Controla el acceso a la API con la delegación de todo el dominio

La delegación de todo el dominio es una función potente que te permite otorgar permisos a las aplicaciones cliente para que accedan a los datos de tus usuarios de Workspace sin necesidad de obtener su consentimiento. Puedes usar la delegación de todo el dominio de dos maneras:

  1. Autoriza una cuenta de servicio para acceder a los datos en nombre de un usuario. Una cuenta de servicio puede usar los siguientes tipos de apps:
    • Herramientas de migración y sincronización que duplican el contenido del usuario de otro servicio a Google Workspace
    • Apps internas (por ejemplo, apps de automatización) que los desarrolladores crean para tu organización Por ejemplo, puedes delegar el acceso a una aplicación que usa la API de Calendar para agregar eventos a los calendarios de tus usuarios.
  2. Permitir que los usuarios utilicen apps cliente de OAuth sin ver una pantalla de consentimiento Los usuarios pueden acceder a las apps sin que se les solicite su consentimiento, y tú puedes especificar los datos del usuario a los que pueden acceder las apps.

También puedes administrar la instalación para todo el dominio y ver los permisos de la API de las apps de Google Workspace Marketplace. Obtén información sobre el acceso a los datos y la instalación de las apps de Marketplace.

Antes de comenzar

  • Asegúrate de tener privilegios de administrador avanzado para tu cuenta de Google Workspace.
  • Revisa las prácticas recomendadas para la delegación en todo el dominio y las prácticas recomendadas para usar cuentas de servicio.
  • Verifica la lista de permisos de la API que necesita la app o la cuenta de servicio. Verifica que la app o la cuenta de servicio tengan un alcance de acceso adecuadamente pequeño.
  • (Si delegas una app de OAuth) Obtén el ID de cliente de OAuth del desarrollador de la app.
  • (Si delegas una cuenta de servicio) Obtén el ID de cliente de la cuenta de servicio. Si eres el propietario de la cuenta de servicio, puedes encontrar el ID de la siguiente manera:
    1. Accede a Google Cloud como administrador avanzado.
    2. Haz clic en IAM y administración y luego Cuentas de servicio y luego [nombre de tu cuenta de servicio].
    3. Expande Configuración avanzada y copia el ID de cliente.
  • Con la delegación en todo el dominio, la app tiene acceso a los datos que pertenecen a todos tus usuarios. Te recomendamos que configures una revisión periódica de las cuentas de servicio y que borres las cuentas que ya no se usen.

Configura la delegación de todo el dominio para un cliente

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControles de APIy luegoAdministrar la delegación de todo el dominio.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Haz clic en Agregar nueva.
  3. Ingresa el ID de cliente para la cuenta de servicio o el cliente de OAuth2.
  4. En Permisos de OAuth, agrega cada permiso al que pueda acceder la aplicación (debe tener una limitación apropiada). Puedes usar cualquiera de los permisos de OAuth 2.0 para las APIs de Google. Por ejemplo, si la aplicación necesita acceso a todo el dominio a la API de Google Drive y a la API de Google Calendar, ingresa https://www.googleapis.com/auth/drive y https://www.googleapis.com/auth/calendar.
  5. Haz clic en Autorizar. Si recibes un error, es posible que el ID de cliente no esté registrado en Google o que haya permisos duplicados o no compatibles.

    Nota: Si la aprobación de varias partes está habilitada para tu organización, autorizar la delegación a nivel del dominio para una app cliente requiere la aprobación de otro administrador avanzado.

  6. Apunta al nuevo ID de cliente, haz clic en Ver detalles y asegúrate de que aparezca cada alcance.

    Si no aparece un alcance, haz clic en Editar, ingresa el alcance faltante y haz clic en Autorizar. No puedes editar el ID de cliente.

Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Cómo ver, editar o borrar clientes y alcances

Como práctica recomendada, revisa periódicamente los permisos de tu app y quita los que no sean necesarios o no se usen de forma activa. Además, borra los clientes que ya no necesites. Por ejemplo, quita el acceso a una herramienta de migración después de completar la migración.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControles de APIy luegoAdministrar la delegación de todo el dominio.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Haz clic en el nombre de un cliente y, luego, elige una opción:
  • Ver detalles: Consulta el nombre completo del cliente y la lista de permisos.
  • Editar: Agrega o quita permisos. No puedes editar el ID de cliente. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información
  • Borrar: Las aplicaciones que dependen de la autorización del cliente dejarán de funcionar de inmediato.

    Nota: Si la opción Aprobación de varias partes está habilitada para tu organización, editar los permisos o borrar la delegación en todo el dominio para una app cliente requiere la aprobación de otro administrador avanzado.