การมอบสิทธิ์ทั่วทั้งโดเมนเป็นฟีเจอร์ที่มีประสิทธิภาพซึ่งช่วยให้คุณให้สิทธิ์แอปพลิเคชันไคลเอ็นต์ในการเข้าถึงข้อมูลของผู้ใช้ Workspace ได้โดยไม่ต้องขอความยินยอม คุณจะใช้การมอบสิทธิ์ทั่วทั้งโดเมนได้ 2 วิธีดังนี้
- ให้สิทธิ์บัญชีบริการในการเข้าถึงข้อมูลในนามของผู้ใช้ บัญชีบริการอาจใช้แอปประเภทต่อไปนี้
- เครื่องมือการย้ายข้อมูลและซิงค์เนื้อหาที่คัดลอกเนื้อหาของผู้ใช้จากบริการอื่นไปยัง Google Workspace
- แอปภายใน (เช่น แอปการทำงานอัตโนมัติ) ที่นักพัฒนาซอฟต์แวร์สร้างไว้ให้องค์กรของคุณ เช่น คุณจะมอบสิทธิ์เข้าถึงให้กับแอปพลิเคชันที่ใช้ Calendar API เพื่อเพิ่มกิจกรรมไปยังปฏิทินของผู้ใช้ได้
- อนุญาตให้ผู้ใช้ใช้แอปไคลเอ็นต์ OAuth โดยไม่มีหน้าจอขอความยินยอมปรากฏขึ้น ผู้ใช้จะเข้าถึงแอปได้โดยที่ระบบไม่ต้องขอคำยินยอม และคุณจะระบุได้ว่าแอปจะเข้าถึงข้อมูลใดของผู้ใช้ได้บ้าง
นอกจากนี้คุณยังจัดการการติดตั้งทั่วทั้งโดเมนและดูขอบเขต API สําหรับแอปใน Google Workspace Marketplace ได้อีกด้วย ดูข้อมูลเกี่ยวกับแอปใน Marketplace ที่หัวข้อการเข้าถึงข้อมูลและการติดตั้ง
ก่อนเริ่มต้น
- ตรวจสอบว่าคุณมีสิทธิ์ของผู้ดูแลระบบขั้นสูงสําหรับบัญชี Google Workspace
- อ่านแนวทางปฏิบัติแนะนำสำหรับการมอบสิทธิ์ทั่วทั้งโดเมนและแนวทางปฏิบัติแนะนำสำหรับการใช้บัญชีบริการ
- ยืนยันรายการขอบเขต API ที่แอปหรือบัญชีบริการต้องการ ตรวจสอบว่าแอปหรือบัญชีบริการมีขอบเขตการเข้าถึงที่เหมาะสม
- (หากมอบสิทธิ์ให้แอป OAuth) รับรหัสไคลเอ็นต์ OAuth จากนักพัฒนาแอป
- (หากมอบสิทธิ์ให้บัญชีบริการ) รับรหัสไคลเอ็นต์ของบัญชีบริการ หากคุณเป็นเจ้าของบัญชีบริการ คุณสามารถค้นหารหัสได้ดังนี้
- ลงชื่อเข้าใช้ Google Cloud ในฐานะผู้ดูแลระบบขั้นสูง
- คลิก IAM และผู้ดูแลระบบ
บัญชีบริการ[ชื่อบัญชีบริการของคุณ] - ขยายการตั้งค่าขั้นสูง แล้วคัดลอกรหัสไคลเอ็นต์
- เมื่อใช้การมอบสิทธิ์ทั่วทั้งโดเมน แอปจะมีสิทธิ์เข้าถึงข้อมูลที่เป็นของผู้ใช้ทุกคน เราขอแนะนำให้ตั้งค่าการตรวจสอบบัญชีบริการเป็นประจำและลบบัญชีที่ไม่ได้ใช้แล้ว
ตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับไคลเอ็นต์
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
ความปลอดภัยการเข้าถึงและการควบคุมข้อมูลการควบคุม APIจัดการการมอบสิทธิ์ทั่วทั้งโดเมนคุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
- คลิกเพิ่มใหม่
- ป้อนรหัสไคลเอ็นต์สำหรับบัญชีบริการหรือไคลเอ็นต์ OAuth2
- ในส่วนขอบเขต OAuth ให้เพิ่มแต่ละขอบเขตที่แอปพลิเคชันเข้าถึงได้ (ควรจำกัดให้แคบอย่างเหมาะสม) คุณจะใช้ขอบเขต OAuth 2.0 สำหรับ Google APIs ใดก็ได้ เช่น หากแอปพลิเคชันต้องการสิทธิ์เข้าถึง Google Drive API และ Google Calendar API แบบทั่วทั้งโดเมน ให้ป้อน https://www.googleapis.com/auth/drive และ https://www.googleapis.com/auth/calendar
- คลิกให้สิทธิ์ หากคุณพบข้อผิดพลาด ระบบอาจไม่ได้ลงทะเบียนรหัสไคลเอ็นต์กับ Google หรืออาจมีขอบเขตที่ซ้ำกันหรือไม่รองรับ
หมายเหตุ: หากเปิดใช้การอนุมัติจากผู้ที่มีสิทธิ์สําหรับองค์กร การให้สิทธิ์การมอบสิทธิ์ทั่วทั้งโดเมนสําหรับแอปไคลเอ็นต์จะต้องได้รับอนุมัติจากผู้ดูแลระบบขั้นสูงรายอื่น
-
ชี้เมาส์ไปที่รหัสไคลเอ็นต์ใหม่ แล้วคลิกดูรายละเอียด จากนั้นตรวจสอบว่าได้ระบุขอบเขตทุกรายการแล้ว
หากยังไม่ได้ระบุขอบเขต ให้คลิกแก้ไขแล้วป้อนขอบเขตดังกล่าว จากนั้นคลิกอนุมัติ คุณไม่สามารถแก้ไขรหัสไคลเอ็นต์ได้
ดู แก้ไข หรือลบไคลเอ็นต์และขอบเขต
แนวทางปฏิบัติแนะนำคือให้ตรวจสอบขอบเขตของแอปเป็นระยะๆ และนำขอบเขตที่ไม่จำเป็นหรือไม่ค่อยได้ใช้ออก รวมทั้งลบไคลเอ็นต์ที่ไม่ต้องการแล้วออกด้วย ตัวอย่างเช่น นำสิทธิ์เข้าถึงเครื่องมือการย้ายข้อมูลออกหลังจากที่ย้ายข้อมูลเสร็จแล้ว
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
ความปลอดภัยการเข้าถึงและการควบคุมข้อมูลการควบคุม APIจัดการการมอบสิทธิ์ทั่วทั้งโดเมนคุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
- คลิกชื่อไคลเอ็นต์แล้วเลือกตัวเลือกต่อไปนี้
- ดูรายละเอียด - ดูชื่อไคลเอ็นต์แบบเต็มและรายการขอบเขต
- แก้ไข - เพิ่มหรือนำขอบเขตออก คุณไม่สามารถแก้ไขรหัสไคลเอ็นต์ได้ การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
- ลบ - แอปพลิเคชันที่อ้างอิงการให้สิทธิ์ไคลเอ็นต์จะหยุดทำงานทันที
หมายเหตุ: หากเปิดใช้การอนุมัติจากผู้ที่มีสิทธิ์สําหรับองค์กร การแก้ไขขอบเขตหรือการลบการมอบสิทธิ์ทั่วทั้งโดเมนสําหรับแอปไคลเอ็นต์จะต้องได้รับอนุมัติจากผู้ดูแลระบบขั้นสูงรายอื่น