Mit der domainweiten Delegierung können Super Admins von Google Workspace for Education Drittanbieteranwendungen die Berechtigung erteilen, auf Daten von Nutzern in ihrer Domain zuzugreifen, ohne dass die Einwilligung eines bestimmten Nutzers erforderlich ist. Die domainweite Delegation erfolgt in der Google Admin-Konsole, indem die Client-ID eines Dienstkontos oder einer Drittanbieteranwendung angegeben wird.
Ein Dienstkonto ist ein Konto, das zu einem Google Cloud-Projekt gehört und nicht zu einem einzelnen Nutzer. Anwendungen können im Namen des Dienstkontos und nicht im Namen einzelner Endnutzer Zugriff auf Google-APIs anfordern. Dienstkonten werden in der Google Cloud Console eingerichtet.
Eine OAuth-Client-ID ist eine öffentliche Kennung, mit der Anwendungen bei Google-Servern identifiziert werden.
Domainweite Delegierung einrichten
Ein Google Workspace-Super Admin kann das Dienstkonto oder die OAuth-Client-ID mit domainweiter Delegierung in der Admin-Konsole einrichten.
- Rufen Sie in der Admin-Konsole das Hauptmenü > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung auf.
- Wählen Sie unter Domainweite Delegierung die Option Domainweite Delegierung verwalten aus.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie die Client-ID des Dienstkontos oder die OAuth-Client-ID der Anwendung in das Feld Client-ID ein. Geben Sie im Feld OAuth-Bereiche die Liste der OAuth-Bereiche ein, die dem Dienstkonto oder der Anwendung gewährt werden sollen.
- Klicken Sie auf Autorisieren.
Wenn ein Administrator eine Anwendung für eine Domain über den Google Workspace Marketplace installiert, müssen die von dieser Anwendung verwendeten Dienstkonten nicht manuell eingerichtet werden. Die erforderlichen Berechtigungen werden automatisch bei der Installation bereitgestellt.
Ressourcen
- Best Practices für die domainweite Delegierung