配置 OAuth

发布应用时,您需要完成身份验证和授权的 4 大任务:

  1. 填写 OAuth 权限请求页面
  2. 创建 OAuth 2.0 凭据
  3. 配置应用需要在 Google Workspace Marketplace SDK 中运行的所有范围
  4. 提交您的应用进行 OAuth 验证

您向各个地点添加的范围必须一致,并按以下方式使用:

  • 添加到 OAuth 同意屏幕的范围将用于 OAuth 验证。
  • 添加到 Google Workspace Marketplace SDK 中的范围可用于全网域和个别安装,以便在您的应用从 Google Workspace Marketplace 安装时为其授权。
  • 为了使应用正常运行,添加到清单中的范围是必要的。

例如,如果您发布的应用包含 Google 表格插件和 Google 文档插件,则每个插件的 Apps 脚本清单将仅包含该插件的专用范围。在您的 Google Cloud 项目中,OAuth 同意屏幕和 Google Workspace Marketplace SDK 均包含这两个插件的范围。

前提条件

OAuth 同意屏幕是一种提示,会告知用户谁在请求访问其数据,以及用户允许您的应用访问哪些类型的数据。

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > OAuth 同意屏幕

    转到 OAuth 同意屏幕

  2. 为您的应用选择用户类型,然后点击创建
  3. 填写应用注册表单,然后点击保存并继续
  4. 如果您要创建在 Google Workspace 组织外部使用的应用,请点击添加或移除范围。我们建议在选择范围时采用以下最佳做法:

    • 选择可提供应用所需的最低访问权限级别的范围。如需查看可用范围的列表,请参阅适用于 Google API 的 OAuth 2.0 范围
    • 查看以下三个部分中列出的范围:非敏感范围、敏感范围和受限范围。对于“您的敏感范围”或“您的受限范围”部分中列出的任何范围,请尝试确定其他非敏感范围,以避免不必要的额外审核。
    • 部分范围需要经过 Google 的额外审核。对于仅供 Google Workspace 组织内部使用的应用,范围不会列在同意屏幕上,并且使用受限范围或敏感范围不需要 Google 进一步审核。如需了解详情,请参阅范围类别
  5. 选择您的应用所需的范围后,点击保存并继续
  6. 如果您选择了外部作为用户类型,请添加测试用户:
    1. 测试用户下,点击添加用户
    2. 输入您的电子邮件地址和任何其他获得授权的测试用户,然后点击保存并继续
  7. 查看您的应用注册摘要。如要进行更改,请点击修改。如果应用注册看起来正常,请点击 Back to Dashboard

2. 创建 OAuth 2.0 凭据

您可以通过两种不同的方式来创建 OAuth 2.0 凭据,具体取决于您构建应用的方式。

如果您的应用是使用 Apps 脚本构建的

将您的 Apps 脚本项目从默认的 Google Cloud 项目切换到新的标准项目。请参阅切换到其他标准项目

将 Apps 脚本项目与 Google Cloud 项目关联后,系统会自动创建 OAuth 2.0 凭据。

如果您未使用 Apps 脚本构建应用

如需创建 OAuth 2.0 凭据,请参阅 OAuth 客户端 ID 凭据

3. 配置范围

请提供您的应用所需的 OAuth 范围的完整列表。请始终使用尽可能窄的范围。

如需定义授予应用的访问权限级别,您需要确定并声明授权范围。授权范围是一个 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、所访问的数据类型和访问权限级别。范围是您的应用对 Google Workspace 数据(包括用户的 Google 账号数据)的处理请求。

安装应用时,系统会要求用户验证应用使用的范围。通常,您应尽可能选择范围最窄的范围,并避免请求应用不需要的范围。用户更容易授予对明确说明的有限范围的访问权限。

4. 提交以进行 OAuth 验证(仅限公开应用)

如果公开应用使用敏感或受限范围,则必须经过 OAuth 验证审核流程。

  • 对于 OAuth 验证,您必须提交演示视频,演示过程或流程,向用户说明所请求范围或数据的用法。
  • 如果您的应用使用受限范围,可能还需要接受安全评估。请参阅为什么需要进行安全评估

若要提交以进行验证,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > OAuth 同意屏幕

    转到 OAuth 同意屏幕

  2. 点击项目选择器,然后选择您的项目。
  3. 点击修改应用
  4. 输入所需信息,然后点击提交以进行验证
  5. 需要验证对话框中,输入相应的理由,然后点击提交以启动验证流程。

如果您更新应用以使用敏感或限制性不同的不同范围,则必须再次提交应用以进行 OAuth 验证。您无需再次将其送交应用审核。

OAuth 验证与应用审核的区别

OAuth 验证是一个独立于应用审核的流程。它侧重于确保您的同意屏幕准确反映应用的身份和 intent,并确保您的应用不会滥用用户数据。在应用的 OAuth 验证完成之前,应用详情无法获得批准。如需详细了解 OAuth 验证,请参阅 OAuth API 验证常见问题解答

应用审核重点关注您在 Google Workspace Marketplace API 中提供的信息,以及应用的功能和易用性。如需详细了解应用审核标准,请参阅应用审核简介