Делегирование на уровне домена позволяет суперадминистраторам Google Workspace for Education предоставлять сторонним приложениям разрешение на доступ к данным пользователей в своем домене без необходимости получения согласия конкретного пользователя. Делегирование на уровне домена выполняется в консоли администратора Google путем указания идентификатора клиента учетной записи службы или стороннего приложения.
Сервисная учётная запись — это учётная запись, принадлежащая проекту Google Cloud, а не отдельному пользователю. Приложения могут запрашивать доступ к API Google от имени сервисной учётной записи, а не от имени отдельных конечных пользователей. Сервисные учётные записи настраиваются в консоли Google Cloud.
Идентификатор клиента OAuth — это публичный идентификатор, используемый для идентификации приложений на серверах Google.
Настройка делегирования на уровне всего домена
Суперадминистратор Google Workspace может настроить учетную запись службы или идентификатор клиента OAuth с делегированием на уровне домена в консоли администратора.
- В консоли администратора перейдите в Главное меню Безопасность > Управление доступом и данными > Элементы управления API .
- В разделе «Делегирование на уровне домена» выберите «Управление делегированием на уровне домена» .
- Нажмите Добавить новый .
- Введите идентификатор клиента учётной записи службы или идентификатор клиента OAuth приложения в поле «Идентификатор клиента» . В поле «Области OAuth» введите список областей действия OAuth , которые должны быть предоставлены учётной записи службы или приложению.
- Нажмите «Авторизовать» .
Если администратор устанавливает приложение для домена из Google Workspace Marketplace, учётные записи служб, используемые этим приложением, не нужно настраивать вручную. Необходимые разрешения предоставляются автоматически во время установки.
Ресурсы
- Лучшие практики делегирования полномочий на уровне домена