Kiểm soát quyền truy cập API bằng tính năng uỷ quyền trên toàn miền

Uỷ quyền trên toàn miền là một tính năng mạnh mẽ cho phép bạn cấp quyền cho các ứng dụng khách truy cập vào dữ liệu của người dùng Workspace mà không cần sự đồng ý của họ. Bạn có thể sử dụng tính năng uỷ quyền trên toàn miền theo hai cách:

  1. Uỷ quyền cho một tài khoản dịch vụ truy cập vào dữ liệu thay mặt cho người dùng.
      Tài khoản dịch vụ có thể sử dụng các loại ứng dụng sau:
    • Các công cụ di chuyển và đồng bộ hoá sao chép nội dung của người dùng từ một dịch vụ khác sang Google Workspace.
    • Các ứng dụng nội bộ (ví dụ: ứng dụng tự động hoá) mà nhà phát triển tạo cho tổ chức của bạn. Ví dụ: bạn có thể uỷ quyền truy cập cho một ứng dụng sử dụng API Lịch để thêm sự kiện vào lịch của người dùng.
  2. Cho phép người dùng sử dụng các ứng dụng OAuth mà không cần xem màn hình xin phép. Người dùng có thể truy cập vào các ứng dụng mà không được nhắc đồng ý và bạn có thể chỉ định dữ liệu người dùng mà các ứng dụng có thể truy cập.

Bạn cũng có thể quản lý việc cài đặt trên toàn miền và xem các phạm vi API cho các ứng dụng trên Google Workspace Marketplace. Tìm hiểu về quyền truy cập dữ liệu và việc cài đặt ứng dụng trên Marketplace.

Trước khi bắt đầu

  • Đảm bảo bạn có đặc quyền quản trị viên cấp cao cho tài khoản Google Workspace.
  • Xem các phương pháp hay nhất về việc uỷ quyền trên toàn miền và các phương pháp hay nhất để sử dụng tài khoản dịch vụ.
  • Xác minh danh sách các phạm vi API mà ứng dụng hoặc tài khoản dịch vụ cần. Kiểm tra để đảm bảo rằng ứng dụng hoặc tài khoản dịch vụ có phạm vi truy cập đủ nhỏ.
  • (Nếu uỷ quyền cho một ứng dụng OAuth) Nhận mã ứng dụng OAuth từ nhà phát triển ứng dụng.
  • (Nếu uỷ quyền cho một tài khoản dịch vụ) Nhận mã ứng dụng của tài khoản dịch vụ. Nếu là chủ sở hữu tài khoản dịch vụ, bạn có thể tìm thấy mã như sau:
    1. Đăng nhập vào Google Cloud với tư cách quản trị viên cấp cao.
    2. Nhấp vào IAM và Quản trị sau đó Tài khoản dịch vụ sau đó [tên tài khoản dịch vụ].
    3. Mở rộng Cài đặt nâng cao rồi sao chép Mã ứng dụng.
  • Với tính năng uỷ quyền trên toàn miền, ứng dụng có quyền truy cập vào dữ liệu thuộc về tất cả người dùng. Bạn nên thiết lập quy trình xem xét thường xuyên các tài khoản dịch vụ và xoá mọi tài khoản không còn được sử dụng.

Thiết lập tính năng uỷ quyền trên toàn miền cho một ứng dụng

  1. Trong Bảng điều khiển dành cho quản trị viên Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Chế độ kiểm soát API sau đó Quản lý tính năng uỷ quyền trên toàn miền.

    Bạn phải đăng nhập với tư cách quản trị viên cấp cao để thực hiện nhiệm vụ này.

  2. Nhấp vào Thêm mới.
  3. Nhập Mã ứng dụng cho tài khoản dịch vụ hoặc ứng dụng OAuth2.
  4. Trong phần Phạm vi OAuth,hãy thêm từng phạm vi mà ứng dụng có thể truy cập (phải đủ hẹp). Bạn có thể sử dụng bất kỳ Phạm vi OAuth 2.0 nào cho các API của Google. Ví dụ: nếu ứng dụng cần có quyền truy cập trên toàn miền vào API Google Drive và API Lịch Google, hãy nhập https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar.
  5. Nhấp vào Ủy quyền. Nếu bạn gặp lỗi, thì có thể mã ứng dụng chưa được đăng ký với Google hoặc có các phạm vi trùng lặp hoặc không được hỗ trợ.

    Lưu ý: Nếu tính năng Phê duyệt nhiều bên được bật cho tổ chức của bạn, thì việc uỷ quyền trên toàn miền cho một ứng dụng khách sẽ yêu cầu sự phê duyệt của một quản trị viên cấp cao khác.

  6. Trỏ đến mã ứng dụng mới, nhấp vào Xem chi tiết rồi đảm bảo rằng mọi phạm vi đều được liệt kê.

    Nếu một phạm vi không được liệt kê, hãy nhấp vào Chỉnh sửa, nhập phạm vi bị thiếu rồi nhấp vào Ủy quyền. Bạn không thể chỉnh sửa mã ứng dụng.

Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Xem, chỉnh sửa hoặc xoá ứng dụng và phạm vi

Theo phương pháp hay nhất, hãy định kỳ kiểm tra phạm vi của ứng dụng và xoá những phạm vi không bắt buộc hoặc không được sử dụng tích cực. Ngoài ra, hãy xoá những ứng dụng mà bạn không cần nữa. Ví dụ: xoá quyền truy cập cho một công cụ di chuyển sau khi bạn hoàn tất quá trình di chuyển.

  1. Trong Bảng điều khiển dành cho quản trị viên Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Chế độ kiểm soát API sau đó Quản lý tính năng uỷ quyền trên toàn miền.

    Bạn phải đăng nhập với tư cách quản trị viên cấp cao để thực hiện nhiệm vụ này.

  2. Nhấp vào tên ứng dụng rồi chọn một lựa chọn:
  • Xem chi tiết—Xem tên đầy đủ của ứng dụng và danh sách phạm vi
  • Chỉnh sửa—Thêm hoặc xoá phạm vi. Bạn không thể chỉnh sửa mã ứng dụng. Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm
  • Xoá – Các ứng dụng phụ thuộc vào quyền uỷ quyền của ứng dụng sẽ ngừng hoạt động ngay lập tức.

    Lưu ý: Nếu tính năng Phê duyệt nhiều bên được bật cho tổ chức của bạn, thì việc chỉnh sửa phạm vi hoặc xoá tính năng uỷ quyền trên toàn miền cho một ứng dụng khách sẽ yêu cầu sự phê duyệt của một quản trị viên cấp cao khác.