API-Zugriff mit domainweiter Delegierung verwalten

Die domainweite Delegierung ist eine leistungsstarke Funktion, mit der über Clientanwendungen ohne Zustimmung auf Workspace-Nutzerdaten zugegriffen werden kann. Sie können die domainweite Delegierung auf zwei Arten verwenden:

  1. Ein Dienstkonto autorisieren, im Namen eines Nutzers auf Daten zuzugreifen Ein Dienstkonto kann die folgenden Arten von Apps verwenden:
    • Migrations- und Synchronisierungstools, mit denen Nutzerinhalte von einem anderen Dienst in Google Workspace dupliziert werden
    • Interne Apps, z. B. Automatisierungs-Apps, die Entwickler für Ihre Organisation erstellen Sie können beispielsweise den Zugriff einer App autorisieren, mit der den Kalendern Ihrer Nutzer über die Calendar API Termine hinzugefügt werden.
  2. Nutzern erlauben, OAuth-Client-Apps zu verwenden, ohne dass ein Zustimmungsbildschirm angezeigt wird Nutzer können auf Apps zugreifen, ohne um Zustimmung gebeten zu werden. Sie können die Nutzerdaten angeben, auf die die Apps zugreifen können.

Sie können auch domainweite Installationen verwalten und sich API-Bereiche für Google Workspace Marketplace-Apps anzeigen lassen. Weitere Informationen zum Datenzugriff und zur Installation von Marketplace-Apps

Hinweis

  • Sie benötigen Super Admin-Berechtigungen für Ihr Google Workspace-Konto.
  • Lesen Sie die Best Practices für die domainweite Delegierung und die Best Practices für die Verwendung von Dienstkonten.
  • Prüfen Sie die Liste der API-Bereiche, die von der App oder dem Dienstkonto benötigt werden. Achten Sie darauf, dass der Zugriffsbereich der App oder des Dienstkontos angemessen klein ist.
  • Wenn Sie eine OAuth-App delegieren, fordern Sie die OAuth-Client-ID vom App-Entwickler an.
  • Wenn Sie ein Dienstkonto delegieren, fordern Sie die Client-ID des Dienstkontos an. Wenn Sie der Inhaber des Dienstkontos sind, finden Sie die ID folgendermaßen:
    1. Melden Sie sich als Super Admin in Google Cloud an.
    2. Klicken Sie auf IAM und Verwaltung und dann Dienstkonten und dann [Name Ihres Dienstkontos].
    3. Maximieren Sie Erweiterte Einstellungen und kopieren Sie die Client-ID.
  • Durch die domainweite Delegierung hat die App auf alle Daten Ihrer Nutzer Zugriff. Wir empfehlen, Dienstkonten regelmäßig zu prüfen und alle Konten zu löschen, die nicht mehr verwendet werden.

Domainweite Delegierung für einen Client einrichten

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann API-Steuerung und dann Domainweite Delegierung verwalten.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie die Client-ID für das Dienstkonto oder den OAuth2-Client ein.
  4. Fügen Sie unter OAuth-Bereiche jeden Bereich hinzu, auf den die App zugreifen kann. Sie sollten die Bereiche auf die beschränken, die wirklich notwendig sind. Sie können alle OAuth 2.0-Bereiche für Google APIs verwenden. Wenn die App beispielsweise domainweiten Zugriff auf die Google Drive API und die Google Calendar API benötigt, geben Sie https://www.googleapis.com/auth/drive und https://www.googleapis.com/auth/calendar ein.
  5. Klicken Sie auf Autorisieren. Wenn Sie eine Fehlermeldung erhalten, ist die Client-ID möglicherweise nicht bei Google registriert oder es sind duplizierte oder nicht unterstützte Bereiche vorhanden.

    Hinweis: Wenn die Genehmigung durch mehrere Parteien für Ihre Organisation aktiviert ist, muss ein anderer Super Admin die Autorisierung der domainweiten Delegierung für eine Client-App genehmigen.

  6. Bewegen Sie den Mauszeiger auf die neue Client-ID, klicken Sie auf Details ansehen und prüfen Sie, ob alle Bereiche aufgelistet sind.

    Wenn ein Bereich fehlt, klicken Sie auf Bearbeiten, geben Sie den fehlenden Bereich ein und klicken Sie auf Autorisieren. Die Client-ID lässt sich nicht bearbeiten.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, meistens geht es jedoch schneller. Weitere Informationen

Clients und Bereiche aufrufen, bearbeiten oder löschen

Sie sollten regelmäßig die Bereiche Ihrer App prüfen und diejenigen entfernen, die nicht mehr gebraucht oder aktiv genutzt werden. Löschen Sie auch Clients, die Sie nicht mehr benötigen. Entfernen Sie beispielsweise den Zugriff für ein Migrationstool, nachdem Sie die Migration abgeschlossen haben.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann API-Steuerung und dann Domainweite Delegierung verwalten.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie auf einen Clientnamen und dann auf eine der folgenden Aktionen:
  • Details ansehen: den vollständigen Clientnamen und eine Liste der Bereiche aufrufen
  • Bearbeiten: Bereiche hinzufügen oder entfernen. Die Client-ID lässt sich nicht bearbeiten. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, meistens geht es jedoch schneller. Weitere Informationen
  • Löschen : Apps, die von der Autorisierung des Clients abhängig sind, funktionieren dann ab sofort nicht mehr.

    Hinweis: Wenn die Genehmigung durch mehrere Parteien für Ihre Organisation aktiviert ist, muss ein anderer Super Admin die Bearbeitung von Bereichen oder das Löschen der domainweiten Delegierung für eine Client-App genehmigen.