Prześlij do weryfikacji marki

Wszystkie aplikacje, które uzyskują dostęp do interfejsów API Google, muszą potwierdzić, że dokładnie przedstawiają swoją tożsamość i zamiary zgodnie z zasadami usług interfejsu API Google dotyczącymi danych użytkownika. Aby chronić Ciebie i użytkowników, którzy korzystają z Google i Twojej aplikacji, ekran zgody i aplikacja mogą wymagać weryfikacji przez Google.

Twoja aplikacja wymaga weryfikacji, jeśli spełnia wszystkie te kryteria:

  • W  Google API Consolekonfiguracja aplikacji jest ustawiona dla typu użytkownika Zewnętrzny. Oznacza to, że Twoja aplikacja jest dostępna dla każdego użytkownika mającego konto Google.
  • Chcesz, aby w ekranie zgody OAuth Twojej aplikacji wyświetlało się logo lub nazwa wyświetlana.

Jeśli podasz zweryfikowane informacje o marce, zwiększysz prawdopodobieństwo, że użytkownik rozpozna Twoją markę i zdecyduje się przyznać dostęp do aplikacji. Zweryfikowane informacje o marce mogą też zmniejszyć liczbę późniejszych unieważnień, gdy użytkownik lub administrator Google Workspace sprawdzi aplikacje i usługi innych firm, które mają dostęp do konta. Proces weryfikacji marki na ekranie zgody OAuth trwa zwykle 2–3 dni robocze od momentu przesłania prośby o weryfikację.

Jeśli nie prześlesz wniosku o weryfikację marki, może to spowodować spadek zaufania użytkowników do Twojej prośby o ich dane, co może skutkować mniejszą liczbą autoryzacji użytkowników i większą liczbą późniejszych wycofań.

Na ekranie zgody użytkownicy dowiadują się, kto prosi o dostęp do ich danych i jakiego rodzaju dane aplikacja musi uzyskać w ich imieniu (zaznaczone w polu 2 na ilustracji 1).

Gdy aplikacja przejdzie proces weryfikacji marki i zostanie zatwierdzona, zasady dotyczące tożsamości aplikacji i danych użytkowników będą bardziej zrozumiałe dla konta, które przyznaje uprawnienia. Dzięki temu użytkownik konta będzie bardziej skłonny do autoryzowania Twoich próśb i zachowa dostęp, gdy na stronie konta Google sprawdzi możliwe cofnięcia. Treści, które skonfigurujesz w sekcji OAuth Branding page w  Cloud Console , wypełniają te komponenty:

  1. nazwę i logo aplikacji (zgodnie z polem 1 na rysunku 1);
  2. Adres e-mail pomocy dla użytkowników, który pojawia się po wybraniu nazwy aplikacji (pole 2 na rysunku 1).
  3. Linki do polityki prywatności i warunków korzystania z usługi (pole 3 na rysunku 1)
Numerowane etykiety ilustrują różne funkcje ekranu zgody OAuth w projekcie z zatwierdzonymi informacjami o marce.
Rysunek 1. Makieta ekranu zgody OAuth.

Autoryzowane domeny

W ramach procesu weryfikacji marki Google wymaga sprawdzenia wszystkich domen powiązanych z ekranem akceptacji OAuth i danymi logowania aplikacji. Prosimy o zweryfikowanie komponentu domeny dostępnego do rejestracji w sufiksie publicznym: domeny prywatnej najwyższego poziomu. Na przykład ekran zgody OAuth skonfigurowany ze stroną główną aplikacji https://sub.example.com/product prosi właściciela konta o potwierdzenie własności domeny example.com.

Sekcja Autoryzowane domeny w edytorze ekranu akceptacji OAuth musi zawierać prywatne domeny najwyższego poziomu, które są używane w identyfikatorach URI w sekcji Domena aplikacji. Obejmują one stronę główną aplikacji, politykę prywatności i warunki korzystania z usługi. Sekcja Autoryzowane domeny musi też zawierać identyfikatory URI przekierowania lub źródła JavaScript autoryzowane w typach klientów OAuth „Aplikacja internetowa”.

Potwierdź własność autoryzowanych domen za pomocą Google Search Console. Z  API Console projektem, który korzysta z autoryzowanej domeny, musi być powiązane konto Google z uprawnieniami właściciela do domeny. Więcej informacji o weryfikacji domeny w Google Search Console znajdziesz w artykule Potwierdzanie prawa własności do witryny.

Przygotowanie do weryfikacji

Wszystkie aplikacje, które korzystają z interfejsów API Google, aby prosić o dostęp do danych, muszą wykonać te czynności, aby przejść weryfikację marki:

  1. Sprawdź, czy Twoja aplikacja nie należy do żadnego z przypadków użycia wymienionych w sekcji Wyjątki od wymagań dotyczących weryfikacji.
  2. Upewnij się, że Twoja aplikacja jest zgodna z wymaganiami dotyczącymi marki powiązanych interfejsów API lub usługi. Na przykład zapoznaj się z wytycznymi dotyczącymi marki w przypadku zakresów logowania się przez Google.
  3. Potwierdź własność autoryzowanych domen projektu w Google Search Console. Użyj konta Google powiązanego z Twoim projektem jako właściciel lub edytujący. API Console
  4. Upewnij się, że wszystkie informacje o marce na ekranie zgody OAuth, takie jak nazwa aplikacji, e-mail pomocy, identyfikator URI strony głównej, identyfikator URI polityki prywatności itp., dokładnie odzwierciedlają tożsamość aplikacji.

Wymagania dotyczące strony głównej aplikacji

Upewnij się, że Twoja strona główna spełnia te wymagania:

  • Strona główna musi być dostępna publicznie, a nie tylko dla zalogowanych użytkowników witryny.
  • Strona główna musi być wyraźnie powiązana z aplikacją, która jest sprawdzana.
  • Linki do informacji o aplikacji w Sklepie Google Play lub na jej stronie na Facebooku nie są uznawane za prawidłowe strony główne aplikacji.

Wymagania dotyczące linku do polityki prywatności aplikacji

Upewnij się, że polityka prywatności Twojej aplikacji spełnia te wymagania:

  • Polityka prywatności musi być widoczna dla użytkowników, hostowana w tej samej domenie co strona główna aplikacji i powiązana z ekranem zgody OAuth Google API Console. Pamiętaj, że strona główna musi zawierać opis funkcjonalności aplikacji oraz linki do polityki prywatności i opcjonalnych warunków korzystania z usługi.
  • Polityka prywatności musi określać sposób, w jaki aplikacja uzyskuje dostęp do danych użytkowników Google, wykorzystuje, przechowuje lub udostępnia te dane. Musisz ograniczyć wykorzystywanie danych użytkowników Google do praktyk, które są opisane w opublikowanej przez Ciebie polityce prywatności.

Jak przesłać aplikację do weryfikacji

Google Cloud Console Projekt porządkuje wszystkie zasoby Cloud Console . Projekt składa się z zestawu powiązanych kont Google, które mają uprawnienia do wykonywania operacji w projekcie, zestawu włączonych interfejsów API oraz ustawień rozliczeń, uwierzytelniania i monitorowania tych interfejsów. Na przykład projekt może zawierać co najmniej 1 klienta OAuth, konfigurować interfejsy API do użytku przez tych klientów i konfigurować ekran akceptacji OAuth, który jest wyświetlany użytkownikom przed autoryzacją dostępu do aplikacji.

Jeśli któryś z Twoich klientów OAuth nie jest gotowy do wdrożenia w środowisku produkcyjnym, usuń go z projektu, który wysyła prośbę o weryfikację. Możesz to zrobić w  Clients page.

Aby przesłać prośbę o weryfikację, wykonaj te czynności:

  1. Upewnij się, że Twoja aplikacja jest zgodna z Warunkami korzystania z interfejsów API Google i zasadami dotyczącymi danych użytkownika w usługach interfejsów API Google.
  2. Dbaj o aktualność ról właściciela i edytującego na powiązanych kontach projektu, a także adresu e-mail pomocy dla użytkowników i informacji kontaktowych dewelopera na ekranie zgody OAuth w  Cloud Console. Dzięki temu odpowiedni członkowie Twojego zespołu będą otrzymywać powiadomienia o nowych wymaganiach.
  3. Otwórz Cloud ConsoleCentrum weryfikacji OAuth.
  4. Kliknij przycisk Selektor projektów.

  5. W wyświetlonym oknie Wybierz spośród wybierz swój projekt. Jeśli nie możesz znaleźć projektu, ale znasz jego identyfikator, możesz utworzyć adres URL w przeglądarce w tym formacie:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Zastąp [PROJECT_ID] identyfikatorem projektu, którego chcesz użyć.

  6. Kliknij przycisk Edytuj aplikację.
  7. Na stronie ekranu zgody OAuth wpisz wymagane informacje, a następnie kliknij przycisk Zapisz i kontynuuj.
  8. Kliknij przycisk Dodaj lub usuń zakresy, aby zadeklarować wszystkie zakresy, o które prosi Twoja aplikacja. W sekcji Zakresy niewrażliwe jest wstępnie wypełniony początkowy zestaw zakresów niezbędnych do Logowania przez Google. Dodane zakresy są klasyfikowane jako niewrażliwe. sensitive, or restricted
  9. Podaj maksymalnie 3 linki do istotnej dokumentacji dotyczącej powiązanych funkcji w Twojej aplikacji.

  10. W kolejnych krokach podaj dodatkowe informacje o aplikacji, o które Cię poprosimy.

  11. Jeśli podana przez Ciebie konfiguracja aplikacji wymaga weryfikacji, możesz przesłać aplikację do weryfikacji. Wypełnij wymagane pola, a następnie kliknij Prześlij, aby rozpocząć proces weryfikacji.

Po przesłaniu aplikacji zespół ds. bezpieczeństwa i zaufania Google skontaktuje się z Tobą e-mailem, aby poprosić o dodatkowe informacje lub poinstruować Cię, co musisz zrobić. Sprawdź adresy e-mail w sekcji Informacje kontaktowe dewelopera oraz adres e-mail pomocy na ekranie zgody OAuth, aby sprawdzić, czy nie ma tam próśb o dodatkowe informacje. Możesz też wyświetlić stronę ekranu zgody OAuth w projekcie, aby sprawdzić jego obecny stan weryfikacji, w tym czy proces weryfikacji został wstrzymany, ponieważ czekamy na Twoją odpowiedź.

Wyjątki od wymagań weryfikacyjnych

Jeśli Twoja aplikacja będzie używana w którymś z scenariuszy opisanych w kolejnych sekcjach, nie musisz przesyłać jej do sprawdzenia.

Do użytku osobistego

Może to być przydatne, jeśli jesteś jedynym użytkownikiem aplikacji lub jeśli korzysta z niej tylko kilka osób, które znasz osobiście. Ty i ograniczona liczba użytkowników możecie bez obaw przejść przez ekran aplikacji, która nie została zweryfikowana i przyznać osobistym kontom dostęp do aplikacji.

Projekty używane na poziomach Development, Testing lub Staging

Aby zachować zgodność z zasadami Google dotyczącymi protokołu OAuth 2.0, zalecamy używanie różnych projektów w środowiskach testowych i produkcyjnych. Zalecamy przesyłanie aplikacji do weryfikacji tylko wtedy, gdy chcesz udostępnić ją każdemu użytkownikowi mającemu konto Google. Dlatego jeśli aplikacja jest na etapie programowania, testowania lub stagingu, weryfikacja nie jest wymagana.

Jeśli Twoja aplikacja jest w fazie rozwoju lub testów, możesz pozostawić Stan publikowania w ustawieniu domyślnym Testowanie. To ustawienie oznacza, że Twoja aplikacja jest nadal w fazie rozwoju i jest dostępna tylko dla użytkowników, których dodasz do listy testowych. Musisz zarządzać listą kont Google, które są zaangażowane w rozwój lub testowanie aplikacji.

Komunikat ostrzegawczy informujący, że Google nie zweryfikowało aplikacji, która jest testowana.
Rysunek 2. Ekran ostrzeżenia dla testera

Tylko dane należące do usługi

Jeśli Twoja aplikacja używa konta usługi, aby uzyskiwać dostęp tylko do własnych danych, i nie uzyskuje dostępu do danych użytkownika (powiązanych z kontem Google), nie musisz przesyłać jej do weryfikacji.

Aby dowiedzieć się, czym są konta usługi, zapoznaj się z artykułem Konta usługi w dokumentacji Google Cloud. Instrukcje korzystania z konta usługi znajdziesz w artykule Używanie protokołu OAuth 2.0 w aplikacjach międzyserwerowych.

Jest przeznaczony tylko do użytku wewnętrznego

Oznacza to, że aplikacja jest używana tylko przez osoby w Twojej organizacji Google Workspace lub Cloud Identity. Projekt musi należeć do organizacji, a jego ekran akceptacji OAuth musi być skonfigurowany dla wewnętrznego typu użytkownika. W takim przypadku aplikacja może wymagać zatwierdzenia przez administratora organizacji. Więcej informacji znajdziesz w artykule Dodatkowe kwestie dotyczące Google Workspace.

Instalacja w całej domenie

Jeśli planujesz, że Twoja aplikacja będzie kierowana tylko do użytkowników organizacji Google Workspace lub Cloud Identity i zawsze będzie korzystać z instalacji w całej domenie, nie będzie wymagać weryfikacji. Dzieje się tak, ponieważ instalacja w całej domenie umożliwia administratorowi domeny przyznawanie aplikacjom zewnętrznym i wewnętrznym dostępu do danych użytkowników. Tylko administratorzy organizacji mogą dodać aplikację do listy dozwolonych, aby można było jej używać w ich domenach.

Więcej informacji o tym, jak przekształcić aplikację w instalację w całej domenie, znajdziesz w sekcji Najczęstsze pytania. Moja aplikacja ma użytkowników z kontami firmowymi z innej domeny Google Workspace.