Controllare l'accesso all'API con la delega a livello di dominio

La delega a livello di dominio è una potente funzionalità che ti consente di concedere alle applicazioni client l'autorizzazione ad accedere ai dati degli utenti di Workspace senza richiedere il loro consenso. Puoi utilizzare la delega a livello di dominio in due modi:

  1. Autorizza un account di servizio ad accedere ai dati per conto di un utente. Un account di servizio potrebbe utilizzare i seguenti tipi di app:
    • Strumenti di migrazione e sincronizzazione che duplicano i contenuti degli utenti da un altro servizio a Google Workspace.
    • App interne, ad esempio app per l'automazione, create dagli sviluppatori per l'organizzazione. Ad esempio, puoi delegare l'accesso a un'applicazione che utilizza l'API Calendar per aggiungere eventi ai calendari degli utenti.
  2. Consenti agli utenti di utilizzare le app client OAuth senza visualizzare una schermata per il consenso. Gli utenti possono accedere alle app senza che venga richiesto il consenso e tu puoi specificare i dati utente a cui le app possono accedere.

Puoi anche gestire l'installazione a livello di dominio e visualizzare gli ambiti API per le app di Google Workspace Marketplace. Scopri di più sull'accesso ai dati e sull'installazione delle app di Marketplace.

Prima di iniziare

  • Assicurati di disporre dei privilegi di super amministratore per il tuo account Google Workspace.
  • Consulta le best practice per la delega a livello di dominio e le best practice per l'utilizzo degli account di servizio.
  • Verifica l'elenco degli ambiti API necessari per l'app o l'account di servizio. Verifica che l'ambito di accesso dell'app o del servizio sia relativamente ridotto.
  • (Se deleghi un'app OAuth) Recupera l'ID client OAuth dallo sviluppatore di app.
  • (Se deleghi un account di servizio) Recupera l'ID client dell'account di servizio. Se sei proprietario del service account, puoi trovare l'ID nel seguente modo:
    1. Accedi a Google Cloud come super amministratore.
    2. Fai clic su IAM e amministrazione e poi Account di servizio e poi [nome dell'account di servizio].
    3. Espandi Impostazioni avanzate e copia l'ID client.
  • Con la delega a livello di dominio, l'app ha accesso ai dati appartenenti a tutti i tuoi utenti. Ti consigliamo di impostare una revisione regolare degli account di servizio e di eliminare gli account non più in uso.

Configurare la delega a livello di dominio per un client

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Accesso e controllo dei dati e poi Controlli API e poi Gestisci delega a livello di dominio.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Fai clic su Aggiungi nuovo.
  3. Inserisci l'ID client per il service account o per il client OAuth2.
  4. In Ambiti OAuth,aggiungi ogni ambito a cui può accedere l'app (deve essere opportunamente limitato). Puoi utilizzare uno degli ambiti OAuth 2.0 per le API di Google. Ad esempio, se l'applicazione richiede l'accesso a livello di dominio all'API di Google Drive e all'API di Google Calendar, inserisci https://www.googleapis.com/auth/drive e https://www.googleapis.com/auth/calendar.
  5. Fai clic su Autorizza. Se ricevi un messaggio di errore, è possibile che l'ID client non sia registrato in Google o che esistano ambiti duplicati o non supportati.

    Nota: se per la tua organizzazione è attiva l'approvazione da più parti, per autorizzare la delega a livello di dominio per un'app client è necessaria l'approvazione di un altro super amministratore.

  6. Punta al nuovo ID client, fai clic su Visualizza dettagli e assicurati che nell'elenco siano riportati tutti gli ambiti.

    Se manca un ambito, fai clic su Modifica, inserisci l'ambito mancante e fai clic su Autorizza. Non puoi modificare l'ID client.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Visualizzare, modificare o eliminare client e ambiti

Come best practice, controlla periodicamente gli ambiti della tua app e rimuovi quelli non necessari o che non vengono utilizzati attivamente. Elimina anche i client che non ti servono più. Ad esempio, rimuovi l'accesso per uno strumento di migrazione dopo aver completato la migrazione.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Accesso e controllo dei dati e poi Controlli API e poi Gestisci delega a livello di dominio.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Fai clic sul nome di un client e scegli un'opzione:
  • Visualizza dettagli: visualizza il nome completo del client e l'elenco degli ambiti.
  • Modifica: aggiungi o rimuovi gli ambiti. Non puoi modificare l'ID client. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
  • Elimina : le applicazioni che dipendono dall'autorizzazione del client smetteranno di funzionare immediatamente.

    Nota: se per la tua organizzazione è attivata l'approvazione da più parti, la modifica degli ambiti o l'eliminazione della delega a livello di dominio per un'app client richiede l'approvazione di un altro super amministratore.