Kısıtlanmış kapsam doğrulaması

Belirli Google API'leri ( Hassas veya Kısıtlanmış kapsamlar) (tüketici verilerine erişim izni isteyen uygulamalarla ilgili olarak) Kısıtlanmış kapsamlarla ilgili bu ek koşullar bir uygulamanın, izin verilen bir uygulama türü olduğunu kanıtlamasını ve olası güvenlik değerlendirmelerini de içeren ek incelemeler.

Bir API'de kısıtlanmış kapsamların uygulanabilirliği büyük ölçüde erişim derecesine bağlıdır uygulamanızda alakalı bir özellik sağlamak için gereklidir: salt okunur, salt okunur, okuma ve yazma, vb.

Bu verilere erişmek üzere bir Google Hesabından izin almak için OAuth 2.0 kullandığınızda erişmek istediğiniz veri türünü ve erişim kapsamının belirlenmesi için kapsamlar adı verilen dizeler ihtiyacınız olacak. Uygulamanız hassas veya kısıtlanmış kapsamlar istiyorsa uygulamanızın kullanımı istisna kapsamında olmadığı sürece doğrulama sürecini tamamlamanız gerekir.

Kısıtlanmış kapsamların sayısı, hassas kapsamlara kıyasla daha azdır. Hassas ve Kısıtlanmış kapsamların güncel listesi Doğrulama: OAuth API Doğrulama ile İlgili SSS başlıklı makalede yer almaktadır. Bu kapsamlar, Google kullanıcı verilerine kapsamlı erişim sağlar ve kapsam doğrulamasından geçmeniz gerekir. işleme almanız gerekir. Bu konuda, koşuluna bakın. Google API Hizmetleri Kullanıcı Verileri Politikası'nı inceleyin. ve Belirli API kapsamları için ek şartlar veya . Kısıtlı bir kapsamı depoluyor veya aktarıyorsanız için bir güvenlik adımını tamamlamanız gerekir. göz önünde bulundurun.

Kısıtlanmış kapsamları anlama

Uygulamanız kısıtlanmış kapsamlar talep ediyorsa ve istisna kapsamına girmiyorsa Google API Hizmetleri Kullanıcı Verileri Politikası'nın Belirli API Kapsamları İçin Ek Gereksinimler'ini veya ürünün Google Geliştirici Sayfası'ndaki ürüne özgü şartları karşılamanız gerekir. Bu işlem daha kapsamlı bir inceleme sürecini gerektirir.

Kapsam kullanımınızı anlama

  • Uygulamanızın kullandığı veya kullanmak istediğiniz kapsamları inceleyin. Mevcut kapsam kullanımınızı bulmak için: Yetkilendirme istekleriyle gönderilen kapsamlar için uygulamanızın kaynak kodunu inceleyin.
  • İstenen her kapsamın, uygulama özelliğinizin amaçlanan işlemleri için gerekli olduğunu belirleme ve özelliği sağlamak için gereken en az ayrıcalığı kullanır. Bir Google API'si genelde Google Geliştirici sayfasının uç noktaları için veya içindeki belirli özellikler. Uygulamanızın çağırdığı API uç noktaları için gerekli erişim kapsamları hakkında daha fazla bilgi edinmek isterseniz bu uç noktaların referans dokümanlarını okuyun. For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
  • Bir Google API'sinden aldığınız veriler yalnızca Google API'lerinin politikalarına uygun şekilde kullanılmalıdır. ve kullanıcılarınıza sunum biçiminizle ilgili olarak, API'yi ve uygulamanızın Gizlilik Politikası.
  • Potansiyeli de dahil olmak üzere her kapsam hakkında daha fazla bilgi edinmek için API belgelerine bakın sensitive or restricted durumu.
  • Uygulamanızın kullandığı tüm kapsamları, API Console'ın OAuth kullanıcı rızası ekranı yapılandırması kapsamları sayfasında belirtin. Belirttiğiniz kapsamlar, gerekli olan ek doğrulamaları vurgulamak için hassas veya kısıtlı kategoriler halinde gruplandırılır.
  • Entegrasyonunuzun kullandığı verilerle en iyi eşleşen kapsamı bulun, kullanım şeklini anlayın, her şeyin bir test ortamında hâlâ çalıştığını tekrar teyit etmek ve daha sonra doğrulama.

yeni bir kapsam gerektiren yeni özelliklere göz atabilirsiniz. Bu ek şartlardan biri, Uygulama, bir sunucudan veya sunucu aracılığıyla Google kullanıcı verilerine eriştiğinde veya bu verilere erişme olanağına sahip olduğunda. İçinde bu gibi durumlarda sistemin yıllık bağımsız bir üçüncü taraf değerlendirmeciden güvenlik değerlendirmesi izin verilir. Bu nedenle, kısıtlanmış kapsamları doğrulama süreci birkaç hafta sürebilir. Tüm uygulamaların brand [marka] doğrulama adımının ilk adımıdır. Bu işlem, marka bilgileri mevcutsa genellikle 2-3 iş günü sürer. Onaylanan son OAuth izin ekranı doğrulamasından bu yana değişti.

İzin verilen uygulama türleri

Belirli uygulama türleri, her ürün için kısıtlanmış kapsamlara erişebilir. Daha fazla ürünlere özgü uygulama türleri Google Geliştirici Sayfası (örneğin, Gmail API Politikası).

Uygulamanızın türünü anlamak ve belirlemek sizin sorumluluğunuzdadır. Ancak, uygulamanızın uygulama türünden gerçekten emin değilseniz hayır doğrulama için uygulamayı gönderirken Hangi özellikleri kullanacaksınız? sorusuna ilişkin seçeneklere dikkat edin. Ardından, uygulama türünü Google API'nin doğrulama ekibi belirler.

Güvenlik değerlendirmesi

Google kullanıcılarının verilerine erişmek isteyen her uygulama Kısıtlanmış verilere erişimi vardır ve bu verilere üçüncü taraf sunucudan alınan veya bu sunucu üzerinden gelen veriler, Google tarafından yetkilendirilen güvenlik denetleyiciler. Bu değerlendirme, Google kullanıcılarının verileri güvende tutmak için Google kullanıcı verilerine erişen tüm uygulamaların veri işleme özelliğine sahip olduğunu doğrulama ve kullanıcının isteği üzerine kullanıcı verilerini silmek için kullanılabilir.

Güvenlik değerlendirmemizi standart hale getirmek için App Defense Alliance ve bulut uygulama güvenliğini değerlendirme çerçevesi (CASA)

Daha önce belirtildiği gibi, doğrulanmış kısıtlanmış kapsamlara erişmeye devam etmek için uygulamaların doğrulama işleminden sonra en az 12 ayda bir güvenlik değerlendirmesini tamamlayın ve değerlendiricinin Değerlendirme Belgesi'nin (LOA) onay tarihini alır. Uygulamanız yeni bir kısıtlanmış kapsam eklerse önceki bir güvenlik değerlendirmesine dahil edilmemişse ek kapsamı içerecek şekilde uygulamanızın yeniden değerlendirilmesi gerekebilir.

Uygulamanızın yeniden onaylanması gerektiğinde Google inceleme ekibi size e-posta gönderir. bu yıllık yaptırım hakkında bilgilendirilmeyi, ayrıca Google Projenizin Sahibi veya API Console sahip olduğu hesaplar Düzenleyici. Ayrıca, Google API Console OAuth Consent Screen page'ta belirtilen kullanıcı desteği ve geliştirici iletişim e-postalarının güncel tutulmasına da yardımcı olur.

Doğrulamaya hazırlanma adımları

Verilere erişim isteğinde bulunmak için Google API'lerini kullanan tüm uygulamalar aşağıdaki adımları uygulamalıdır: Marka doğrulamasını tamamlayın:

  1. Uygulamanızın Doğrulama şartlarıyla ilgili istisnalar bölümüne bakın.
  2. Uygulamanızın, ilişkili API'lerin marka bilinci oluşturma şartlarına uyduğundan emin olun veya belirler. Örneğin, marka bilinci oluşturma kurallarına bakın. kapsama dahil edilmiştir.
  3. Projenizin yetkilendirilmiş alanların Google Search Console. Google hesabı kullanın Şu adla projenizle ilişkilendirilen API Console hesap: Sahip veya Düzenleyici.
  4. OAuth izin ekranında, uygulama adı, destek gibi tüm marka bilgilerinin bulunduğundan emin olun e-posta, ana sayfa URI'si, gizlilik politikası URI'si vb., uygulamanın kimliğini doğru bir şekilde temsil eder.

Uygulama ana sayfa gereksinimleri

Ana sayfanızın aşağıdaki şartları karşıladığından emin olun:

  • Ana sayfanız, yalnızca sitenize giriş yapan kişiler tarafından değil, herkesin erişimine açık olmalıdır. yardımcı olur.
  • Ana sayfanızın incelenmekte olan uygulamayla alaka düzeyi net olmalıdır.
  • Uygulamanızın Google Play Store'daki veya Facebook sayfasındaki girişine yönlendiren bağlantılar dikkate alınmaz. geçerli uygulama ana sayfaları oluşturun.

Uygulamanın gizlilik politikası bağlantı şartları

Uygulamanızın gizlilik politikasının aşağıdaki şartlara uyduğundan emin olun:

  • Gizlilik politikası, kullanıcılar tarafından görülebilmeli ve web sitenizle aynı alanda barındırılmalıdır. ve uygulamanın OAuth izin ekranında bağlantısı verilmiş Google API ConsoleAna sayfanın, uygulamanın işlevinin açıklamasının yanı sıra gizlilik politikasının ve isteğe bağlı hizmet şartlarının bağlantılarını içermesi gerektiğini unutmayın.
  • Gizlilik politikası, uygulamanızın Google’a veya üçüncü taraf uygulamasına Google kullanıcı verilerini depolaması veya paylaşması. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. Google kullanıcı verilerini kullanımınızı, yayınladığınız uygulamalarla açıklamalarına dikkat edin.
  • Review example cases of privacy policies that don't meet the Limited Use requirements.

Uygulamanızı doğrulamaya gönderme

Google API Console Proje, sahip olduğunuz tüm API Console kaynaklar. Proje, projenin kendisi için Proje işlemlerini gerçekleştirme izni olan Google Hesapları, bir dizi etkin API ve faturalandırma, kimlik doğrulama ve izleme ayarlarını değiştirebilirsiniz. Örneğin bir proje Bir veya daha fazla OAuth istemcisi içerebilir, bu istemcilerin kullanması için API'leri yapılandırabilir ve Uygulamanıza erişimi yetkilendirmeden önce kullanıcılara gösterilen OAuth izin ekranı.

OAuth istemcilerinizden herhangi biri üretime hazır değilse doğrulama isteyen projeden silmenizi öneririz. Bu işlemi Google API Console

Doğrulamaya göndermek için şu adımları uygulayın:

  1. Uygulamanızın Google API'leri Hizmet Şartları'na ve Google API Hizmetleri Kullanıcı Verileri Politikası.
  2. Projenizin ilişkili hesaplarının sahip ve düzenleyici rollerini, OAuth izin ekranınızın kullanıcı desteği e-posta adresini ve geliştirici iletişim bilgilerini API Consolehesabınızda güncel tutun. Böylece ekip üyelerinizin doğru ekibi yeni gereklilikler konusunda bilgilendirilir.
  3. Şu sayfaya gidin: API Console OAuth Consent Screen page.
  4. Proje seçici düğmesini tıklayın.

  5. Görünen Şunlardan birini seçin iletişim kutusunda projenizi seçin. proje kimliğinizi biliyorsanız aşağıdaki adımları uygulayarak tarayıcınızda bir URL oluşturabilirsiniz: biçim:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    [PROJECT_ID] kısmını, kullanmak istediğiniz proje kimliğiyle değiştirin.

  6. Uygulamayı Düzenle düğmesini seçin.
  7. OAuth izin ekranı sayfasında gerekli bilgileri girin ve Kaydet ve devam et düğmesini tıklayın.
  8. Uygulamanızın istediği tüm kapsamları bildirmek için Kapsam ekle veya kaldır düğmesini kullanın. Google ile Oturum Açma için gereken ilk kapsamlar, Hassas olmayan kapsamlar bölümüne bakın. Eklenen kapsamlar hassas olmayan, sensitive, or restricted
  9. Uygulamanızdaki ilgili özelliklerle ilgili belgelere en fazla üç bağlantı ekleyin.

  10. Sonraki adımlarda uygulamanızla ilgili istenen ek bilgileri sağlayın.

    1. Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
    2. Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
    3. If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.

    4. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

      1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
      2. Show that the OAuth consent screen correctly displays the App Name.
      3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
      4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
      5. If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
    5. Select your permitted application type from the "What features will you use?" list.
    6. Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
  11. Sağladığınız uygulama yapılandırması için doğrulama gerekiyorsa doğrulama işlemini bu uygulamayı kullanabilirsiniz. Zorunlu alanları doldurun ve ardından Gönder'i tıklayarak doğrulama sürecidir.

Uygulamanızı gönderdikten sonra Güvenlik ekibi herhangi bir sorun olduğunda gereken ek bilgileri veya tamamlamanız gereken adımları içerir. Daha fazla bilgi istekleri için Geliştirici iletişim bilgileri bölümündeki e-posta adreslerinizi ve OAuth izin ekranınızın destek e-posta adresini kontrol edin. Yanıtınızı beklerken inceleme sürecinin duraklatılıp duraklatılmadığı da dahil olmak üzere projenizin mevcut inceleme durumunu onaylamak için projenizin OAuth izin ekranı sayfasını da görüntüleyebilirsiniz.

Doğrulama koşullarındaki istisnalar

Uygulamanız aşağıdaki bölümlerde açıklanan senaryolardan herhangi birinde kullanılacaksa bunun için göndermeniz gerekmez.

Kişisel kullanım

Örneğin, uygulamanızın tek kullanıcısı sizseniz veya uygulamanız yalnızca birkaç kullanıcı tarafından kullanılıyorsa ve bu kullanıcıların tümü sizin tanıdığınız kişilerse bu yöntemi kullanabilirsiniz. Sınırlı sayıda kullanıcınız olduğu için proje yaşam döngüsü boyunca doğrulanmamış uygulama ekranına ekleyerek ve kişisel hesaplarınıza uygulamanıza erişim izni verebilirsiniz.

Geliştirme, Test veya Hazırlama katmanlarında kullanılan projeler

Google OAuth 2.0 Politikaları'na uymak için test ve üretim ortamları için farklı projeleriniz olmasını öneririz. Uygulamanızı yalnızca doğrulama için göndermenizi öneririz uygulamanızı Google Hesabı olan tüm kullanıcılara sunmak istiyorsanız. Bu nedenle, uygulamanız test veya hazırlık aşamasındaysa doğrulama gerekmez.

Uygulamanız geliştirme veya test aşamasındaysa Yayınlanma Durumu (varsayılan ayarda) Test. Bu ayar, uygulamanızın hâlâ geliştirme aşamasında olduğu ve yalnızca eklediğiniz tüm kullanıcılara sunulsun. Google Hesapları listesini yönetmelisiniz dahil olan tüm kullanıcıları kapsar.

Google'ın test aşamasındaki bir uygulamayı doğrulamadığını belirten uyarı mesajı.
Şekil 1. Test kullanıcısı uyarı ekranı

Yalnızca hizmete ait veriler

Uygulamanız yalnızca kendi verilerine erişmek için bir hizmet hesabı kullanıyorsa ve herhangi bir kullanıcı verisi (Google Hesabı'na bağlı) erişmiyorsa doğrulama için göndermeniz gerekmez.

Hizmet hesaplarının ne olduğunu anlamak için Google Cloud dokümanlarında Hizmet hesapları bölümüne bakın. Bir hizmet hesabının nasıl kullanılacağıyla ilgili talimatlar için bkz. Sunucudan sunucuya OAuth 2.0 kullanma uygulamalar.

Yalnızca dahili kullanım

Bu, uygulamanın yalnızca Google Workspace veya Cloud Identity kuruluşunuzdaki kullanıcılar tarafından kullanılacağı anlamına gelir. Projenin sahibi kuruluş olmalıdır ve OAuth izin ekranının dahili kullanıcı türü için yapılandırılması gerekir. Bu durumda, uygulamanızın bir kuruluş yöneticisinden onay alması gerekebilir. Örneğin, daha fazla bilgi için Ek göz önünde bulundurun.

Alan genelinde yükleme

Uygulamanızı yalnızca Google Workspace veya Cloud Identity kullanıcılarını hedeflemeyi planlıyorsanız ve her zaman alan genelinde kullanın yükleme yaparsanız uygulamanız uygulama doğrulaması gerektirmez. Bunun nedeni, alan genelinde bir bir alan yöneticisinin kullandığı üçüncü taraf ve dahili uygulamaların kullanıcılarınızın dışı verilerdir. Uygulamayı bir izin verilenler listesine eklemelerini isteyin.

Uygulamanızı nasıl alan genelinde yükleme yapacağınızı Uygulamam başka bir Google Workspace alanından kurumsal hesapları olan kullanıcılara sahip başlıklı SSS bölümünden öğrenebilirsiniz.