הענקת גישה ברמת הדומיין היא תכונה עוצמתית שמאפשרת להעניק לאפליקציות-לקוח הרשאה לגשת לנתונים של משתמשי Workspace בלי לקבל את הסכמתם. אפשר להשתמש בהענקת גישה ברמת הדומיין בשתי דרכים:
- איך נותנים לחשבון שירות הרשאה לגשת לנתונים בשם משתמש חשבון שירות יכול להשתמש בסוגי האפליקציות הבאים:
- כלים להעברה ולסנכרון שמשכפלים תוכן משתמש משירות אחר ל-Google Workspace.
- אפליקציות פנימיות (לדוגמה, אפליקציות אוטומציה) שמפתחים יוצרים בשביל הארגון שלכם. לדוגמה, אתם יכולים להעניק גישה לאפליקציה שמשתמשת ב-Calendar API כדי להוסיף אירועים ליומנים של המשתמשים.
- המשתמשים יכולים להשתמש באפליקציות לקוח OAuth בלי לראות מסך הסכמה. המשתמשים יוכלו לגשת לאפליקציות בלי שתופיע להם בקשה להסכמה, ותוכלו לציין את נתוני המשתמש שהאפליקציות יוכלו לגשת אליהם.
אפשר גם לנהל התקנה ברמת הדומיין ולראות את היקפי ה-API של אפליקציות מ-Google Workspace Marketplace. מידע נוסף על גישה לנתונים ועל התקנה של אפליקציות מ-Marketplace
לפני שמתחילים
- מוודאים שיש לכם הרשאות סופר-אדמין בחשבון Google Workspace.
- מומלץ לעיין בשיטות המומלצות להענקת גישה ברמת הדומיין ובשיטות המומלצות לשימוש בחשבונות שירות.
- בודקים את רשימת היקפי ההרשאות של ה-API שנדרשים לאפליקציה או לחשבון השירות. בודקים שלחשבון השירות או לאפליקציה יש היקף גישה קטן ככל האפשר.
- (אם מעניקים הרשאה לאפליקציית OAuth) מקבלים את מזהה הלקוח ב-OAuth ממפתח האפליקציה.
- (אם מבצעים הקצאת הרשאות לחשבון שירות) מקבלים את מזהה הלקוח של חשבון השירות. אם אתם הבעלים של חשבון השירות, תוכלו למצוא את המזהה באופן הבא:
- נכנסים אל Google Cloud כסופר-אדמין.
- לוחצים על IAM & Admin (ניהול הרשאות וגישה)
Service accounts (חשבונות שירות)[name of your service account] (שם חשבון השירות). - מרחיבים את הגדרות מתקדמות ומעתיקים את מזהה הלקוח.
- הענקת גישה ברמת הדומיין מאפשרת לאפליקציה לגשת לנתונים ששייכים לכל המשתמשים. מומלץ להגדיר בדיקה קבועה של חשבונות שירות ולמחוק חשבונות שכבר לא נמצאים בשימוש.
הגדרה של הענקת גישה ברמת הדומיין ללקוח
-
במסוף Google Admin, נכנסים לתפריט
אבטחהשליטה בגישה ובנתוניםאמצעי בקרה לממשקי APIניהול הענקת גישה ברמת הדומיין.כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.
- לוחצים על הוספת חדש.
- מזינים את מזהה הלקוח של חשבון השירות או של לקוח OAuth2.
- בקטע OAuth Scopes (היקפי הרשאות ל-OAuth), מוסיפים כל היקף הרשאות שהאפליקציה יכולה לגשת אליו (ההיקף צריך להיות מצומצם ככל האפשר). אפשר להשתמש בכל אחד מהיקפי ההרשאות של OAuth 2.0 ל-Google APIs. לדוגמה, אם לאפליקציה נדרשת גישה ל-Google Drive API ול-Google Calendar API ברמת הדומיין, מזינים את הכתובות https://www.googleapis.com/auth/drive ו-https://www.googleapis.com/auth/calendar.
- לוחצים על Authorize. אם מופיעה שגיאה, יכול להיות שמזהה הלקוח לא רשום ב-Google או שיש היקפים כפולים או לא נתמכים.
הערה: אם קבלת אישור ממספר משתמשים מופעלת בארגון שלכם, כדי לאשר הענקת הרשאות ברמת הדומיין לאפליקציית לקוח, צריך לקבל אישור מסופר-אדמין אחר.
-
מצביעים על מזהה הלקוח החדש, לוחצים על הצגת פרטים ומוודאים שכל היקף מופיע ברשימה.
אם היקף ההרשאות לא מופיע, לוחצים על עריכה, מזינים את היקף ההרשאות החסר ולוחצים על אישור. אי אפשר לערוך את מזהה הלקוח.
איך רואים, עורכים או מוחקים לקוחות והיקפי הרשאות
מומלץ לבדוק מדי פעם את היקפי ההרשאות של האפליקציה ולהסיר היקפי הרשאות שלא נדרשים או שלא נמצאים בשימוש פעיל. כדאי גם למחוק לקוחות שכבר לא צריך. לדוגמה, אפשר להסיר את הגישה לכלי להעברה אחרי שההעברה תושלם.
-
במסוף Google Admin, נכנסים לתפריט
אבטחהשליטה בגישה ובנתוניםאמצעי בקרה לממשקי APIניהול הענקת גישה ברמת הדומיין.כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.
- לוחצים על שם הלקוח ובוחרים באחת מהאפשרויות:
- הצגת הפרטים – הצגת השם המלא של הלקוח ורשימת ההיקפים
- עריכה – הוספה או הסרה של היקפי הרשאות. אי אפשר לערוך את מזהה הלקוח. יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף
- מחיקה – אפליקציות שתלויות בהרשאת הלקוח יפסיקו לפעול באופן מיידי.
הערה: אם קבלת אישור ממספר משתמשים מופעלת בארגון שלכם, כדי לערוך את היקפי ההרשאות או למחוק את ההרשאה להעברת סמכויות ברמת הדומיין לאפליקציית לקוח, צריך לקבל אישור מסופר-אדמין אחר.