کنترل دسترسی API با واگذاری اختیارات در سطح دامنه

• مطمئن شوید که برای حساب Google Workspace خود، دسترسی‌های فوق مدیریتی دارید.
• بهترین شیوه‌های واگذاری اختیار در سطح دامنه و بهترین شیوه‌های استفاده از حساب‌های سرویس را مرور کنید.
• فهرست محدوده‌های API مورد نیاز حساب کاربری برنامه یا سرویس را تأیید کنید. بررسی کنید که حساب کاربری برنامه یا سرویس، محدوده دسترسی کوچک و مناسبی داشته باشد.
• (در صورت واگذاری یک برنامه OAuth) شناسه کلاینت OAuth را از توسعه‌دهنده برنامه دریافت کنید.
• (در صورت واگذاری یک حساب سرویس) شناسه کلاینت حساب سرویس را دریافت کنید. اگر مالک حساب سرویس هستید، می‌توانید شناسه را به شرح زیر پیدا کنید:
  1. به عنوان مدیر ارشد وارد Google Cloud شوید.
  2. روی IAM و مدیر کلیک کنید حساب‌های خدماتی [ نام حساب کاربری سرویس شما ].
  3. تنظیمات پیشرفته (Advanced settings) را باز کنید و شناسه کلاینت (Client ID) را کپی کنید.
• با واگذاری اختیارات در سطح دامنه، برنامه به داده‌های متعلق به همه کاربران شما دسترسی دارد. توصیه می‌کنیم بررسی منظم حساب‌های سرویس را تنظیم کنید و حساب‌هایی را که دیگر استفاده نمی‌شوند حذف کنید.

1. در کنسول مدیریت گوگل، به منو بروید امنیت کنترل دسترسی و داده‌ها کنترل‌های API مدیریت نمایندگی در سطح دامنه .

   به مدیریت نمایندگی دامنه بروید

   برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

2. روی افزودن جدید کلیک کنید.
3. شناسه کلاینت را برای حساب سرویس یا کلاینت OAuth2 وارد کنید.
4. در OAuth Scopes، هر محدوده‌ای را که برنامه می‌تواند به آن دسترسی داشته باشد (باید به طور مناسب محدود باشد) اضافه کنید. می‌توانید از هر یک از Scopeهای OAuth 2.0 برای Google APIها استفاده کنید. برای مثال، اگر برنامه به دسترسی در سطح دامنه به Google Drive API و Google Calendar API نیاز دارد، https://www.googleapis.com/auth/drive و https://www.googleapis.com/auth/calendar را وارد کنید.
5. روی تأیید (Authorize) کلیک کنید. اگر با خطایی مواجه شدید، ممکن است شناسه کلاینت در گوگل ثبت نشده باشد یا ممکن است دامنه‌های تکراری یا پشتیبانی نشده وجود داشته باشد.

   توجه : اگر تأیید چندجانبه برای سازمان شما فعال باشد، اعطای مجوز واگذاری اختیارات در سطح دامنه برای یک برنامه کلاینت نیاز به تأیید یک مدیر ارشد دیگر دارد.

6. به شناسه کلاینت جدید اشاره کنید، روی مشاهده جزئیات کلیک کنید و مطمئن شوید که هر محدوده‌ای فهرست شده است.

   اگر محدوده‌ای در فهرست نیست، روی ویرایش کلیک کنید، محدوده‌ی جا افتاده را وارد کنید و روی تأیید کلیک کنید. شما نمی‌توانید شناسه‌ی کلاینت را ویرایش کنید.

به عنوان یک روش عالی، به صورت دوره‌ای محدوده‌های برنامه خود را بررسی کنید و محدوده‌هایی را که مورد نیاز نیستند یا به طور فعال استفاده نمی‌شوند، حذف کنید. همچنین، کلاینت‌هایی را که دیگر نیازی به آنها ندارید حذف کنید. به عنوان مثال، پس از تکمیل مهاجرت، دسترسی به یک ابزار مهاجرت را حذف کنید.

1. در کنسول مدیریت گوگل، به منو بروید امنیت کنترل دسترسی و داده‌ها کنترل‌های API مدیریت نمایندگی در سطح دامنه .

   به مدیریت نمایندگی دامنه بروید

   برای این کار باید به عنوان مدیر ارشد وارد سیستم شوید.

2. روی نام مشتری کلیک کنید و سپس یکی از گزینه‌ها را انتخاب کنید:

• مشاهده جزئیات — مشاهده نام کامل مشتری و لیست محدوده‌ها
• ویرایش — اضافه یا حذف محدوده‌ها. شما نمی‌توانید شناسه کلاینت را ویرایش کنید. تغییرات می‌توانند تا ۲۴ ساعت طول بکشند اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر
• حذف - برنامه‌هایی که به مجوز کلاینت وابسته هستند، بلافاصله از کار می‌افتند.

  توجه : اگر تأیید چندجانبه برای سازمان شما فعال باشد، ویرایش محدوده‌ها یا حذف واگذاری اختیارات در سطح دامنه برای یک برنامه کلاینت نیاز به تأیید یک مدیر ارشد دیگر دارد.