הגדרת OAuth

כשמפרסמים אפליקציה, צריך לבצע שלוש משימות עיקריות כדי לבצע אימות והרשאה:

1. ממלאים את מסך ההסכמה של OAuth.
2. יוצרים את פרטי הכניסה ל-OAuth 2.0.
3. שליחת האפליקציה לאימות OAuth.

הסבר על היקפי ההרשאות של OAuth

כדי להגדיר את רמת הגישה שמוענקת לאפליקציה, צריך לזהות ולדווח על היקפי הרשאה. היקף הרשאה הוא מחרוזת URI של OAuth 2.0 שמכילה את שם האפליקציה ב-Google Workspace, את סוג הנתונים שהיא ניגשת אליהם ואת רמת הגישה. היקפים הם הבקשות של האפליקציה לעבוד עם נתוני Google Workspace, כולל נתונים מחשבון Google של המשתמשים.

כשהאפליקציה מותקנת, המשתמש מתבקש לאמת את ההיקפים שבהם האפליקציה משתמשת. באופן כללי, כדאי לבחור את ההיקף המצומצם ביותר האפשרי ולהימנע מבקשות להיקפים שלא נדרשים לאפליקציה. משתמשים נותנים גישה בקלות רבה יותר להיקפים מוגבלים ומתוארים בבירור.

יש לספק את הרשימה המלאה של היקפי ההרשאות של OAuth שנדרשים לאפליקציה. ההיקפים שאתם מוסיפים לכל מיקום חייבים להיות זהים, והם משמשים בדרכים הבאות:

• היקפי ההרשאות שנוספו למסך ההסכמה של OAuth משמשים לאימות OAuth.

• ההיקפים שנוספו ל-Google Workspace Marketplace SDK משמשים להתקנות ברמת הדומיין ולהתקנות ספציפיות כדי לאשר את האפליקציה כשהיא מותקנת מ-Google Workspace Marketplace.

• ההיקפים שנוספו למניפסט נחוצים כדי שהאפליקציה תפעל בצורה תקינה.

לדוגמה, אם מפרסמים אפליקציה שכוללת תוסף ל-Google Sheets ותוסף ל-Google Docs, המניפסט של Google Apps Script של כל תוסף יכלול רק את ההיקפים הספציפיים לתוסף הזה. בפרויקט Google Cloud, מסך ההסכמה ל-OAuth ו-Marketplace SDK כוללים את ההיקפים של שני התוספים.

תיקון היקפי הרשאות OAuth שלא אומתו

אם יש לכם אפליקציה חדשה, טיוטה שמורה או אפליקציה ציבורית שפורסמה עם היקפי גישה רגישים או מוגבלים שלא אומתו, תופיע הודעת השגיאה הבאה כשתערכו את האפליקציה ב-SDK של Marketplace:

OAuth verification is required for sensitive or restricted scopes. You can still save your app as a draft, but you're not able to publish your draft app listing.

מידע נוסף זמין במאמר ציון רמת הגישה שנדרשת לאפליקציה.

כדי לעקוף את השגיאה הזו, אפשר לבצע את הפעולות הבאות:

• לבצע שינויים בדף האפליקציה עם היקפי גישה רגישים או מוגבלים שלא אומתו, ולשמור את הדף כטיוטה.

• מפרסמים את האפליקציה כשלא נוספו היקפים חדשים של נתונים רגישים או מוגבלים שלא אומתו.

• מפרסמים את האפליקציה רק אחרי הסרת היקפי גישה רגישים או מוגבלים שלא אומתו.

בחלק מהדרכים האלטרנטיביות, יכול להיות שהמשתמשים יראו את המסך 'אפליקציה לא מאומתת'. למידע נוסף, ראו אפליקציות לא מאומתות.

כדי לפתור את השגיאה הזו, צריך לשלוח את האפליקציה לאימות OAuth.

דרישות מוקדמות

• בפרויקט ב-Cloud, מפעילים את החיוב.

• פיתוח ובדיקה של אפליקציה.

• מידע נוסף על אימות והרשאה

• אם פיתחתם את האפליקציה ב-Apps Script, עליכם לעדכן את הפרויקט ב-Cloud עבור פרויקטים של Apps Script.

1. ממלאים את מסך ההסכמה של OAuth

מסך ההסכמה של OAuth הוא הודעה שמציגה למשתמשים מי מבקש גישה לנתונים שלהם ואיזה סוג נתונים המשתמשים מאפשרים לאפליקציה לגשת אליהם.

1. במסוף Google Cloud, נכנסים לתפריט menu > > Branding.

   כניסה לדף Branding

2. אם כבר הגדרתם את , תוכלו להגדיר את ההגדרות הבאות של מסך ההסכמה ל-OAuth בקטע מיתוג, קהל וגישה לנתונים. אם מופיעה ההודעה not configured yet, לוחצים על Get Started:
1. בקטע פרטי האפליקציה, בשדה שם האפליקציה, מזינים שם לאפליקציה.
2. בקטע כתובת אימייל לתמיכה במשתמשים, בוחרים כתובת אימייל לתמיכה שבה המשתמשים יוכלו ליצור איתכם קשר אם יש להם שאלות לגבי ההסכמה שלהם.
3. לוחצים על הבא.
4. בקטע קהל, בוחרים את סוג המשתמש באפליקציה.
5. לוחצים על הבא.
6. בקטע פרטים ליצירת קשר, מזינים כתובת אימייל שאליה יישלחו התראות על שינויים בפרויקט.
7. לוחצים על הבא.
8. בקטע סיום, קוראים את המדיניות בנושא נתוני משתמשים בשירותי Google API. אם מסכימים, בוחרים באפשרות אני מסכים/ה למדיניות בנושא נתוני משתמשים בשירותי Google API.
9. לוחצים על המשך.
10. לוחצים על יצירה.
11. אם בחרתם באפשרות חיצוני לסוג המשתמש, מוסיפים משתמשי בדיקה:
    1. לוחצים על קהל.
    2. בקטע משתמשי בדיקה, לוחצים על הוספת משתמשים.
    3. מזינים את כתובת האימייל שלכם ואת כתובות האימייל של משתמשי הבדיקה המורשים האחרים, ולוחצים על שמירה.

3. אם אתם יוצרים אפליקציה לשימוש מחוץ לארגון שלכם ב-Google Workspace, לוחצים על גישה לנתונים > הוספה או הסרה של היקפי גישה. מומלץ להשתמש בשיטות המומלצות הבאות בבחירת ההיקפים:

   • בוחרים את היקפי ההרשאות שמספקים את רמת הגישה המינימלית שנדרשת לאפליקציה. רשימה של היקפי ההרשאות הזמינים מופיעה במאמר היקפי OAuth 2.0 ל-Google APIs.
   • בודקים את ההיקפים שמפורטים בכל אחד משלושת הקטעים: היקפים לא רגישים, היקפים רגישים והיקפים מוגבלים. לגבי כל ההיקפים שמפורטים בקטעים 'ההיקפים הרגישים שלך' או 'ההיקפים המוגבלים שלך', נסו לזהות היקפים חלופיים שאינם רגישים כדי למנוע בדיקות נוספות מיותרות.
   • לחלק מההיקפים נדרשות בדיקות נוספות מצד Google. באפליקציות שמשמשות רק באופן פנימי בארגון שלכם ב-Google Workspace, ההיקפים לא מופיעים במסך ההסכמה, והשימוש בהיקפים מוגבלים או רגישים לא מחייב בדיקה נוספת על ידי Google. למידע נוסף, ראו קטגוריות היקף.
4. אחרי שבוחרים את ההיקפים הנדרשים לאפליקציה, לוחצים על Save.

מידע נוסף על הגדרת הסכמה ל-OAuth זמין במאמר תחילת העבודה עם .

2. יצירת פרטי הכניסה ל-OAuth 2.0

בהתאם לאופן שבו פיתחתם את האפליקציה, יש שתי דרכים שונות ליצירת פרטי הכניסה ל-OAuth 2.0.

אם פיתחתם את האפליקציה ב-Apps Script

מעבר של פרויקט Apps Script מפרויקט ברירת המחדל ב-Cloud לפרויקט הסטנדרטי החדש. מידע נוסף זמין במאמר מעבר לפרויקט Cloud רגיל אחר.

אחרי שמקשרים את הפרויקט ב-Apps Script לפרויקט ב-Cloud, פרטי הכניסה ל-OAuth 2.0 נוצרים באופן אוטומטי.

אם לא השתמשתם ב-Apps Script כדי לפתח את האפליקציה

במאמר פרטי כניסה של מזהה לקוח OAuth מוסבר איך יוצרים את פרטי הכניסה ל-OAuth 2.0.

3. שליחת בקשה לאימות OAuth (אפליקציות ציבוריות בלבד)

אם האפליקציה שלכם ניגשת לנתוני המשתמשים של Google באמצעות Google APIs, יכול להיות שהיא תצטרך לעבור תהליך אימות לפני שתפרסמו אותה.

לפני השליחה

אמורה להיות לך אפשרות להשלים את שלבים 1 ו-2 בדף הזה, אבל יכול להיות שלא תהיה לך אפשרות לשלוח את האפליקציה לאימות OAuth עד שתשלים כמה שלבים נוספים של פרסום ב-Marketplace שמתרחשים במקביל לתהליך הזה.

לדוגמה, כדי ליצור תוסף ל-Google Classroom, צריך ליצור טיוטה של דף האפליקציה ב-Marketplace SDK לפי השלבים שמפורטים במאמר הגדרת האפליקציה ב-Google Workspace Marketplace SDK . לאחר מכן תוכלו להשתמש בטיוטת דף האפליקציה כדי ליצור את סרטון ההדגמה שנדרש לאימות OAuth. אחרי שהאימות יושלם, תוכלו לשלוח את טיוטת דף המוצר של האפליקציה לבדיקה.

סקירה כללית של שלבי השליחה מפורטת במאמר פרסום האפליקציה.

בדיקת האימות של OAuth

אם באפליקציה שלכם נעשה שימוש בהיקפים רגישים או מוגבלים, היא צריכה לעבור תהליך בדיקה לאימות ב-OAuth.

• לצורך אימות OAuth, צריך לשלוח סרטון הדגמה שמציג את התהליך או את הזרימה ומסביר למשתמשים איך משתמשים בהיקפי ההרשאות או בנתונים המבוקשים. מידע נוסף זמין בסרטון ההדגמה.

• אם האפליקציה שלכם משתמשת בהיקפים מוגבלים, יכול להיות שהיא תצטרך לעבור גם בדיקת אבטחה.

• מידע נוסף זמין במרכז העזרה בנושא אימות אפליקציות OAuth.

כדי לשלוח את הבקשה לאימות:

1. במסוף Google Cloud, נכנסים לתפריט menu > APIs & Services > OAuth consent screen.

   מעבר למסך ההסכמה של OAuth

2. לוחצים על Project selector ובוחרים את הפרויקט הרצוי.
3. לוחצים על עריכת האפליקציה.
4. מזינים את הפרטים הנדרשים ולוחצים על שליחה לאימות.
5. בתיבת הדו-שיח Verification required, מזינים את נימוקי ההצדקה המתאימים ולוחצים על Submit כדי להתחיל את תהליך האימות.

אם תעדכנו את האפליקציה כך שתשתמש בהיקפים שונים שהם רגישים או מגבילים, תצטרכו לשלוח אותה שוב לאימות OAuth. אין צורך לשלוח אותה שוב לבדיקה.

מה ההבדל בין אימות OAuth לבין בדיקת אפליקציות

אימות OAuth הוא תהליך נפרד מהבדיקה של האפליקציה. המטרה שלו היא לוודא שמסך ההסכמה מייצג בצורה מדויקת את הזהות והכוונה של האפליקציה, ולוודא שהאפליקציה לא משתמשת לרעה בנתוני המשתמשים. לא נוכל לאשר את דף האפליקציה עד שתשלימו את תהליך האימות של האפליקציה באמצעות OAuth. למידע נוסף על אימות OAuth, ראו שאלות נפוצות בנושא OAuth.

בדיקת האפליקציה מתמקדת במידע שסיפקתם ב- SDK של Google Workspace Marketplace, ובתכונות ובנוחות השימוש של האפליקציה. מידע נוסף על הקריטריונים לבדיקת האפליקציות זמין במאמר תהליך בדיקת האפליקציות והדרישות ל-Google Workspace Marketplace.

נושאים קשורים

• הגדרה של מסך ההסכמה של OAuth ובחירת היקפי הרשאות
• סיבות נפוצות לכך שאפליקציה לא עוברת את תהליך הבדיקה