Управляйте доступом к API с помощью делегирования полномочий в рамках всего домена.

Делегирование на уровне домена — это мощная функция, позволяющая предоставлять клиентским приложениям разрешение на доступ к данным пользователей вашей рабочей области без необходимости получения их согласия. Делегирование на уровне домена можно использовать двумя способами:

  1. Предоставьте служебной учетной записи право доступа к данным от имени пользователя. Служебная учетная запись может использовать следующие типы приложений:
    • Инструменты миграции и синхронизации, позволяющие дублировать пользовательский контент из другого сервиса в Google Workspace.
    • Внутренние приложения (например, приложения для автоматизации), которые разработчики создают для вашей организации. Например, вы можете делегировать доступ приложению, использующему API календаря для добавления событий в календари ваших пользователей.
  2. Разрешите пользователям использовать клиентские приложения OAuth без запроса согласия . Пользователи смогут получать доступ к приложениям без подтверждения согласия, и вы сможете указать, к каким данным пользователей приложения могут получить доступ.

Вы также можете управлять установкой приложений Google Workspace Marketplace в масштабе всего домена и просматривать области действия API для этих приложений. Узнайте больше о доступе к данным и установке приложений Marketplace.

Прежде чем начать

  • Убедитесь, что у вас есть права суперадминистратора для вашей учетной записи Google Workspace.
  • Ознакомьтесь с рекомендациями по делегированию полномочий в масштабах домена и рекомендациями по использованию учетных записей служб .
  • Проверьте список областей доступа API, необходимых приложению или сервисной учетной записи. Убедитесь, что приложение или сервисная учетная запись имеют достаточно ограниченный объем доступа.
  • (При делегировании OAuth-приложения) Получите идентификатор OAuth-клиента у разработчика приложения.
  • (При делегировании служебной учетной записи) Получите идентификатор клиента служебной учетной записи. Если вы являетесь владельцем служебной учетной записи, вы можете найти идентификатор следующим образом:
    1. Войдите в Google Cloud как суперадминистратор.
    2. Нажмите IAM и Администрирование а потом Служебные счета а потом [ Название вашего сервисного аккаунта ].
    3. Разверните раздел «Расширенные настройки» и скопируйте идентификатор клиента .
  • Благодаря делегированию полномочий на уровне домена, приложение получает доступ к данным всех ваших пользователей . Мы рекомендуем регулярно проверять учетные записи служб и удалять все учетные записи, которые больше не используются.

Настройка делегирования полномочий в масштабе всего домена для клиента.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API а потом Управление делегированием полномочий в масштабе всего домена .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Нажмите «Добавить новый» .
  3. Введите идентификатор клиента (Client ID) для учетной записи службы или клиента OAuth2.
  4. В поле «Области действия OAuth» добавьте каждую область действия, к которой может получить доступ приложение (она должна быть достаточно узкой). Вы можете использовать любую из областей действия OAuth 2.0 для API Google . Например, если приложению необходим доступ к API Google Drive и API Google Calendar в масштабе всего домена, введите https://www.googleapis.com/auth/drive и https://www.googleapis.com/auth/calendar .
  5. Нажмите «Авторизовать» . Если возникнет ошибка, возможно, идентификатор клиента не зарегистрирован в Google, или же могут быть дублирующиеся или неподдерживаемые области действия.

    Примечание : Если в вашей организации включено многостороннее утверждение , для авторизации делегирования полномочий в масштабах всего домена для клиентского приложения потребуется одобрение другого суперадминистратора.

  6. Укажите новый идентификатор клиента, нажмите «Просмотреть подробности» и убедитесь, что отображаются все области действия.

    Если нужная область действия отсутствует в списке, нажмите «Редактировать» , введите отсутствующую область действия и нажмите «Авторизовать» . Вы не можете изменить идентификатор клиента.

Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Просмотр, редактирование или удаление клиентов и областей действия.

В качестве рекомендации, периодически проверяйте области действия вашего приложения и удаляйте те, которые не требуются или активно не используются. Также удаляйте клиентов, которые вам больше не нужны. Например, отмените доступ к инструменту миграции после завершения миграции.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API а потом Управление делегированием полномочий в масштабе всего домена .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Щёлкните по имени клиента, а затем выберите один из вариантов:
  • Просмотреть подробности — Просмотреть полное имя клиента и список областей действия
  • Редактировать — Добавить или удалить области действия. Вы не можете редактировать идентификатор клиента. Изменения могут занять до 24 часов, но обычно происходят быстрее. Подробнее
  • Удалить — Приложения, зависящие от авторизации клиента, немедленно перестанут работать.

    Примечание : Если в вашей организации включено многостороннее утверждение , редактирование областей действия или удаление делегирования в масштабе домена для клиентского приложения потребует утверждения от другого суперадминистратора.