דף זה תורגם על ידי Cloud Translation API.

אימות לקוח OAuth

לקוחות OAuth של Google שמבקשים היקפי OAuth מסוימים עם מידע רגיש כפופים לאימות על ידי Google.

אם לא מאמתים את לקוח ה-OAuth של פרויקט הסקריפט, משתמשים מחוץ לדומיין שלכם יראו מסך unverified app (אפליקציה לא מאומתת) כשהם ינסו להעניק הרשאה לסקריפט. תהליך הרשאה לא מאומת מאפשר למשתמשים האלה לאשר אפליקציות לא מאומתות ולהשתמש בהן, אבל רק אחרי שהם מאשרים שהם מבינים את הסיכונים. גם למספר הכולל של משתמשי האפליקציה הלא מאומתים יש מכסה.

למידע נוסף, ראה הסעיפים הבאים:

מסך של אפליקציה לא מאומתת — **איור 1**: מסך אפליקציה לא מאומתת

תהליך ההרשאה לאפליקציה לא מאומתת — **איור 2**: תהליך הרשאה לא מאומת לאפליקציה

השינוי הזה חל על לקוחות אינטרנט של OAuth של Google, כולל לקוחות שבהם נעשה שימוש בכל הפרויקטים של Apps Script. אימות האפליקציה ב-Google מאפשר להסיר את המסך של האפליקציה הלא מאומתת מתהליך ההרשאה, ולתת למשתמשים ביטחון שהאפליקציה שלכם לא זדונית.

אפליקציות לא מאומתות

יכול להיות שתצטרכו לאמת תוספים, אפליקציות אינטרנט ופריסות אחרות (כמו אפליקציות שמשתמשות ב-Apps Script API).

תחולה

אם האפליקציה משתמשת בהיקפי OAuth רגישים, יכול להיות שמסך האפליקציה הלא מאומתת יופיע כחלק מתהליך ההרשאה. הנוכחות שלה (ותהליך ההרשאה לאפליקציות לא מאומת) תלויים בחשבון שממנו מתפרסמת האפליקציה ובאיזה חשבון מנסה להשתמש בה. לדוגמה, אפליקציות שמתפרסמות בארגון מסוים ב-Google Workspace לא מובילות לתהליך ההרשאה לאפליקציה לא מאומתת בחשבונות בדומיין הזה, גם אם האפליקציה לא אומתה.

הטבלה הבאה ממחישה אילו מצבים מובילים לתהליך ההרשאה לאפליקציה לא מאומתת:

	הלקוח מאומת	בעל התוכן הדיגיטלי הוא חשבון Google Workspace של לקוח א'	הסקריפט נמצא באחסון שיתופי של לקוח א'	בעל התוכן הדיגיטלי הוא חשבון Gmail
המשתמש הוא חשבון Google Workspace של לקוח א'	תהליך אימות רגיל	תהליך אימות רגיל	תהליך אימות רגיל	*תהליך אימות לא מאומת*
המשתמש הוא חשבון Google Workspace שלא של לקוח א'	תהליך אימות רגיל	*תהליך אימות לא מאומת*	*תהליך אימות לא מאומת*	*תהליך אימות לא מאומת*
המשתמש הוא חשבון Gmail¹	תהליך אימות רגיל	*תהליך אימות לא מאומת*	*תהליך אימות לא מאומת*	*תהליך אימות לא מאומת*

¹כל חשבון Gmail, כולל החשבון שמשמש לפרסום האפליקציה.

מכסת משתמשים

כדי להגביל את הניצול לרעה האפשרי, יש מגבלה על מספר המשתמשים שיכולים לאשר אפליקציה דרך תהליך האימות של האפליקציה. פרטים נוספים זמינים במאמר מגבלות על משתמשי אפליקציות OAuth.

נשלחה בקשת אימות

אתם יכולים לבקש אימות של לקוח ה-OAuth שבו משתמשת האפליקציה ושל הפרויקט ב-Cloud Platform ‏ (GCP) המשויך אליה. אחרי שהאפליקציה תאומת, המשתמשים לא יראו יותר את המסך של האפליקציה שלא אומתה. בנוסף, האפליקציה שלכם לא תהיה כפופה יותר למכסת המשתמשים.

דרישות

כדי לשלוח את לקוח ה-OAuth לאימות, עליכם לעמוד בדרישות הבאות:

אתם צריכים להיות הבעלים של אתר בדומיין. האתר חייב לארח דפים שגלויים לכולם ומתארים את האפליקציה ואת מדיניות הפרטיות שלה. אתם צריכים גם לאמת את הבעלות על האתר באמצעות Google.

הערה: אין צורך לפרסם את האפליקציה מחשבון בדומיין הזה, אבל הבעלים של הדומיין צריך להיות עורך או הבעלים של פרויקט הסקריפט.
הפרויקט ב-Google Cloud שבו נעשה שימוש בפרויקט הסקריפט צריך להיות פרויקט רגיל ב-Google Cloud שיש לכם גישה לעריכה שלו. אם הסקריפט משתמש בפרויקט ברירת המחדל שלו ב-Google Cloud, צריך לעבור לפרויקט רגיל ב-Google Cloud.

בנוסף, צריך את הנכסים הנדרשים הבאים:

שם האפליקציה. שם האפליקציה. השם הזה מוצג במסך ההסכמה. השם צריך להיות זהה לשם שבו האפליקציה מוגדרת במיקומים אחרים, למשל בדף האפליקציה ב-Google Workspace Marketplace.
לוגו של האפליקציה. תמונה של לוגו האפליקציה בפורמט JPEG, PNG או BMP, שצריך להשתמש בה במסך ההסכמה. גודל הקובץ צריך להיות 1MB או פחות.
כתובת אימייל לתמיכה. זהו כתובת אימייל שמוצגת במסך ההסכמה, כדי שמשתמשים יוכלו לפנות אליה אם הם זקוקים לתמיכה באפליקציה. אפשר להשתמש בכתובת האימייל שלכם או בקבוצת Google שבבעלותכם או בניהולכם.
היקפים. רשימה של כל היקפי ההרשאות שהאפליקציה משתמשת בהם. אפשר להציג את ההיקפים בעורך של Apps Script.
דומיינים מורשים. זוהי רשימה של דומיינים שמכילים מידע על האפליקציה. כל הקישורים של האפליקציה (כמו דף מדיניות הפרטיות הנדרש) חייבים להתארח בדומיינים מורשים.
כתובת ה-URL של דף הבית של האפליקציה. המיקום של דף הבית שמתאר את האפליקציה. המיקום הזה חייב להתארח בדומיין מורשה.
כתובת ה-URL של מדיניות הפרטיות של האפליקציה. המיקום של הדף שמתאר את מדיניות הפרטיות של האפליקציה. המיקום הזה צריך להתארח בדומיין מורשה.

בנוסף לנכסים הנדרשים שצוינו למעלה, אפשר לספק כתובת URL של התנאים וההגבלות של האפליקציה שמפנה לדף שמתאר את התנאים וההגבלות של האפליקציה. אם צוין, המיקום הזה חייב להיות בדומיין מורשה.

שלבים

אם עדיין לא עשיתם זאת, מאמתים את הבעלות על כל הדומיינים המורשים שבהם אתם מארחים את מדיניות הפרטיות של פרויקט הסקריפט ומידע נוסף. הבעלים המאומתים של הדומיינים חייבים להיות עורכים או הבעלים של פרויקט הסקריפט.
בפרויקט Apps Script, לוחצים על Overview (סקירה כללית) . בקטע Project OAuth Scopes, מעתיקים את ההיקפים שבהם נעשה שימוש בפרויקט הסקריפט.
משלימים את מסך ההסכמה ל-OAuth בפרויקט של האפליקציה ב-Google Cloud באמצעות נכסי הטקסט וכתובת ה-URL שנאספו.
1. מציינים את הדומיינים המורשים שבהם מתארח המידע של האפליקציה (למשל מדיניות הפרטיות שלה).
2. כדי להוסיף את היקפי הגישה של האפליקציה, לוחצים על הוספה או הסרה של היקפי גישה. בתיבת הדו-שיח שמופיעה, המערכת מנסה לזהות באופן אוטומטי היקפים של ממשקי API שהפעלתם במסוף Google Cloud (כמו שירותים מתקדמים). אפשר לבחור היקפים מהרשימה הזו על ידי סימון התיבות המתאימות.
  
  הרשימה שזוהתה באופן אוטומטי לא תמיד כוללת היקפי הרשאות שמשמשים את השירותים המובנים של Apps Script. צריך להזין את ההיקפים האלה בקטע הוספת היקפי הרשאות באופן ידני.
  
  בסיום, לוחצים על עדכון.
אחרי שמזינים את כל הפרטים הנדרשים, לוחצים על Save.
כדי להתחיל בקשת אימות, לוחצים על שליחה לאימות.

רוב בקשות האימות מקבלות תשובה תוך 24 עד 72 שעות. אפשר לבדוק את סטטוס האימות בחלק העליון של הטופס במסך ההסכמה של OAuth. כשהאימות של לקוח ה-OAuth יאושר, האפליקציה תאומת.