Autorizar apps conectados

Gerenciar o acesso baseado em OAuth aos apps conectados

Como administrador, é possível que você não queira compartilhar conteúdo confidencial do Google Drive ou do Gmail fora do domínio da sua organização usando complementos ou apps OAuth de terceiros. Se esse for o caso, basta revogar os tokens de acesso OAuth.

Também é possível desativar vários escopos de API nos serviços do G Suite. Esses serviços incluem os do Gmail, do Drive, do Agenda e do Google Cloud Platform, como o aprendizado de máquina. Outra opção é selecionar os apps de terceiros que acessam esses escopos.

Quando você desativa um escopo de API ou confia em um app de terceiros em um serviço do G Suite, como o Agenda, isso inclui todos os escopos do serviço, inclusive os escopos OAuth. Alguns apps, como o Gmail, oferecem um controle de acesso maior para escopos de alto risco predefinidos. 

Como autorizar um app

Para realizar essa tarefa, você precisa estar conectado como um superadministrador.

Se você usa o Drive Enterprise, as configurações de acesso à API não são aplicáveis ao Gmail ou ao Agenda.

Para autorizar apps, primeiro limite os escopos da API do G Suite que os apps de terceiros podem acessar. Em seguida, crie listas de permissões que definam quais apps podem acessar escopos bloqueados. Veja como fazer isso:

Etapa 1: analisar o acesso dos apps de terceiros aos escopos da API
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin console, acesse Segurança.

    Para ver "Segurança" na página inicial, talvez seja preciso clicar em Mais controles na parte inferior.

  3. Clique em Permissões da API.
  4. Examine o acesso à API destes serviços principais:
    • G Suite:
      • Gmail
      • Drive
      • Agenda
      • Contatos
      • Administrador
      • Vault
      • Tempo de execução do Apps Script: controla as ações que os projetos do Apps Script podem executar. Inclui apps, complementos e scripts do App Maker dentro e fora do seu domínio.
      • Apps Script API: controla se os clientes podem usar a Apps Script API para gerenciar projetos. 
    • Google Cloud Platform:
      • Cloud Platform: inclui todos os serviços do Google Cloud Platform, exceto o Aprendizado de máquina e o Faturamento do Cloud
      • Aprendizado de máquina: inclui a Cloud Video Intelligence API, a Cloud Speech API, a Cloud Natural Language API, a Cloud Translation API e a Cloud Vision API
      • Faturamento do Cloud
  5. Clique no link apps em cada escopo da API para confirmar quais apps podem acessar o serviço principal.
  6. Você pode filtrar os apps instalados com base nas permissões da API, no nome ou no número de usuários.
  7. (Opcional) Para adicionar um app à lista "Aplicativos confiáveis", clique em Mais Mais, à direita, e selecione Confiável.
  8. Analise esses apps antes de passar para a próxima seção para criar sua lista de permissões.
Etapa 2: adicionar um app à lista de apps confiáveis
  1. Na página inicial do Admin Console, acesse Segurança e Permissões da API.
  2. Na parte inferior da lista de apps, clique no link Aplicativos confiáveis.
  3. Clique em Colocar um aplicativo na lista de permissões Adicionar
    A janela Adicionar aplicativo à lista de aplicativos confiáveis será exibida.
  4. Na lista Selecionar tipo de aplicativo, selecione uma opção:
    • Android
    • iOS
    • Aplicativos da Web — exige que você forneça o ID do cliente OAuth2
  5. No Android ou iOS®, digite o nome de um app e clique em Pesquisar para ver as opções disponíveis.
  6. Role para baixo para ver mais aplicativos.
  7. Quando a lista de aplicativos for exibida, use Ctrl + f ou ⌘ + f (Mac) para pesquisar o nome ou parte do nome de um aplicativo.
  8. Marque a caixa ao lado do app que você quer adicionar e clique em Adicionar.
  9. (Opcional) Para permitir que os apps internos acessem as APIs restritas do G Suite:
    1. Volte para a página "Segurança".
    2. Na parte inferior da página, ao lado de Configurações de aplicativos internos, marque a caixa Confiar em aplicativos do domínio e clique em Salvar.

Observação: se você desmarcar a opção Confiar em aplicativos do domínio, os apps internos não acessarão as APIs restritas do G Suite. Os apps do domínio incluem:

  • projetos do Google Apps Script criados por usuários do domínio;
  • apps associados à organização no Console do Google Cloud Platform do domínio. 
Etapa 3: bloquear escopos de API específicos
  1. Na página inicial do Admin Console, acesse Segurança e Permissões da API.
  2. Clique no link Apps para confirmar os apps que serão afetados.
    Se você revogar o acesso de um app, ele levará até 24 horas para desaparecer da lista.
  3. Clicar na opção Desativar bloqueia o acesso de qualquer um destes serviços principais à API:
    • G Suite:
      • Gmail
      • Drive
      • Agenda
      • Contatos
      • Administrador
      • Vault
    • Google Cloud Platform:
      • Cloud Platform: inclui todos os serviços do Google Cloud Platform, exceto o Aprendizado de máquina e o Faturamento do Cloud
      • Aprendizado de máquina: inclui a Cloud Video Intelligence API, a Cloud Speech API, a Cloud Natural Language API, a Cloud Translation API e a Cloud Vision API
      • Faturamento do Cloud
  4. Se você estiver desativando o acesso do Gmail à API, escolha uma opção:
    • Acesso total bloqueia todos os apps de terceiros, exceto os que você colocou na lista de permissões.
    • Acesso de alto risco bloqueia apps de terceiros com escopos OAuth de alto risco:
      • https://mail.google.com/
      • https://www.googleapis.com/auth/gmail.compose
      • https://www.googleapis.com/auth/gmail.insert
      • https://www.googleapis.com/auth/gmail.metadata
      • https://www.googleapis.com/auth/gmail.modify
      • https://www.googleapis.com/auth/gmail.readonly
      • https://www.googleapis.com/auth/gmail.send
      • https://www.googleapis.com/auth/gmail.settings.basic
      • https://www.googleapis.com/auth/gmail.settings.sharing

        Veja mais informações sobre os escopos do Gmail em Escolher escopos do Auth (em inglês)

        .
  5. Se você estiver desativando o acesso do Drive à API, escolha uma opção:
    • Acesso total bloqueia todos os apps de terceiros, exceto os autorizados.
    • Acesso de alto risco bloqueia apps de terceiros com escopos OAuth de alto risco:
      • https://www.googleapis.com/auth/drive
      • https://www.googleapis.com/auth/drive.apps.readonly
      • https://www.googleapis.com/auth/drive.metadata
      • https://www.googleapis.com/auth/drive.metadata.readonly
      • https://www.googleapis.com/auth/drive.readonly
      • https://www.googleapis.com/auth/drive.scripts
      • https://www.googleapis.com/auth/documents

        Veja detalhes sobre os escopos do Drive em Sobre a autorização (em inglês)

        .
  6. Clique em Salvar.

Veja o que acontecerá se você desativar o acesso à API:

  • Todos os apps instalados deixarão de funcionar após o bloqueio dos escopos, e os tokens serão revogados.
  • Quando um usuário tentar instalar um app com escopo bloqueado, ele verá a mensagem de erro mostrada em Exibir uma mensagem quando os usuários tentarem acessar aplicativos com permissões desativadas (abaixo da lista do escopo da API). O tamanho máximo da mensagem padrão é 300 caracteres, e você pode editá-la conforme necessário. 
Etapa 4: remover apps de uma lista de permissões
  1. Na página inicial do Admin Console, acesse Segurança e Permissões da API.
  2. Na parte inferior da lista de apps, clique no link Aplicativos confiáveis.
  3. Clique em Action menu ao lado do app que será removido da lista de permissões e selecione Remover.
Isso foi útil?
Como podemos melhorá-lo?