应用制作工具的安全和权限

确保应用制作工具的安全是贵单位众多员工不断努力的目标。在您最初启用应用制作工具并为使用应用制作工具开发的应用设置 Cloud SQL 实例时,就请考虑应用的安全。请让开发者创建并部署可保护用户和单位数据的应用。

控制访问权限和其他权限

作为 G Suite 管理员,您可以:

  • 控制哪些人可以使用应用制作工具来开发应用。了解详情
  • 控制开发者可以与哪些人分享应用项目文件。了解详情
  • 监控使用应用制作工具开发的应用。了解详情
  • 管理对 Cloud SQL 实例的访问权限。了解详情
  • 管理 OAuth 权限。了解详情

Google Cloud Platform (GCP) 管理员可以控制:

  • 哪些人可以创建和管理 Cloud SQL 数据库。了解详情

管理员最佳做法

  • 仅为贵单位中的应用开发者启用应用制作工具。
  • 定期评估应用制作工具和 Cloud SQL 的权限并进行更新。
  • 检查贵单位的应用。如果应用未被使用或存在问题,请与其所有者联系。
  • 要求开发者在构建应用时遵循安全最佳做法
  • 要求应用用户遵循应用用户安全最佳做法
  • 为每个办公应用部署创建单独的 GCP 项目和 Cloud SQL 实例。这样,您就可以控制每个应用的权限并查看其结算情况。

控制云端硬盘共享设置

应用制作工具项目文件存储于应用所有者的云端硬盘中。您可以控制用户在单位中共享云端硬盘文件的方式。在管理控制台中,转到应用 然后 云端硬盘和文档

详细了解如何设置文件共享权限

允许应用跳过用户权限提示

用户首次打开使用应用制作工具开发的应用时,如果该应用可能使用用户的数据,则必须在 OAuth 提示下授予该应用权限。您可以将使用应用制作工具开发的应用列入白名单,让这类应用无需向用户申请权限即可访问用户数据。

用户授予这类应用访问其 Google 数据的权限后,应用制作工具就会强制执行该数据的共享设置。例如,用户授予应用访问云端硬盘文件的权限后,其他用户就无法通过该应用访问这些文件,除非文件所有者共享了这些文件。

高级 OAuth 权限管理

对于使用应用制作工具开发的应用,您可以控制允许这些应用向单位中的用户申请哪些权限。

  1. 请在管理控制台中转到安全 然后 设置 然后 API 权限
  2. 检查以下设置:
    • Apps 脚本运行时 – 选择启用,即可允许使用应用制作工具开发的应用以及插件和 Apps 脚本项目申请针对 Apps 脚本环境的 OAuth 2.0 范围。此设置会应用至贵单位内外部的应用和脚本,但不会应用至未申请范围的 Apps 脚本项目,也不会应用至所申请范围仅限 Google 产品的 Apps 脚本项目。
    • Apps Script API – 选择启用,即可允许 OAuth 2.0 客户端使用 Apps Script API 来管理项目。
    • 信任网域拥有的应用 - 取消选中此复选框,即可允许已列入白名单的应用跳过身份验证申请。
该内容对您有帮助吗?
您有什么改进建议?