Beheer API-toegang met domeinbrede delegatie.

Domeinbrede delegatie is een krachtige functie waarmee u clienttoepassingen toegang kunt geven tot de gegevens van uw Workspace-gebruikers zonder dat zij daarvoor toestemming hoeven te geven. U kunt domeinbrede delegatie op twee manieren gebruiken:

  1. Autoriseer een serviceaccount om namens een gebruiker toegang te krijgen tot gegevens. Een serviceaccount kan de volgende typen apps gebruiken:
    • Migratie- en synchronisatietools waarmee gebruikerscontent van een andere service naar Google Workspace kan worden gekopieerd.
    • Interne apps (bijvoorbeeld automatiseringsapps) die ontwikkelaars voor uw organisatie maken. U kunt bijvoorbeeld toegang delegeren aan een applicatie die de Calendar API gebruikt om evenementen aan de agenda's van uw gebruikers toe te voegen.
  2. Sta gebruikers toe om OAuth-clientapps te gebruiken zonder een toestemmingsscherm te zien . Gebruikers kunnen apps gebruiken zonder om toestemming te worden gevraagd en u kunt specificeren tot welke gebruikersgegevens de apps toegang hebben.

U kunt ook de installatie voor het hele domein beheren en de API-scopes voor Google Workspace Marketplace-apps bekijken. Lees meer over gegevenstoegang en installatie van Marketplace-apps.

Voordat je begint

  • Zorg ervoor dat je superbeheerdersrechten hebt voor je Google Workspace-account.
  • Bekijk de best practices voor domeinbrede delegatie en de best practices voor het gebruik van serviceaccounts .
  • Controleer de lijst met API-scopes die nodig zijn voor de app of het serviceaccount. Controleer of de app of het serviceaccount een voldoende beperkte toegangsscope heeft.
  • (Als u een OAuth-app delegeert) Vraag de OAuth-client-ID op bij de app-ontwikkelaar.
  • (Als u een serviceaccount delegeert) Haal de client-ID van het serviceaccount op. Als u de eigenaar van het serviceaccount bent, kunt u de ID als volgt vinden:
    1. Meld u aan bij Google Cloud als superbeheerder.
    2. Klik op IAM & Beheer en dan Serviceaccounts en dan [ naam van uw serviceaccount ].
    3. Vouw de geavanceerde instellingen uit en kopieer de client-ID .
  • Met domeinbrede delegatie heeft de app toegang tot de gegevens van al uw gebruikers . We raden aan om regelmatig serviceaccounts te controleren en accounts te verwijderen die niet meer in gebruik zijn.

Stel domeinbrede delegatie in voor een client.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan API-besturingselementen en dan Beheer domeinbrede delegatie .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op 'Nieuw toevoegen' .
  3. Voer de client-ID in voor het serviceaccount of de OAuth2-client.
  4. Voeg in OAuth-scopes elke scope toe waartoe de applicatie toegang heeft (de scopes moeten voldoende beperkt zijn). U kunt alle OAuth 2.0-scopes voor Google API's gebruiken. Als de applicatie bijvoorbeeld domeinbrede toegang nodig heeft tot de Google Drive API en de Google Calendar API, voert u https://www.googleapis.com/auth/drive en https://www.googleapis.com/auth/calendar in.
  5. Klik op Autoriseren . Als u een foutmelding krijgt, is de client-ID mogelijk niet geregistreerd bij Google of zijn er dubbele of niet-ondersteunde scopes.

    Opmerking : Als goedkeuring door meerdere partijen is ingeschakeld voor uw organisatie, is voor het autoriseren van domeinbrede delegatie voor een client-app goedkeuring van een andere superbeheerder vereist.

  6. Wijs naar de nieuwe klant-ID, klik op Details bekijken en controleer of alle scopes worden weergegeven.

    Als een bereik niet in de lijst staat, klik dan op Bewerken , voer het ontbrekende bereik in en klik op Autoriseren . U kunt de client-ID niet wijzigen.

Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .

Klanten en scopes bekijken, bewerken of verwijderen.

Het is raadzaam om periodiek de scopes van uw app te controleren en scopes te verwijderen die niet nodig zijn of niet actief worden gebruikt. Verwijder ook clients die u niet langer nodig hebt. Verwijder bijvoorbeeld de toegang voor een migratietool nadat u de migratie hebt voltooid.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan API-besturingselementen en dan Beheer domeinbrede delegatie .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Klik op een klantnaam en kies vervolgens een optie:
  • Details bekijken — Bekijk de volledige klantnaam en de lijst met werkzaamheden
  • Bewerken — Scopes toevoegen of verwijderen. U kunt de client-ID niet wijzigen. Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller verwerkt. Meer informatie
  • Verwijderen — Applicaties die afhankelijk zijn van de clientautorisatie zullen onmiddellijk stoppen met werken.

    Opmerking : Als goedkeuring door meerdere partijen is ingeschakeld voor uw organisatie, is voor het bewerken van bereiken of het verwijderen van domeinbrede delegatie voor een client-app goedkeuring van een andere superbeheerder vereist.