Invia per la verifica del brand

Tutte le app che accedono alle API di Google devono verificare di rappresentare con precisione la propria identità e il proprio intento, come specificato dalle Norme relative ai dati utente dei servizi API di Google. Per proteggere te e gli utenti condivisi di Google e della tua app, la tua applicazione e la tua schermata di consenso potrebbero dover essere verificate da Google.

La tua app richiede la verifica se soddisfa tutti i seguenti criteri:

  • In Google API Console, la configurazione della tua app è impostata per un tipo di utente Esterno. Ciò significa che la tua app è disponibile per qualsiasi utente con un Account Google.
  • Vuoi che la tua applicazione mostri un logo o un nome visualizzato nella schermata per il consenso OAuth.

Se includi informazioni sul brand verificate, puoi aumentare la probabilità che un utente riconosca il tuo brand e decida di concedere l'accesso alla tua app. Le informazioni sul brand verificate possono anche comportare un minor numero di revoche in un secondo momento, quando un utente o un amministratore Google Workspace esamina app e servizi di terze parti con accesso all'account. La procedura di verifica del brand della schermata di consenso OAuth in genere richiede 2-3 giorni lavorativi dopo l'invio della richiesta di verifica.

Se non invii la richiesta di verifica del brand, la fiducia degli utenti nella tua richiesta dei loro dati potrebbe diminuire, il che potrebbe comportare un minor numero di autorizzazioni degli utenti e un maggior numero di revoche in un secondo momento.

La schermata per il consenso indica agli utenti chi richiede l'accesso ai loro dati e a quale tipo di dati la tua app deve accedere per loro conto, come evidenziato nel riquadro 2 della figura 1.

Quando la tua app supera la procedura di verifica del brand e riceve l'approvazione, le norme relative all'identità dell'applicazione e ai dati utente hanno maggiori probabilità di essere comprese chiaramente dall'account che concede l'autorizzazione. Questa comprensione chiara può aumentare la probabilità che un titolare dell'account autorizzi le tue richieste e mantenga l'accesso quando esamina le possibili revoche nella pagina Account Google. I contenuti che configuri in OAuth Branding page nella Cloud Console vengono inseriti nei seguenti componenti:

  1. Il nome e il logo della tua app (come mostrato nella casella 1 della Figura 1)
  2. L'email di assistenza utenti, che viene visualizzata dopo aver selezionato il nome dell'app (casella 2 della figura 1)
  3. Link alle norme sulla privacy e ai termini di servizio (casella 3 della figura 1)
Le etichette numerate illustrano le diverse funzionalità di una schermata per il consenso OAuth di un progetto con informazioni sul brand approvate.
Figura 1. Mockup della schermata per il consenso OAuth.

Domini autorizzati

Nell'ambito della procedura di verifica del brand, Google richiede la verifica di tutti i domini associati alle credenziali e alla schermata per il consenso per l'ambito OAuth di un'applicazione. Ti chiediamo di verificare il componente del dominio disponibile per la registrazione su un suffisso pubblico: il "dominio privato di primo livello". Ad esempio, una schermata per il consenso OAuth configurata con una home page dell'applicazione di https://sub.example.com/product chiede al titolare dell'account di verificare la proprietà del dominio example.com.

La sezione Domini autorizzati dell'editor della schermata di consenso OAuth deve contenere i domini privati di primo livello utilizzati negli URI della sezione Dominio app. Questi domini includono la home page, le norme sulla privacy e i termini di servizio dell'app. La sezione Domini autorizzati deve includere anche gli URI di reindirizzamento e/o le origini JavaScript autorizzate nei tipi di client OAuth "Applicazione web".

Verifica la proprietà dei tuoi domini autorizzati utilizzando Google Search Console. Un Account Google con autorizzazioni di proprietario per un dominio deve essere associato al progetto API Console che utilizza quel dominio autorizzato. Per ulteriori informazioni sulle verifiche del dominio in Google Search Console, vedi Verificare la proprietà del sito.

Passaggi per prepararsi alla verifica

Tutte le app che utilizzano le API di Google per richiedere l'accesso ai dati devono eseguire i seguenti passaggi per completare la verifica del brand:

  1. Verifica che la tua app non rientri in nessuno dei casi d'uso descritti nella sezione Eccezioni ai requisiti di verifica.
  2. Assicurati che la tua app rispetti i requisiti di branding delle API o del prodotto associati. Ad esempio, consulta le linee guida per il branding per gli ambiti di Accedi con Google.
  3. Verifica la proprietà dei domini autorizzati del tuo progetto in Google Search Console. Utilizza un Account Google associato al tuo progetto come proprietario o editor. API Console
  4. Assicurati che tutte le informazioni sul brand nella schermata per il consenso OAuth, come il nome dell'app, l'email di assistenza, l'URI della home page, l'URI dell'informativa sulla privacy e così via, rappresentino con precisione l'identità dell'app.

Requisiti della home page dell'applicazione

Assicurati che la tua home page soddisfi i seguenti requisiti:

  • La tua home page deve essere accessibile pubblicamente e non solo agli utenti che hanno eseguito l'accesso al tuo sito.
  • La pertinenza della home page rispetto all'app in fase di revisione deve essere chiara.
  • I link alla scheda della tua app sul Google Play Store o alla sua pagina Facebook non sono considerati pagine iniziali dell'applicazione valide.

Requisiti per il link alle norme sulla privacy dell'applicazione

Assicurati che le norme sulla privacy della tua app soddisfino i seguenti requisiti:

  • Le norme sulla privacy devono essere visibili agli utenti, ospitate nello stesso dominio della home page dell'applicazione e collegate nella schermata per il consenso OAuth di Google API Console. Tieni presente che la home page deve includere una descrizione della funzionalità dell'app, nonché link alle norme sulla privacy e ai termini di servizio opzionali.
  • Le norme sulla privacy devono indicare la modalità di accesso, utilizzo, memorizzazione o condivisione dei dati utente di Google da parte della tua applicazione. Devi limitare l'utilizzo dei dati utente di Google alle pratiche descritte nelle norme sulla privacy pubblicate.

Come richiedere la verifica della tua app

Un Google Cloud Console progetto organizza tutte le tue risorse Cloud Console . Un progetto è composto da un insieme di account Google associati che dispongono dell'autorizzazione per eseguire operazioni sul progetto, un insieme di API abilitate e impostazioni di fatturazione, autenticazione e monitoraggio per queste API. Ad esempio, un progetto può contenere uno o più client OAuth, configurare le API da utilizzare da questi client e configurare una schermata per il consenso OAuth che viene mostrata agli utenti prima che autorizzino l'accesso alla tua app.

Se uno dei tuoi client OAuth non è pronto per la produzione, ti consigliamo di eliminarlo dal progetto che richiede la verifica. Puoi farlo in Clients page.

Per inviare la richiesta di verifica:

  1. Assicurati che la tua app sia conforme ai Termini di servizio delle API di Google e alle Norme relative ai dati utente dei servizi API di Google.
  2. Mantieni aggiornati i ruoli di proprietario ed editor degli account associati al progetto, nonché l'email per l'assistenza utente e i dati di contatto dello sviluppatore della schermata per il consenso OAuth in Cloud Console. In questo modo, i membri corretti del tuo team vengono informati di eventuali nuovi requisiti.
  3. Vai al Cloud Console Centro di verifica OAuth.
  4. Fai clic sul pulsante Selettore progetti.

  5. Nella finestra di dialogo Seleziona da visualizzata, seleziona il tuo progetto. Se non riesci a trovare il tuo progetto, ma conosci il suo ID, puoi creare un URL nel browser nel seguente formato:

    https://console.developers.google.com/auth/branding?project=[PROJECT_ID]

    Sostituisci [PROJECT_ID] con l'ID progetto che vuoi utilizzare.

  6. Seleziona il pulsante Modifica app.
  7. Inserisci le informazioni necessarie nella pagina della schermata per il consenso OAuth, quindi seleziona il pulsante Salva e continua.
  8. Utilizza il pulsante Aggiungi o rimuovi ambiti per dichiarare tutti gli ambiti richiesti dalla tua app. Un insieme iniziale di ambiti necessari per Accedi con Google è precompilato nella sezione Ambiti non sensibili. Gli ambiti aggiunti sono classificati come non sensibili, sensitive, or restricted.
  9. Fornisci fino a tre link a documentazione pertinente per le funzionalità correlate nella tua app.

  10. Fornisci eventuali informazioni aggiuntive richieste sulla tua app nei passaggi successivi.

  11. Se la configurazione dell'app che fornisci richiede la verifica, hai la possibilità di inviare l'app per la verifica. Compila i campi obbligatori e poi fai clic su Invia per avviare la procedura di verifica.

Dopo l'invio dell'app, il team Trust & Safety di Google ti contatterà via email per richiedere eventuali informazioni aggiuntive o passaggi da completare. Controlla i tuoi indirizzi email nella sezione Informazioni di contatto dello sviluppatore e l'email di assistenza della schermata per il consenso OAuth per le richieste di ulteriori informazioni. Puoi anche visualizzare la pagina della schermata per il consenso OAuth del progetto per confermare lo stato attuale della revisione, incluso se la procedura di revisione è in pausa in attesa di una tua risposta.

Eccezioni ai requisiti di verifica

Se la tua app verrà utilizzata in uno degli scenari descritti nelle sezioni seguenti, non devi inviarla per la revisione.

Utilizzo personale

Un caso d'uso è se sei l'unico utente della tua app o se la tua app viene utilizzata solo da pochi utenti, che conosci personalmente. Tu e il tuo numero limitato di utenti potreste sentirvi a vostro agio con l'avanzamento nella schermata dell'app non verificata e con la concessione dell'accesso dei tuoi account personali alla tua app.

Progetti utilizzati nei livelli Sviluppo, Test o Staging

Per rispettare i criteri Google OAuth 2.0, ti consigliamo di utilizzare progetti diversi per gli ambienti di test e di produzione. Ti consigliamo di inviare la tua app per la verifica solo se vuoi renderla disponibile a qualsiasi utente con un Account Google. Pertanto, se la tua app è in fase di sviluppo, test o gestione temporanea, la verifica non è obbligatoria.

Se la tua app è in fase di sviluppo o test, puoi lasciare lo Stato di pubblicazione nell'impostazione predefinita di Test. Questa impostazione indica che la tua app è ancora in fase di sviluppo ed è disponibile solo per gli utenti che aggiungi all'elenco di utenti di test. Devi gestire l'elenco degli Account Google coinvolti nello sviluppo o nel test della tua app.

Messaggio di avviso che indica che Google non ha verificato un'app in fase di test.
Figura 2. Schermata di avviso per i tester

Solo dati di proprietà del servizio

Se la tua app utilizza un service account per accedere solo ai propri dati e non accede a dati utente (collegati a un Account Google), non devi richiedere la verifica.

Per capire cosa sono i service account, consulta la sezione Service account nella documentazione di Google Cloud. Per istruzioni su come utilizzare un service account, consulta Utilizzo di OAuth 2.0 per applicazioni server-to-server.

Solo per uso interno

Ciò significa che l'app viene utilizzata solo dalle persone della tua organizzazione Google Workspace o Cloud Identity. Il progetto deve essere di proprietà dell'organizzazione e la relativa schermata per il consenso OAuth deve essere configurata per un tipo di utente interno. In questo caso, la tua app potrebbe richiedere l'approvazione di un amministratore dell'organizzazione. Per maggiori informazioni, vedi Ulteriori considerazioni per Google Workspace.

Installazione a livello di dominio

Se prevedi che la tua app abbia come target solo gli utenti di un'organizzazione Google Workspace o Cloud Identity e utilizzi sempre l'installazione a livello di dominio, la tua app non richiederà la verifica. Questo perché un'installazione a livello di dominio consente a un amministratore di dominio di concedere alle applicazioni interne e di terze parti l'accesso ai dati dei tuoi utenti. Gli amministratori dell'organizzazione sono gli unici account che possono aggiungere l'app a una lista consentita per l'utilizzo all'interno dei propri domini.

Scopri come rendere la tua app un'installazione a livello di dominio nelle domande frequenti La mia applicazione ha utenti con account aziendali di un altro dominio Google Workspace.