Todos os aplicativos que acessam as APIs do Google devem verificar se representam com precisão sua identidade e intenção específica conforme especificado pelo usuário dos serviços de API do Google Política de Dados. Para proteger você e os usuários compartilhados do Google e do seu app, talvez seja necessário que a tela de consentimento e o aplicativo sejam verificados pelo Google.
Seu app precisará de verificação se atender a todos os critérios a seguir:
- Em Google API Console, a configuração do app é definida para um tipo de usuário Externo. Isso significa que o app está disponível para qualquer usuário com uma conta do do Google.
- Você quer que seu aplicativo mostre um logotipo ou nome de exibição no Tela de permissão OAuth.
Se você incluir informações de marca verificadas, poderá aumentar a probabilidade de um usuário reconhecer sua marca e decide conceder acesso ao app. Informações de marca verificadas também podem levar a ou menos revogações depois, quando um usuário ou administrador do Google Workspace analisa apps e serviços de terceiros com acesso à conta. O processo de verificação de marca da tela de consentimento OAuth geralmente leva 2 a 3 dias dias após o envio para verificação.
Se você não enviar sua inscrição para a verificação de marca, pode haver redução do número de usuários confiança na solicitação dos dados, o que pode levar a menos autorizações de usuários e mais revogações depois.
Tela de permissão OAuth
A tela de consentimento informa aos usuários quem está solicitando acesso aos dados deles e que tipo de dados seus precisa acessar em nome deles, como destacado na caixa 2 da figura 1.
Quando seu app passa pelo processo de verificação de marca e é aprovado, o é mais provável que as políticas de identidade e dados do usuário do aplicativo sejam claramente entendidas pelo que está concedendo a permissão. Essa compreensão clara pode aumentar a probabilidade o titular da conta autoriza suas solicitações e mantém o acesso ao analisar possíveis revogações na página da Conta do Google. O conteúdo que você configura no OAuth Consent Screen page no API Console preenche os seguintes componentes:
- Nome e logotipo do app (como mostrado na caixa 1 da Figura 1)
- Seu e-mail de suporte ao usuário, que aparece depois que o nome do app é selecionado (caixa 2 da figura 1)
- Links para sua Política de Privacidade e Termos de Serviço (Caixa 3 da figura 1)
Domínios autorizados
Como parte do processo de verificação de marca, o Google exige a verificação de todos os domínios associadas à tela de permissão OAuth e às credenciais de um aplicativo. Pedimos que você verifique componente de domínio disponível para registro em um sufixo público: o "parte superior domínio privado." Por exemplo, uma tela de permissão OAuth configurada com um aplicativo página inicial de https://sub.example.com/product solicita que o proprietário da conta faça a confirmação a propriedade do domínio example.com.
A seção Domínios autorizados do editor da tela de permissão OAuth precisa conter as que são usados nos URIs da seção Domínio do app. Esses domínios incluem a página inicial do app, a Política de Privacidade e os Termos de Serviço. A seção Domínios autorizados também precisa incluir os URIs de redirecionamento e/ou as origens do JavaScript autorizadas no seu application" Tipos de clientes OAuth.
Verifique a propriedade dos seus domínios autorizados usando Google Search Console. Uma Conta do Google com permissões de proprietário para um domínio precisa ser associada ao projeto API Console que usa esse domínio autorizado. Para mais informações sobre as verificações de domínio na Pesquisa Google console, consulte Verificar seu site propriedade.
Etapas para se preparar para a verificação
Todos os apps que usam APIs do Google para solicitar acesso a dados precisam seguir estas etapas para concluir a verificação de marca:
- Confirme se o app não se enquadra em nenhum dos casos de uso da seção Exceções aos requisitos de verificação.
- Verifique se o app está em conformidade com os requisitos de marca das APIs associadas ou produto. Por exemplo, consulte as diretrizes da promoção de marca para escopos do Login do Google.
- Verifique a propriedade dos domínios autorizados do seu projeto no Google Search Console. Usar uma Conta do Google A conta associada ao seu API Console projeto como uma proprietário ou editor.
- Verifique se todas as informações de marca na tela de permissão OAuth, como o nome do app, são compatíveis e-mail, URI da página inicial, URI da política de privacidade etc. representa com precisão a identidade do aplicativo.
Requisitos da página inicial do aplicativo
Verifique se a página inicial atende aos seguintes requisitos:
- A página inicial precisa ser acessível ao público, e não apenas aos usuários conectados usuários.
- A relevância da sua página inicial para o app em revisão precisa ser clara.
- Os links para a página "Detalhes do app" do Google Play ou a página do Facebook não são considerados páginas iniciais válidas do aplicativo.
Requisitos para o link da Política de Privacidade do aplicativo
A Política de Privacidade do seu app precisa atender aos seguintes requisitos:
- A Política de Privacidade precisa estar visível para os usuários e estar hospedada no mesmo domínio do seu do aplicativo do Google e vinculados à tela de permissão OAuth do Google API Console: A página inicial deve incluir um descrição da funcionalidade do app, bem como links para a Política de Privacidade e os termos de serviço opcionais.
- A Política de Privacidade precisa divulgar a maneira como o app acessa, usa, armazena ou compartilha dados do usuário do Google. É necessário limitar o uso de dados do usuário do Google às práticas divulgadas na sua Política de Privacidade publicada.
Como enviar seu app para verificação
Um Google API Console projeto organiza todos os seus API Console . Um projeto consiste em um conjunto de Contas do Google associadas que têm permissão para realizar operações de projeto, um conjunto de APIs ativadas e configurações de faturamento, autenticação e monitoramento dessas APIs. Por exemplo, um projeto pode contêm um ou mais clientes OAuth, configura APIs para esses clientes e define uma Tela de consentimento OAuth exibida aos usuários antes que eles autorizem o acesso ao app.
Se algum dos seus clientes OAuth não estiver pronto para produção, sugerimos que você os exclua do projeto que está solicitando a verificação. Você pode fazer isso no Google API Console:
Para enviar para verificação, siga estas etapas:
- Verifique se o aplicativo está em conformidade com os Termos de Serviço das APIs do Google e com os Política de dados do usuário dos Serviços de API do Google.
- Mantenha as funções de proprietário e editor das contas associadas ao projeto atualizadas, bem como o e-mail de suporte ao usuário e os dados de contato do desenvolvedor da tela de consentimento do OAuth, no API Console. Isso garante que os membros corretos equipe de segurança são notificadas sobre novos requisitos.
- Acesse a API Console OAuth Consent Screen page.
- Clique no botão Seletor de projetos.
-
Na caixa de diálogo Selecionar de exibida, selecione seu projeto. Se você não conseguir encontrar projeto, mas souber o ID dele, poderá criar um URL no navegador da seguinte formato:
https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]
Substitua [PROJECT_ID] pelo ID do projeto que você quer usar.
- Selecione o botão Edit App.
- Insira as informações necessárias na página da tela de permissão OAuth e selecione a opção Salvar e continuar.
- Use o botão Adicionar ou remover escopos para declarar todos os escopos solicitados pelo app. Um conjunto inicial de escopos necessários para o Login do Google é preenchido automaticamente na seção Escopos não sensíveis. Os escopos adicionados são classificados como não confidenciais, sensitive, or restricted:
- Forneça até três links para documentos relevantes sobre recursos relacionados no app.
-
Forneça todas as informações adicionais solicitadas sobre seu app nas próximas etapas.
- Se a configuração do app fornecida exigir verificação, você poderá enviá-la o app para verificação. Preencha os campos obrigatórios e clique em Enviar para iniciar o processo de verificação.
Depois de enviar seu app, a equipe de confiança A equipe de segurança faz o acompanhamento por e-mail outras informações de que precisam ou etapas que você precisa concluir. Verifique seus endereços de e-mail na seção Informações de contato do desenvolvedor e no e-mail de suporte da tela de consentimento do OAuth para ver se há solicitações de informações adicionais. Também é possível conferir o consentimento de OAuth do seu projeto página da tela para confirmar o status de revisão atual do projeto, incluindo se o processo de revisão está pausado enquanto aguardamos sua resposta.
Exceções aos requisitos de verificação
Caso seu app seja usado em qualquer um dos cenários descritos nas seções a seguir, não precisará enviá-lo para análise.
Uso pessoal
Um caso de uso é quando você é o único usuário do app ou quando ele é usado por apenas alguns usuários, todos conhecidos pessoalmente por você. Você e seu número limitado de usuários podem se sentir confortáveis com o avanço da app não verificado tela e concedendo às suas contas pessoais acesso ao seu aplicativo.
Projetos usados em camadas de desenvolvimento, teste ou preparação
Para estar em conformidade com as políticas do Google OAuth 2.0, recomendamos que você tenha projetos diferentes para ambientes de teste e de produção. Recomendamos que você envie seu app somente para verificação se quiser disponibilizar o app para qualquer usuário com uma Conta do Google. Portanto, se o seu app está nas fases de desenvolvimento, teste ou preparo, a verificação não é necessária.
Se o app estiver nas fases de desenvolvimento ou teste, você pode sair do Status da publicação usando a configuração padrão Teste. Essa configuração significa que seu app ainda está em desenvolvimento disponível para os usuários que você adicionar à lista de usuários de teste. Você precisa gerenciar a lista de Contas do Google envolvidas no desenvolvimento ou teste do app.
Somente dados de propriedade do serviço
Se o app usa uma conta de serviço para acessar apenas os próprios dados e não acessa nenhum usuário dados (vinculados a uma Conta do Google), você não precisará enviá-los para verificação.
Para entender o que são contas de serviço, consulte Contas de serviço no na documentação do Google Cloud. Para instruções sobre como usar uma conta de serviço, consulte Como usar o OAuth 2.0 de servidor para servidor aplicativos.
Somente para uso interno
Isso significa que o app é usado apenas pelas pessoas no seu Google Workspace ou Cloud Identity organização. O projeto precisa ser de propriedade da organização e da tela de permissão OAuth precisa ser configurado Usuário interno tipo. Nesse caso, talvez o app precise da aprovação de um administrador da organização. Para mais informações, consulte Considerações adicionais para o Google Workspace.
- Saiba mais sobre públicos e aplicativos internos.
- Saiba como marcar seu app como interno nas perguntas frequentes Como posso marcar meu app como interno?
Instalação em todo o domínio
Se você planeja que o app segmente apenas usuários de uma conta do Google Workspace ou do Cloud Identity organização e sempre usam todo o domínio instalação, ele não exigirá a verificação de apps. Isso ocorre porque uma conta de serviço permite que um administrador de domínio conceda a apps internos e de terceiros acesso aos dos seus usuários dados. Os administradores da organização são as únicas contas que podem adicionar o app a um lista de permissões para uso nos próprios domínios.
Saiba como tornar seu app uma instalação em todo o domínio nas Perguntas frequentes Meu aplicativo tem usuários com contas empresariais de outro domínio do Google Workspace.