Kiểm soát quyền truy cập API bằng tính năng uỷ quyền trên toàn miền

Uỷ quyền trên toàn miền là một tính năng mạnh mẽ cho phép bạn cấp cho các ứng dụng khách quyền truy cập vào dữ liệu của người dùng Workspace mà không cần có sự đồng ý của họ. Bạn có thể sử dụng tính năng uỷ quyền trên toàn miền theo 2 cách:

  1. Uỷ quyền cho một tài khoản dịch vụ truy cập vào dữ liệu thay mặt cho người dùng. Tài khoản dịch vụ có thể sử dụng các loại ứng dụng sau:
    • Các công cụ di chuyển và đồng bộ hoá giúp sao chép nội dung của người dùng từ một dịch vụ khác sang Google Workspace.
    • Ứng dụng nội bộ (ví dụ: ứng dụng tự động hoá) do nhà phát triển tạo cho tổ chức của bạn. Ví dụ: bạn có thể uỷ quyền truy cập cho một ứng dụng sử dụng Calendar API để thêm sự kiện vào lịch của người dùng.
  2. Cho phép người dùng sử dụng ứng dụng OAuth mà không thấy màn hình đồng ý. Người dùng có thể truy cập vào ứng dụng mà không cần được nhắc nhở đồng ý và bạn có thể chỉ định dữ liệu người dùng mà ứng dụng có thể truy cập.

Bạn cũng có thể quản lý việc cài đặt trên toàn miền và xem các phạm vi API cho các ứng dụng trên Google Workspace Marketplace. Tìm hiểu về quyền truy cập dữ liệuquy trình cài đặt của các ứng dụng trên Marketplace.

Trước khi bắt đầu

  • Đảm bảo bạn có đặc quyền quản trị viên cấp cao cho tài khoản Google Workspace của mình.
  • Xem các phương pháp hay nhất về uỷ quyền trên toàn miềncác phương pháp hay nhất để sử dụng tài khoản dịch vụ.
  • Xác minh danh sách phạm vi API mà ứng dụng hoặc tài khoản dịch vụ cần. Kiểm tra để đảm bảo tài khoản ứng dụng hoặc dịch vụ có phạm vi truy cập nhỏ một cách thích hợp.
  • (Nếu uỷ quyền cho một ứng dụng OAuth) Lấy mã ứng dụng OAuth từ nhà phát triển ứng dụng.
  • (Nếu uỷ quyền cho tài khoản dịch vụ) Lấy mã ứng dụng của tài khoản dịch vụ. Nếu là chủ sở hữu tài khoản dịch vụ, bạn có thể tìm thấy mã nhận dạng theo cách sau:
    1. Đăng nhập vào Google Cloud với tư cách là quản trị viên cấp cao.
    2. Nhấp vào IAM và quản trịsau đóTài khoản dịch vụsau đó[tên tài khoản dịch vụ của bạn].
    3. Mở rộng Cài đặt nâng cao rồi sao chép Mã ứng dụng khách.
  • Với tính năng uỷ quyền trên toàn miền, ứng dụng có quyền truy cập vào dữ liệu thuộc về tất cả người dùng của bạn. Bạn nên thiết lập quy trình xem xét thường xuyên các tài khoản dịch vụ và xoá mọi tài khoản không còn được sử dụng.

Thiết lập tính năng uỷ quyền trên toàn miền cho một ứng dụng

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và chế độ kiểm soát dữ liệusau đóChế độ kiểm soát APIsau đóQuản lý việc uỷ quyền trên toàn miền.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Nhấp vào Thêm mới.
  3. Nhập Mã ứng dụng cho tài khoản dịch vụ hoặc ứng dụng OAuth2.
  4. Trong Phạm vi OAuth,hãy thêm từng phạm vi mà ứng dụng có thể truy cập (phải đủ hẹp). Bạn có thể sử dụng bất kỳ phạm vi OAuth 2.0 nào cho các API của Google. Ví dụ: nếu ứng dụng cần có quyền truy cập trên toàn miền vào API Google Drive và API Lịch Google, hãy nhập https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar.
  5. Nhấp vào Uỷ quyền. Nếu bạn gặp lỗi, thì có thể mã nhận dạng ứng dụng khách chưa được đăng ký với Google hoặc có các phạm vi trùng lặp hoặc không được hỗ trợ.

    Lưu ý: Nếu tổ chức của bạn bật chế độ Phê duyệt nhiều bên, thì việc uỷ quyền uỷ quyền trên toàn miền cho một ứng dụng khách sẽ yêu cầu sự phê duyệt của một quản trị viên cấp cao khác.

  6. Chỉ vào mã ứng dụng mới, nhấp vào Xem chi tiết và đảm bảo rằng mọi phạm vi đều được liệt kê.

    Nếu không thấy một phạm vi nào đó, hãy nhấp vào Chỉnh sửa, nhập phạm vi còn thiếu rồi nhấp vào Uỷ quyền. Bạn không thể chỉnh sửa mã ứng dụng khách.

Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Xem, chỉnh sửa hoặc xoá ứng dụng và phạm vi

Theo phương pháp hay nhất, hãy định kỳ kiểm tra các phạm vi của ứng dụng và xoá những phạm vi không cần thiết hoặc không được sử dụng. Ngoài ra, hãy xoá những ứng dụng khách mà bạn không cần nữa. Ví dụ: xoá quyền truy cập của một công cụ di chuyển sau khi bạn hoàn tất quá trình di chuyển.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và chế độ kiểm soát dữ liệusau đóChế độ kiểm soát APIsau đóQuản lý việc uỷ quyền trên toàn miền.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Nhấp vào tên khách hàng rồi chọn một lựa chọn:
  • Xem chi tiết – Xem tên đầy đủ của ứng dụng và danh sách các phạm vi
  • Chỉnh sửa – Thêm hoặc xoá phạm vi. Bạn không thể chỉnh sửa mã ứng dụng khách. Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm
  • Xoá: Những ứng dụng phụ thuộc vào việc uỷ quyền cho ứng dụng sẽ ngừng hoạt động ngay lập tức.

    Lưu ý: Nếu tổ chức của bạn bật chế độ Phê duyệt nhiều bên, thì việc chỉnh sửa phạm vi hoặc xoá uỷ quyền trên toàn miền cho một ứng dụng khách sẽ cần có sự phê duyệt của một quản trị viên cấp cao khác.