API-Zugriff mit domainweiter Delegierung verwalten

Die domainweite Delegierung ist eine leistungsstarke Funktion, mit der über Clientanwendungen ohne Zustimmung auf Workspace-Nutzerdaten zugegriffen werden kann. Sie haben zwei Möglichkeiten, die domainweite Delegierung zu verwenden:

  1. Dienstkonto für den Zugriff auf Daten im Namen eines Nutzers autorisieren Ein Dienstkonto kann die folgenden Arten von Apps verwenden:
    • Migrations- und Synchronisierungstools, mit denen Nutzerinhalte eines anderen Dienstes in Google Workspace dupliziert werden.
    • Interne Apps, z. B. Automatisierungs-Apps, die Entwickler für Ihre Organisation erstellen. Sie können beispielsweise den Zugriff einer App autorisieren, mit der den Kalendern Ihrer Nutzer über die Calendar API Termine hinzugefügt werden.
  2. Nutzern erlauben, OAuth-Client-Apps zu verwenden, ohne einen Zustimmungsbildschirm zu sehen: Nutzer können auf Apps zugreifen, ohne dass sie aufgefordert werden, ihre Zustimmung zu geben. Als Administrator können Sie festlegen, auf welche Nutzerdaten die Apps Zugriff haben.

Sie können auch domainweite Installationen verwalten und sich API-Bereiche für Google Workspace Marketplace-Apps anzeigen lassen. Weitere Informationen zum Datenzugriff und zur Installation von Marketplace-Apps

Hinweis

  • Sie benötigen Super Admin-Berechtigungen für Ihr Google Workspace-Konto.
  • Best Practices für die domainweite Delegierung und Best Practices für die Verwendung von Dienstkonten
  • Prüfen Sie die Liste der API-Bereiche, die von der App oder dem Dienstkonto benötigt werden. Achten Sie darauf, dass der Zugriffsbereich der App oder des Dienstkontos angemessen klein ist.
  • Wenn Sie eine OAuth-App delegieren, fordern Sie die OAuth-Client-ID vom App-Entwickler an.
  • Wenn Sie ein Dienstkonto delegieren, rufen Sie die Client-ID des Dienstkontos ab. Wenn Sie der Inhaber des Dienstkontos sind, finden Sie die ID folgendermaßen:
    1. Melden Sie sich als Super Admin in Google Cloud an.
    2. Klicken Sie auf IAM & Verwaltungund dannDienstkontenund dann [Name Ihres Dienstkontos].
    3. Maximieren Sie Erweiterte Einstellungen und kopieren Sie die Client-ID.
  • Durch die domainweite Delegierung hat die App auf alle Daten Ihrer Nutzer Zugriff. Wir empfehlen, Dienstkonten regelmäßig zu prüfen und alle Konten zu löschen, die nicht mehr verwendet werden.

Domainweite Delegierung für einen Client einrichten

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerungund dannDomainweite Delegierung verwalten.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie die Client-ID für das Dienstkonto oder den OAuth2-Client ein.
  4. Fügen Sie unter OAuth-Bereiche jeden Bereich hinzu, auf den die App zugreifen kann. Sie sollten die Bereiche auf die beschränken, die wirklich notwendig sind. Sie können alle OAuth 2.0-Bereiche für Google APIs verwenden. Wenn die App beispielsweise domainweiten Zugriff auf die Google Drive API und die Google Calendar API benötigt, geben Sie https://www.googleapis.com/auth/drive und https://www.googleapis.com/auth/calendar ein.
  5. Klicken Sie auf Autorisieren. Wenn Sie eine Fehlermeldung erhalten, ist die Client-ID möglicherweise nicht bei Google registriert oder es sind duplizierte oder nicht unterstützte Bereiche vorhanden.

    Hinweis: Wenn Genehmigung durch mehrere Parteien für Ihre Organisation aktiviert ist, muss ein anderer Super Admin die Autorisierung der domainweiten Delegierung für eine Client-App genehmigen.

  6. Bewegen Sie den Mauszeiger auf die neue Client-ID, klicken Sie auf Details ansehen und prüfen Sie, ob alle Bereiche aufgelistet sind.

    Wenn ein Bereich fehlt, klicken Sie auf Bearbeiten, geben Sie den fehlenden Bereich ein und klicken Sie auf Autorisieren. Die Client-ID lässt sich nicht bearbeiten.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Clients und Bereiche aufrufen, bearbeiten oder löschen

Sie sollten regelmäßig die Bereiche Ihrer App prüfen und diejenigen entfernen, die nicht mehr gebraucht oder aktiv genutzt werden. Löschen Sie auch Clients, die Sie nicht mehr benötigen. Sie können beispielsweise den Zugriff für ein Migrationstool entfernen, nachdem die Migration abgeschlossen ist.

  1. Gehen Sie in der Admin-Konsole zum Dreistrich-Menü und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannAPI-Steuerungund dannDomainweite Delegierung verwalten.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Klicken Sie auf einen Clientnamen und wählen Sie dann eine Option aus:
  • Details ansehen: den vollständigen Clientnamen und eine Liste der Bereiche aufrufen
  • Bearbeiten: Bereiche hinzufügen oder entfernen. Die Client-ID lässt sich nicht bearbeiten. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
  • Löschen: Apps, die von der Autorisierung des Clients abhängig sind, funktionieren dann ab sofort nicht mehr.

    Hinweis: Wenn die Genehmigung durch mehrere Parteien für Ihre Organisation aktiviert ist, muss ein anderer Super Admin die Bearbeitung von Bereichen oder das Löschen der domainweiten Delegierung für eine Client-App genehmigen.