借助全网域授权,Google Workspace 教育版超级用户可以向第三方应用授予访问其网域中用户数据的权限,而无需获得特定用户的同意。您可以在 Google 管理控制台中执行全网域授权,方法是指定服务账号或第三方应用的客户端 ID。
服务账号是属于 Google Cloud 项目而非单个用户的账号。应用可以代表服务账号(而非代表个别最终用户)请求访问 Google API。服务账号是在 Google Cloud 控制台中设置的。
OAuth 客户端 ID 是一种公共标识符,用于向 Google 服务器标识应用。
全网域授权设置
Google Workspace 超级用户可以在管理控制台中设置具有全网域授权的服务账号或 OAuth 客户端 ID。
- 在管理控制台中,前往主菜单 > 安全性 > 访问权限和数据控件 > API 控件。
- 在全网域授权下,选择管理全网域授权。
- 点击新增。
- 在客户端 ID 字段中输入服务账号的客户端 ID 或应用的 OAuth 客户端 ID。在 OAuth 范围字段中输入应向服务账号或应用授予的 OAuth 范围列表。
- 点击授权。
如果管理员从 Google Workspace Marketplace 为某个网域安装了应用,则无需手动设置该应用使用的服务账号。在安装过程中会自动提供所需的权限。
资源
- 全网域授权最佳实践