所有存取 Google API 的應用程式都必須驗證,確保能準確呈現身分和意圖,如《Google API 服務使用者資料政策》所規定。為保護您和 Google 與您應用程式的共用使用者,您的同意畫面和應用程式可能需要經過 Google 驗證。
如果應用程式符合下列所有條件,就必須通過驗證:
- 在 Google API Console中,應用程式的設定會設為「外部」使用者類型。也就是說,擁有 Google 帳戶的所有使用者都能存取您的應用程式。
- 您希望應用程式在 OAuth 同意畫面中顯示標誌或顯示名稱。
如果加入已驗證的品牌資訊,使用者就更有可能認出您的品牌,並決定授予應用程式存取權。此外,當使用者或 Google Workspace 管理員審查可存取帳戶的第三方應用程式和服務時,已驗證的品牌資訊也能減少日後撤銷存取權的情況。提交驗證申請後,OAuth 同意畫面品牌驗證程序通常需要 2 到 3 個工作天。
如果未提交品牌驗證申請,使用者可能會對您要求存取資料的行為感到不信任,導致授權次數減少,日後也可能撤銷授權。
OAuth 同意畫面
同意畫面會告知使用者,是誰要求存取他們的資料,以及您的應用程式需要代表他們存取哪種資料,如圖 1 方塊 2 中所示。
應用程式通過品牌驗證程序並獲得核准後,授予權限的帳戶就更有可能清楚瞭解應用程式的身分和使用者資料政策。如果帳戶持有人清楚瞭解要求內容,在Google 帳戶頁面審查可能的撤銷要求時,就更有可能授權您的要求,並維持存取權。您在 OAuth 中設定的內容會填入下列元件: Branding page Cloud Console
- 您的應用程式名稱和標誌 (如圖 1 的方塊 1 所示)
- 使用者支援電子郵件地址,選取應用程式名稱後會顯示這個地址 (圖 1 的方塊 2)
- 隱私權政策和服務條款的連結 (圖 1 的方塊 3)
授權網域
在品牌驗證程序中,Google 會要求驗證與應用程式 OAuth 同意畫面和憑證相關聯的所有網域。我們要求您驗證可註冊的網域元件 (公開字尾):即「頂層私有網域」。舉例來說,如果 OAuth 同意畫面設定的應用程式首頁為 https://sub.example.com/product,系統會要求帳戶持有人驗證 example.com 網域的擁有權。
OAuth 同意畫面編輯器的「已授權網域」部分,必須包含「應用程式網域」部分 URI 中使用的頂層私人網域。這些網域包括應用程式首頁、隱私權政策和服務條款。「授權網域」部分也必須包含「網路應用程式」OAuth 用戶端類型中授權的重新導向 URI 和/或 JavaScript 來源。
使用 Google Search Console 驗證授權網域的擁有權。具有網域擁有者權限的 Google 帳戶必須與使用該授權網域的 API Console 專案相關聯。如要進一步瞭解 Google Search Console 中的網域驗證,請參閱「驗證網站擁有權」。
為驗證作業做好準備的步驟
凡是使用 Google API 要求存取資料的應用程式,都必須完成下列步驟,進行品牌驗證:
- 確認您的應用程式不屬於「驗證規定例外情形」一節中的任何用例。
- 請確保應用程式符合相關聯 API 或產品的品牌宣傳規定。舉例來說,請參閱 Google 登入範圍的品牌宣傳指南。
- 在 Google Search Console 中,驗證專案授權網域的擁有權。使用與 API Console 專案相關聯的 Google 帳戶,以擁有者或編輯者身分登入。
- 請確認 OAuth 同意畫面上的所有品牌資訊 (例如應用程式名稱、支援電子郵件、首頁 URI、隱私權政策 URI 等) 均如實呈現應用程式的身分。
應用程式首頁規定
請確認首頁符合下列規定:
- 首頁必須開放所有人存取,不能僅限網站登入使用者存取。
- 首頁與受審查應用程式的關聯性必須清楚明確。
- Google Play 商店的應用程式資訊頁面或 Facebook 粉絲專頁連結,不視為有效的應用程式首頁。
應用程式隱私權政策連結規定
請確認應用程式的隱私權政策符合下列規定:
- 隱私權政策必須向使用者顯示,且與應用程式首頁位於相同網域,並連結至 Google API Console的 OAuth 同意畫面。請注意,首頁必須包含應用程式功能說明,以及隱私權政策和服務條款 (選填) 的連結。
- 隱私權政策必須揭露應用程式存取、使用、儲存或分享 Google 使用者資料的方式。 您使用 Google 使用者資料時,必須遵守已發布隱私權政策揭露的做法。
如何將應用程式送交驗證
Google Cloud Console 專案會整理所有 Cloud Console 資源。專案是由一組相關聯的 Google 帳戶 (有權執行專案作業)、一組已啟用的 API,以及這些 API 的計費、驗證和監控設定組成。舉例來說,專案可以包含一或多個 OAuth 用戶端、設定供這些用戶端使用的 API,以及設定OAuth 同意畫面,在使用者授權存取應用程式前顯示。
如果 OAuth 用戶端尚未準備好用於正式環境,建議您從要求驗證的專案中刪除這些用戶端。你可以在 Clients page中執行這項操作。
如要提交驗證,請按照下列步驟操作:
- 請確保應用程式符合《Google API 服務條款》和《Google API 服務使用者資料政策》的規定。
- 請在 Cloud Console中,將專案相關聯帳戶的擁有者和編輯者角色,以及 OAuth 同意畫面中的使用者支援電子郵件地址和開發人員聯絡資訊,維持在最新狀態。確保團隊中合適的成員收到任何新規定通知。
- 前往 OAuth Cloud Console 驗證中心。
- 按一下「專案選取器」按鈕。
-
在隨即顯示的「Select from」對話方塊中,選取所需專案。如果找不到專案,但知道專案 ID,可以在瀏覽器中依下列格式建構網址:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
將 [PROJECT_ID] 替換為要使用的專案 ID。
- 選取「編輯應用程式」按鈕。
- 在 OAuth 同意畫面頁面輸入必要資訊,然後選取「儲存並繼續」按鈕。
- 使用「新增或移除範圍」按鈕,宣告應用程式要求的所有範圍。系統會在「非敏感範圍」部分預先填入 Google 登入所需的初始範圍。新增的範圍會分類為非機密範圍 sensitive, or restricted。
- 針對應用程式中的相關功能,您最多可以提供三個相關說明文件的連結。
-
在後續步驟中,提供系統要求的應用程式相關額外資訊。
- 如果您提供的應用程式設定需要驗證,您可以提交應用程式進行驗證。填妥必填欄位,然後按一下「提交」,即可開始驗證程序。
提交應用程式後,Google 信任與安全團隊會透過電子郵件追蹤後續情況,並提供所需其他資訊或必須完成的步驟。請檢查「開發人員聯絡資訊」部分中的電子郵件地址,以及 OAuth 同意畫面的支援電子郵件地址,確認是否有要求提供額外資訊的通知。您也可以查看專案的 OAuth 同意畫面頁面,確認專案目前的審查狀態,包括我們是否正在等待您的回覆,因此暫停審查程序。
驗證規定例外狀況
如果應用程式將用於下列章節所述的任何情境,則不必送交審查。
個人使用
舉例來說,如果您的應用程式只有您自己使用,或是只有少數使用者,且您認識這些使用者,您和少數使用者可能可以接受略過「未經驗證的應用程式」畫面,並授予個人帳戶應用程式存取權。
用於開發、測試或暫存層級的專案
為遵守 Google OAuth 2.0 政策,建議您為測試和實際工作環境使用不同的專案。建議您只在想讓擁有 Google 帳戶的所有使用者都能存取應用程式時,才提交應用程式以供驗證。因此,如果應用程式處於開發、測試或預備環境階段,則無須驗證。
如果應用程式處於開發或測試階段,您可以將「發布狀態」保留在預設的「測試中」設定。這項設定表示應用程式仍在開發階段,只有新增至測試使用者清單的使用者才能存取。您必須管理參與應用程式開發或測試的 Google 帳戶清單。
僅限服務擁有的資料
如果應用程式只使用服務帳戶存取自己的資料,且不會存取任何使用者資料 (連結至 Google 帳戶),則無須申請驗證。
如要瞭解服務帳戶,請參閱 Google Cloud 說明文件中的「服務帳戶」。如需如何使用服務帳戶的操作說明,請參閱「針對伺服器對伺服器應用程式使用 OAuth 2.0」一文。
僅限內部使用
也就是說,只有 Google Workspace 或 Cloud Identity 機構的使用者才能使用該應用程式。專案必須由機構擁有,且 OAuth 同意畫面須設定為「內部」使用者類型。在這種情況下,您的應用程式可能需要經過機構管理員核准。詳情請參閱「Google Workspace 的其他注意事項」。
- 進一步瞭解公開和內部應用程式。
- 如要瞭解如何將應用程式標示為內部應用程式,請參閱常見問題解答: 如何將應用程式標示為僅限內部使用?
全網域安裝
如果應用程式只會鎖定 Google Workspace 或 Cloud Identity 機構的使用者,且一律使用網域範圍安裝,則應用程式不需要驗證。這是因為全網域安裝可讓網域管理員授權第三方和內部應用程式存取使用者資料。只有機構管理員帳戶可以將應用程式加入允許清單,供網域內使用。
請參閱常見問題「我的應用程式有來自其他 Google Workspace 網域的企業帳戶使用者」,瞭解如何讓應用程式成為全網域安裝項目。