inclusi Gmail, Drive, Calendar e i servizi Google Cloud Platform, ad esempio Machine Learning. Puoi autorizzare in modo selettivo le applicazioni di terze parti che possono accedere a tali ambiti.

Disattivare un ambito API o considerare attendibile un'applicazione di terze parti per un servizio G Suite come Calendar influenzerà tutti i relativi ambiti, inclusi gli ambiti OAuth. Alcune applicazioni, ad esempio Gmail, offrono un livello di controllo degli accessi più elevato per gli ambiti ad alto rischio predefiniti. 

Come autorizzare un'applicazione

Per questa attività, devi aver eseguito l'accesso come super amministratore.

Se hai l'edizione Drive Enterprise, le impostazioni di accesso API non vengono applicate a Gmail o Calendar.

Per autorizzare le applicazioni, devi prima limitare gli ambiti API di G Suite accessibili da applicazioni di terze parti. Successivamente, crea le whitelist che definiscono quali applicazioni possono accedere agli ambiti bloccati. Ecco come:

Passaggio 1: esamina l'accesso delle applicazioni di terze parti agli ambiti API
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Sicurezza.

    Per visualizzare Sicurezza sulla home page, potresti dover fare clic su Altri controlli in fondo alla pagina.

  3. Fai clic su Autorizzazioni API.
  4. Esamina l'accesso all'API per i seguenti servizi principali:
    • G Suite:
      • Gmail
      • Drive
      • Calendar
      • Contatti
      • Amministratore
      • Vault
      • Apps Script Runtime: determina le azioni che possono essere eseguite dai progetti Apps Script. Include l'app App Maker, i componenti aggiuntivi e gli script provenienti dall'interno e dall'esterno del tuo dominio.
      • API Apps Script: specifica se i client OAuth possono utilizzare l'API Apps Script per gestire i progetti. 
    • Google Cloud Platform:
      • Cloud Platform: include tutti i servizi di Google Cloud Platform, tranne Machine Learning e Cloud Billing
      • Machine Learning: include Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API e Cloud Vision API
      • Cloud Billing
  5. Fai clic sul link delle applicazioni sotto ogni ambito dell'API per confermare quali applicazioni possono attualmente accedere al servizio principale.
  6. Puoi filtrare le applicazioni installate in base alle autorizzazioni dell'API, al nome oppure al numero di utenti. (facoltativo)
  7. Per aggiungere un'applicazione all'elenco di applicazioni attendibili, fai clic su Altro Altro a destra e seleziona Attendibile. (facoltativo)
  8. Esamina queste applicazioni prima di passare alla sezione successiva per creare la whitelist.
Passaggio 2: aggiungi un'applicazione alla whitelist delle applicazioni attendibili
  1. Nella home page della Console di amministrazione, vai a Sicurezza poi Autorizzazioni API.
  2. Nella parte inferiore dell'elenco delle applicazioni, fai clic sul link Applicazioni attendibili.
  3. Fai clic su Autorizza un'app Aggiungi
    Si apre la finestra Aggiungi app all'elenco delle applicazioni attendibili.
  4. Nell'elenco Seleziona il tipo di app, seleziona un'opzione:
    • Android
    • iOS
    • Applicazioni web: richiedono l'inserimento dell'ID client OAuth2.
  5. Per Android o iOS®, digita il nome di un'applicazione e fai clic su Cerca per visualizzare un elenco delle applicazioni disponibili.
  6. Scorri verso il basso per visualizzare altre applicazioni.
  7. Dopo avere visualizzato l'intero elenco di applicazioni, utilizza Ctrl + f o ⌘ + f (Mac) per cercare un'applicazione inserendone il nome intero o solo una parte.
  8. Seleziona la casella accanto all'applicazione che vuoi aggiungere, quindi fai clic su Aggiungi.
  9. Per offrire alle applicazioni interne l'accesso alle API di G Suite limitate: (facoltativo)
    1. Torna alla pagina Sicurezza.
    2. Nella parte inferiore della pagina, accanto a Impostazioni applicazioni interne, seleziona la casella Considera attendibili le app di proprietà del dominio e fai clic su Salva.

Nota: se disattivi Considera attendibili le app di proprietà del dominio, le applicazioni interne non potranno accedere alle API di G Suite limitate. Le applicazioni di proprietà del dominio includono:

  • I progetti Google Apps Script creati da utenti all'interno del dominio
  • Le applicazioni associate all'organizzazione nella console di Google Cloud Platform di proprietà del dominio 
Passaggio 3: blocca ambiti API specifici
  1. Nella home page della Console di amministrazione, vai a Sicurezza poi Autorizzazioni API.
  2. Fai clic sul link Applicazioni per confermare quali applicazioni saranno interessate da questa operazione.
    Se revochi l'accesso di un'applicazione, possono essere necessarie fino a 24 ore prima che venga rimossa dall'elenco.
  3. Se fai clic sull'opzione Disattiva, puoi bloccare l'accesso API per uno qualsiasi dei seguenti servizi principali:
    • G Suite:
      • Gmail
      • Drive
      • Calendar
      • Contatti
      • Amministratore
      • Vault
    • Google Cloud Platform:
      • Cloud Platform: include tutti i servizi di Google Cloud Platform, tranne Machine Learning e Cloud Billing
      • Machine Learning: include Cloud Video Intelligence, Cloud Speech API, Cloud Natural Language API, Cloud Translation API e Cloud Vision API
      • Cloud Billing
  4. Se intendi disattivare l'accesso API per Gmail, scegli un'opzione:
    • Qualsiasi tipo di accesso: blocca tutte le applicazioni di terze parti, ad eccezione di quelle autorizzate da te.
    • Accesso ad alto rischio: blocca le applicazioni di terze parti con ambiti OAuth ad alto rischio.
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing

        Per maggiori dettagli sugli ambiti Gmail, vedi l'articolo sulla scelta degli ambiti di autenticazione

        .
  5. Se intendi disattivare l'accesso API per Drive, scegli un'opzione:
    • Qualsiasi tipo di accesso: blocca tutte le applicazioni di terze parti, ad eccezione di quelle autorizzate da te.
    • Accesso ad alto rischio: blocca le applicazioni di terze parti utilizzando questi ambiti OAuth ad alto rischio:
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
      • https://www.googleapis.com/auth/documents

        Per maggiori dettagli sugli ambiti di Drive, leggi queste informazioni sull'autorizzazione

        .
  6. Fai clic su Salva.

Se disattivi l'accesso alle API:

  • Dopo aver bloccato gli ambiti, tutte le applicazioni già installate smetteranno di funzionare e i token verranno revocati.
  • Quando un utente tenta di installare un'applicazione con un ambito bloccato, viene visualizzato il messaggio di errore mostrato sotto l'opzione Visualizza un messaggio quando gli utenti provano ad accedere ad app con autorizzazioni disattivate (sotto l'elenco degli ambiti API). Puoi modificare il messaggio predefinito in base alle esigenze (la lunghezza del messaggio non deve superare i 300 caratteri). 
Passaggio 4: rimuovi le applicazioni da una whitelist
  1. Nella home page della Console di amministrazione, vai a Sicurezza poi Autorizzazioni API.
  2. Nella parte inferiore dell'elenco delle applicazioni, fai clic sul link Applicazioni attendibili.
  3. Fai clic sull'icona Action menu accanto all'applicazione che vuoi rimuovere dalla whitelist e seleziona Rimuovi.
È stato utile?
Come possiamo migliorare l'articolo?