Kontrollera API-åtkomst med domänomfattande delegering

Domänomfattande delegering är en kraftfull funktion som låter dig ge klientprogram behörighet att komma åt dina Workspace-användares data utan att kräva deras samtycke. Du kan använda domänomfattande delegering på två sätt:

  1. Auktorisera ett tjänstkonto att få åtkomst till data för en användares räkning. Ett tjänstkonto kan använda följande typer av appar:
    • Migrerings- och synkroniseringsverktyg som duplicerar användarinnehåll från en annan tjänst till Google Workspace.
    • Interna appar (till exempel automatiseringsappar) som utvecklare skapar för din organisation. Du kan till exempel delegera åtkomst till en applikation som använder Kalender-API:et för att lägga till händelser i dina användares kalendrar.
  2. Tillåt användare att använda OAuth-klientappar utan att se en samtyckesskärm . Användare kan komma åt appar utan att bli ombedda att ge samtycke, och du kan ange vilka användardata apparna kan komma åt.

Du kan också hantera domänomfattande installation och visa API-omfattningar för Google Workspace Marketplace-appar. Läs mer om dataåtkomst och installation av Marketplace-appar.

Innan du börjar

  • Se till att du har superadministratörsbehörighet för ditt Google Workspace-konto.
  • Granska bästa praxis för domänomfattande delegering och bästa praxis för att använda tjänstkonton .
  • Verifiera listan över API-omfång som behövs av appen eller tjänstekontot. Kontrollera att appen eller tjänstekontot har ett tillräckligt litet åtkomstområde.
  • (Om du delegerar en OAuth-app) Hämta OAuth-klient-ID:t från apputvecklaren.
  • (Om du delegerar ett servicekonto) Hämta klient-ID för servicekontot. Om du är ägare till servicekontot kan du hitta ID:t så här:
    1. Logga in på Google Cloud som superadministratör.
    2. Klicka på IAM och administratör och sedan Servicekonton och sedan [ namn på ditt tjänstkonto ].
    3. Expandera Avancerade inställningar och kopiera klient-ID:t .
  • Med domänomfattande delegering har appen åtkomst till data som tillhör alla dina användare . Vi rekommenderar att du regelbundet granskar tjänstkonton och tar bort alla konton som inte längre används.

Konfigurera domänomfattande delegering för en klient

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan API-kontroller och sedan Hantera domänomfattande delegering .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Klicka på Lägg till ny .
  3. Ange klient-ID för antingen tjänstkontot eller OAuth2-klienten.
  4. I OAuth-omfång lägger du till varje omfång som applikationen har åtkomst till (ska vara tillräckligt smalt). Du kan använda vilket som helst av OAuth 2.0-omfången för Google API:er . Om applikationen till exempel behöver domänomfattande åtkomst till Google Drive API och Google Calendar API anger du https://www.googleapis.com/auth/drive och https://www.googleapis.com/auth/calendar .
  5. Klicka på Auktorisera . Om du får ett felmeddelande kanske klient-ID:t inte är registrerat hos Google eller så kan det finnas dubbletter eller omfattningar som inte stöds.

    Obs ! Om godkännande från flera parter är aktiverat för din organisation kräver auktorisering av domänomfattande delegering för en klientapp godkännande från en annan superadministratör.

  6. Peka på det nya klient-ID:t, klicka på Visa detaljer och se till att alla omfång listas.

    Om ett omfång inte finns i listan klickar du på Redigera , anger det saknade omfånget och klickar på Auktorisera . Du kan inte redigera klient-ID:t.

Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Visa, redigera eller ta bort klienter och omfång

Som en god praxis bör du regelbundet kontrollera appens omfattningar och ta bort omfattningar som inte krävs eller används aktivt. Ta även bort klienter som du inte längre behöver. Ta till exempel bort åtkomst för ett migreringsverktyg när du har slutfört migreringen.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan API-kontroller och sedan Hantera domänomfattande delegering .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Klicka på ett klientnamn och välj sedan ett alternativ:
  • Visa detaljer – Visa hela klientnamnet och lista över omfång
  • Redigera — Lägg till eller ta bort omfång. Du kan inte redigera klient-ID:t. Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer
  • Ta bort — Program som är beroende av klientauktoriseringen slutar omedelbart att fungera.

    Obs ! Om godkännande från flera parter är aktiverat för din organisation kräver redigering av omfattningar eller borttagning av domänomfattande delegering för en klientapp godkännande från en annan superadministratör.