כשמפרסמים את האפליקציה, צריך לבצע 4 משימות עיקריות לאימות ולהרשאה:
- מילוי מסך ההסכמה של OAuth.
- יוצרים פרטי כניסה מסוג OAuth 2.0.
- הגדרה של כל היקפי ההרשאות שהאפליקציה צריכה לרוץ ב-Google Workspace Marketplace SDK
- שליחת האפליקציה לאימות OAuth.
ההיקפים שאתם מוסיפים לכל מקום חייבים להתאים, ואנחנו משתמשים בהם בדרכים הבאות:
- היקפי ההרשאות שנוספו למסך ההסכמה של OAuth משמשים לאימות OAuth.
- היקפי ההרשאות שנוספו ל-SDK של Google Workspace Marketplace משמשים להתקנות ברמת הדומיין ולהתקנות בודדות, כדי לאשר את האפליקציה שלך כשהיא מותקנת מ-Google Workspace Marketplace.
- היקפי ההרשאות שנוספו למניפסט נדרשים כדי שהאפליקציה תפעל באופן תקין.
לדוגמה, אם אתם מפרסמים אפליקציה שכוללת תוסף של Google Sheets ותוסף של Google Docs, המניפסט של Apps Script של כל תוסף כולל רק את היקפי ההרשאות הספציפיים לתוסף. בפרויקט Google Cloud, מסך ההסכמה של OAuth ו-Google Workspace Marketplace SDK כוללים את ההיקפים של שני התוספים.
דרישות מוקדמות
- בפרויקט ב-Google Cloud, מפעילים את החיוב.
- פיתוח ובדיקה של אפליקציה.
- מידע על אימות והרשאה
- אם אתם יצרתם את האפליקציה ב-Google Apps Script, עליכם לעדכן את הפרויקט ב-Google Cloud לפרויקטים של Apps Script.
1. מילוי מסך ההסכמה של OAuth
מסך ההסכמה של OAuth מציג למשתמשים מי מבקש גישה לנתונים שלהם, ולאילו סוגי נתונים המשתמשים יכולים לגשת לאפליקציה.
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > מסך ההסכמה של OAuth.
- בוחרים את סוג המשתמש לאפליקציה ולוחצים על יצירה.
- ממלאים את טופס ההרשמה לאפליקציה ולוחצים על שמירה והמשך.
אם יוצרים אפליקציה לשימוש מחוץ לארגון ב-Google Workspace, לוחצים על הוספה או הסרה של היקפים. כשבוחרים היקפים, מומלץ ליישם את השיטות המומלצות הבאות:
- בוחרים את היקפי ההרשאות שמעניקים את רמת הגישה המינימלית שנדרשת לאפליקציה. רשימה של היקפי ההרשאות הזמינים זמינה במאמר היקפי ההרשאות של OAuth 2.0 ל-Google APIs.
- בודקים את היקפי ההרשאות המפורטים בכל אחד משלושת הקטעים: היקפים לא רגישים, היקפים רגישים והיקפים מוגבלים. להיקפים שמפורטים בקטעים 'ההיקפים הרגישים שלך' או 'ההיקפים המוגבלים', כדאי לנסות לזהות היקפים חלופיים לא רגישים כדי להימנע מבדיקות נוספות מיותרות.
- היקפי הרשאות מסוימים מחייבים בדיקות נוספות של Google. באפליקציות שמיועדות לשימוש פנימי של הארגון שלך ב-Google Workspace בלבד, היקפי ההרשאות לא מופיעים במסך ההסכמה, והשימוש בהיקפים רגישים או מוגבל לא מצריך בדיקה נוספת של Google. למידע נוסף, אפשר לעיין במאמר קטגוריות של היקפים.
- אחרי שבוחרים את ההיקפים הנדרשים לאפליקציה, לוחצים על Save and Continue (שמירה והמשך).
- אם בחרתם בסוג המשתמש חיצוני, מוסיפים משתמשי בדיקה:
- בקטע משתמשים לבדיקה, לוחצים על הוספת משתמשים.
- מזינים את כתובת האימייל שלכם ואת שאר המשתמשים המורשים לבדיקה, ואז לוחצים על Save and Continue (שמירה והמשך).
- לבדוק את הסיכום של רישום האפליקציה. כדי לבצע שינויים, לוחצים על עריכה. אם הרישום של האפליקציה נראה בסדר, לוחצים על Back to Dashboard (חזרה למרכז השליטה).
2. יצירת פרטי כניסה בפרוטוקול OAuth 2.0
יש שתי דרכים ליצור פרטי כניסה בפרוטוקול OAuth 2.0, בהתאם לאופן שבו בנית את האפליקציה.
אם בנית את האפליקציה ב-Apps Script
אתם יכולים להעביר את פרויקט Apps Script מפרויקט ברירת המחדל ב-Google Cloud לפרויקט הרגיל החדש. רוצים לדעת מעבר לפרויקט רגיל אחר?
אחרי שמשייכים את פרויקט Apps Script לפרויקט ב-Google Cloud, פרטי הכניסה מסוג OAuth 2.0 נוצרים באופן אוטומטי.
אם לא השתמשתם ב-Apps Script כדי לבנות את האפליקציה
במאמר פרטי כניסה למזהה לקוח ב-OAuth מוסבר איך יוצרים פרטי כניסה ב-OAuth 2.0.
3. הגדרת היקפים
עליך לספק רשימה מלאה של היקפי ההרשאות של OAuth שנדרשים לאפליקציה שלך. תמיד כדאי להשתמש בהיקפים המצומצמים ביותר שאפשר.
כדי להגדיר את רמת הגישה שהוענקה לאפליקציה, צריך לזהות היקפי הרשאות ולהצהיר עליהם. היקף הרשאה הוא מחרוזת URI של OAuth 2.0 שכוללת את שם האפליקציה ב-Google Workspace, סוגי הנתונים שאליהם היא ניגשת ורמת הגישה. היקפים הם הבקשות של האפליקציה לעבוד עם נתוני Google Workspace, כולל נתוני חשבונות Google של משתמשים.
כשהאפליקציה מותקנת, המשתמשים מתבקשים לאמת את היקפי ההרשאות שהאפליקציה משתמשת בהם. באופן כללי, כדאי לבחור את ההיקף הצר ביותר שאפשר, ולהימנע מבקשות להיקפים שלא צריכים את האפליקציה. המשתמשים מעניקים גישה להיקפי הרשאות מוגבלים שמתוארים בצורה ברורה יותר.
4. שליחה לאימות OAuth (באפליקציות ציבוריות בלבד)
אם אפליקציה ציבורית משתמשת בהיקפים רגישים או מוגבלים, היא חייבת לעבור תהליך בדיקה של אימות OAuth.
- לצורך אימות OAuth, צריך לשלוח סרטון הדגמה (דמו) שמדגים את התהליך או התהליך, שמסביר למשתמשים את השימוש בהיקפים או בנתונים המבוקשים.
- אם האפליקציה משתמשת בהיקפים מוגבלים, יכול להיות שהיא תצטרך לעבור גם בדיקת אבטחה. למה צריך לבצע בדיקת אבטחה?
כך שולחים בקשה לאימות:
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > מסך ההסכמה של OAuth.
- לוחצים על בורר הפרויקטים ובוחרים את הפרויקט.
- לוחצים על עריכת האפליקציה.
- מזינים את המידע הנדרש ולוחצים על Submit for verification.
- בתיבת הדו-שיח נדרש אימות, מזינים את הנימוקים המתאימים ולוחצים על Submit כדי להתחיל את תהליך האימות.
אם בחרת לעדכן את האפליקציה כך שתשתמש בהיקפים שונים שמכילים מידע רגיש או מגביל, עליך לשלוח שוב את האפליקציה לאימות OAuth. אין צורך לשלוח אותו שוב לבדיקה של האפליקציה.
ההבדלים בין אימות OAuth לבין תהליך הבדיקה של אפליקציות
אימות OAuth הוא תהליך נפרד מבדיקת אפליקציות. הוא מתמקד כדי לוודא שמסך ההסכמה מייצג במדויק את הזהות והכוונה של האפליקציה, וכדי לוודא שהאפליקציה לא עושה שימוש לרעה בנתוני משתמשים. לא ניתן לאשר את דף האפליקציה עד להשלמת אימות ה-OAuth של האפליקציה. מידע נוסף על אימות OAuth זמין במאמר שאלות נפוצות בנושא אימות OAuth API.
בדיקת האפליקציות מתמקדת במידע שאתם מספקים ב-Google Workspace Marketplace API, ובפונקציונליות ובנוחות השימוש של האפליקציה. מידע נוסף על הקריטריונים לבדיקת אפליקציות מופיע במאמר מידע על בדיקת אפליקציות.