Mengontrol aplikasi pihak ketiga & internal mana yang dapat mengakses data Google Workspace

Untuk mengelola aplikasi seluler untuk organisasi Anda, buka di sini.

Anda dapat mengontrol cara aplikasi mengakses data Google organisasi Anda. Anda dapat menggunakan setelan di konsol Google Admin untuk mengatur akses ke layanan Google Workspace melalui OAuth 2.0. Beberapa aplikasi menggunakan cakupan OAuth 2.0—mekanisme untuk membatasi akses ke akun pengguna.

Anda juga dapat menyesuaikan pesan error yang dilihat pengguna saat mereka mencoba menginstal aplikasi yang tidak diberi otorisasi.

Catatan: Untuk Google Workspace for Education, batasan tambahan mungkin mencegah pengguna di sekolah dasar dan menengah mengakses aplikasi pihak ketiga tertentu.

Mengontrol akses aplikasi ke data Google

Sebelum memulai: Tinjau aplikasi pihak ketiga yang diberi otorisasi

Sebelum menerapkan kontrol, tinjau daftar aplikasi yang telah diberi otorisasi untuk mengakses data Google. Detail tentang aplikasi pihak ketiga biasanya muncul 24–48 jam setelah otorisasi.

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluKontrol API.

    Memerlukan Hak istimewa administrator Setelan Layanan.

    Anda dapat meninjau jumlah aplikasi yang dikonfigurasi dan diakses.

    • Aplikasi yang dikonfigurasi adalah aplikasi dengan kebijakan akses (tepercaya, terbatas, atau diblokir). Jika Anda belum memercayai atau memblokir aplikasi apa pun, Anda akan melihat nol (0) aplikasi yang dikonfigurasi.
    • Aplikasi yang diakses adalah aplikasi pihak ketiga yang digunakan oleh pengguna yang telah mengakses data Google.
  2. Klik Kelola Akses Aplikasi Pihak Ketiga.
    Aplikasi yang dikonfigurasi ditampilkan secara default. Anda dapat meninjau:
    • Nama aplikasi
    • Jenis
    • ID
    • Status terverifikasi—Aplikasi yang diverifikasi telah ditinjau oleh Google untuk memastikan kepatuhan terhadap kebijakan tertentu. Banyak aplikasi terkenal mungkin tidak diverifikasi dengan cara ini. Untuk mengetahui detail selengkapnya, buka Apa yang dimaksud dengan aplikasi pihak ketiga yang diverifikasi?
    • Akses—Menentukan apakah aplikasi Tepercaya, Terbatas, atau Diblokir.
  3. (Opsional) Untuk melihat aplikasi yang diakses, di bagian Aplikasi yang diakses, klik Lihat daftar.

    Untuk Aplikasi yang diakses, Anda juga dapat meninjau:

    • Pengguna—Jumlah pengguna yang mengakses aplikasi.
    • Layanan yang diminta—API layanan Google (cakupan OAuth2) yang digunakan setiap aplikasi (misalnya, Gmail, Google Kalender, atau Google Drive). Layanan yang tidak diminta Google tercantum sebagai Lainnya.
  4. Dari daftar Aplikasi yang dikonfigurasi atau Aplikasi yang diakses, klik aplikasi untuk meninjau:
    • Mengelola apakah aplikasi Anda dapat mengakses layanan Google atau tidak—Periksa apakah aplikasi ditandai sebagai Tepercaya, Terbatas, atau Diblokir. Jika Anda mengubah konfigurasi akses, klik Simpan.
    • Melihat informasi tentang aplikasi—Lihat client ID OAuth2 lengkap dari aplikasi, jumlah pengguna, kebijakan privasi, dan informasi dukungan.
    • Melihat API layanan Google (cakupan OAuth) yang diminta oleh aplikasi—Lihat daftar cakupan OAuth yang diminta oleh setiap aplikasi. Untuk melihat setiap cakupan OAuth, luaskan baris tabel atau klik Luaskan Semua.
  5. (Opsional) Untuk mendownload informasi aplikasi ke dalam file CSV, di bagian atas daftar Aplikasi yang dikonfigurasi atau Aplikasi yang diakses, klik Download daftar.
    • Semua data dalam tabel akan didownload (termasuk data yang belum ditampilkan).
    • Untuk aplikasi yang Dikonfigurasi, file CSV berisi kolom tambahan yang tidak terlihat dalam tabel: Jumlah pengguna, Layanan yang diminta, dan cakupan API yang terkait dengan setiap layanan. Jika aplikasi yang dikonfigurasi belum diakses, jumlah pengguna untuk aplikasi tersebut akan menampilkan angka nol (0) dan 2 kolom lainnya akan kosong.

Verifikasi aplikasi adalah program Google untuk memastikan bahwa aplikasi pihak ketiga yang mengakses data sensitif pelanggan lolos pemeriksaan privasi dan keamanan. Pengguna mungkin diblokir sehingga tidak dapat mengaktifkan aplikasi yang belum diverifikasi dan tidak dipercaya (lihat detail tentang cara menandai aplikasi sebagai tepercaya di halaman ini). Untuk mengetahui informasi selengkapnya tentang verifikasi aplikasi, buka Mengizinkan aplikasi pihak ketiga yang belum diverifikasi.

Langkah 2: Batasi atau batalkan pembatasan layanan Google

Anda dapat membatasi (atau membiarkan agar tidak dibatasi) akses ke sebagian besar layanan Google Workspace, termasuk layanan Google Cloud, seperti Machine Learning. Untuk Gmail dan Google Drive, Anda secara khusus dapat membatasi akses ke layanan berisiko tinggi, misalnya mengirim email atau menghapus file di Drive. Saat pengguna diminta mengizinkan aplikasi, pengguna tidak dapat menambahkan aplikasi jika aplikasi tersebut meminta akses ke layanan yang dibatasi dan Anda belum menandainya secara khusus sebagai tepercaya.

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluKontrol API.

    Memerlukan Hak istimewa administrator Setelan Layanan.

  2. Klik Kelola Layanan Google.
  3. Dari daftar layanan, centang kotak di sebelah layanan yang ingin Anda kelola.
    Centang kotak Layanan untuk mencentang semua kotak.
  4. (Opsional) Untuk memfilter daftar ini, klik Tambahkan filter dan pilih dari kriteria berikut:
    • Layanan Google—Pilih dari daftar layanan, seperti Drive atau Gmail, lalu klik Terapkan.
    • Akses layanan Google—Pilih Tidak dibatasi atau Dibatasi, lalu klik Terapkan.
    • Aplikasi yang diizinkan—Tentukan rentang jumlah aplikasi yang diizinkan, lalu klik Terapkan.
    • Pengguna—Tentukan rentang jumlah pengguna, lalu klik Terapkan.
  5. Di bagian atas, klik Ubah akses, lalu pilih Tidak dibatasi atau Dibatasi.
    Jika Anda mengubah akses ke Dibatasi, semua aplikasi yang sudah terinstal dan belum ditandai sebagai tepercaya akan berhenti berfungsi dan dicabut tokennya. Saat mencoba menginstal aplikasi yang memiliki cakupan yang dibatasi, pengguna akan mendapat notifikasi bahwa aplikasi diblokir. Jika Anda membatasi akses ke layanan Drive, akses ke Google Forms API juga dibatasi.
    Catatan: Daftar aplikasi yang diakses diperbarui 48 jam setelah token diberikan atau dicabut.
  6. (Opsional) Jika Anda memilih Dibatasi, untuk mengizinkan akses ke cakupan OAuth yang tidak diklasifikasikan sebagai berisiko tinggi (misalnya, cakupan yang mengizinkan aplikasi mengakses file yang dipilih pengguna di Drive), centang kotak Untuk aplikasi yang tidak dipercaya, izinkan pengguna memberi akses ke cakupan OAuth yang tidak diklasifikasikan sebagai berisiko tinggi. (Kotak centang ini akan muncul untuk aplikasi seperti Gmail dan Drive, tetapi tidak untuk semua aplikasi.)
  7. Klik Ubah dan konfirmasi, jika diperlukan.
  8. (Opsional) Untuk meninjau aplikasi mana saja yang memiliki akses ke suatu layanan:
    1. Di bagian atas, untuk Aplikasi yang diakses, klik Lihat daftar.
    2. Klik Tambahkan filterlaluLayanan yang diminta.
    3. Pilih layanan yang sedang Anda periksa, lalu klik Terapkan.

Membatasi akses ke cakupan OAuth berisiko tinggi

Gmail dan Drive juga dapat membatasi akses ke daftar cakupan OAuth berisiko tinggi yang telah ditetapkan.

Untuk Gmail, cakupan OAuth berisiko tinggi antara lain:

  • https://mail.google.com/
  • https://www.googleapis.com/auth/gmail.compose
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.metadata
  • https://www.googleapis.com/auth/gmail.modify
  • https://www.googleapis.com/auth/gmail.readonly
  • https://www.googleapis.com/auth/gmail.send
  • https://www.googleapis.com/auth/gmail.settings.basic
  • https://www.googleapis.com/auth/gmail.settings.sharing
    Untuk mengetahui detail tentang cakupan Gmail, buka Memilih Cakupan Auth.

Untuk Drive, cakupan OAuth berisiko tinggi antara lain:

  • https://www.googleapis.com/auth/drive
  • https://www.googleapis.com/auth/drive.apps.readonly
  • https://www.googleapis.com/auth/drive.metadata
  • https://www.googleapis.com/auth/drive.metadata.readonly
  • https://www.googleapis.com/auth/drive.readonly
  • https://www.googleapis.com/auth/drive.scripts
  • https://www.googleapis.com/auth/documents
    Untuk mengetahui detail tentang cakupan Drive, buka Informasi otorisasi dan autentikasi khusus API .

Langkah 3: Mengelola akses aplikasi pihak ketiga ke layanan Google & menambahkan aplikasi

Anda dapat mengelola akses ke aplikasi tertentu dengan memblokir aplikasi tersebut, menandainya sebagai tepercaya, atau memberikan akses hanya ke layanan Google yang tidak dibatasi. Aplikasi tepercaya memiliki akses ke semua layanan Google Workspace (cakupan OAuth), termasuk layanan yang dibatasi. Aplikasi yang tidak Anda percayai hanya dapat mengakses layanan yang tidak dibatasi.

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluKontrol API.

    Memerlukan Hak istimewa administrator Setelan Layanan.

  2. Di bagian Kontrol akses aplikasi, klik Kelola Akses Aplikasi Pihak Ketiga.
  3. Untuk Aplikasi yang dikonfigurasi, klik Lihat daftar.
  4. (Opsional) Untuk memfilter daftar, klik Tambahkan filter, lalu pilih salah satu opsi:
    • Nama aplikasi—Masukkan nama aplikasi, lalu klik Terapkan.
    • Jenis—Pilih Aplikasi web, iOS, atau Android, lalu klik Terapkan.
    • ID—Masukkan ID aplikasi, lalu klik Terapkan.
    • Status terverifikasi—Pilih Diverifikasi Google, lalu klik Terapkan untuk meninjau aplikasi yang ditinjau oleh Google dan mematuhi kebijakan tertentu. Untuk mengetahui detail selengkapnya, buka Apa yang dimaksud dengan aplikasi pihak ketiga terverifikasi?
    • Akses—Centang kotak Tepercaya atau Diblokir, lalu klik Terapkan.
  5. Arahkan kursor ke aplikasi, lalu klik Ubah akses. Atau, centang kotak di samping beberapa aplikasi dan di bagian atas, lalu klik Ubah akses. Anda juga dapat memutuskan untuk memercayai semua aplikasi yang dimiliki domain, atau memblokir aplikasi sehingga tidak dapat mengakses layanan Google Workspace apa pun.
  6. Pilih salah satu opsi:
    • Tepercaya—Memercayai aplikasi akan mengganti batasan layanan. Aplikasi milik Google, seperti browser Chrome, secara otomatis dipercaya dan tidak dapat dikonfigurasi sebagai aplikasi tepercaya.
    • Terbatas—Hanya dapat mengakses layanan Google yang tidak dibatasi.
    • Diblokir—Tidak dapat mengakses layanan Google apa pun.
      Jika Anda menambahkan aplikasi untuk perangkat ke daftar yang diizinkan dan juga memblokir aplikasi yang sama menggunakan kontrol API, aplikasi tersebut akan diblokir. Pemblokiran aplikasi menggunakan kontrol API akan menggantikan penempatan aplikasi di daftar yang diizinkan.
  7. Klik Ubah.

Menambahkan aplikasi baru

  1. Di bagian Kontrol akses aplikasi, klik Kelola Akses Aplikasi Pihak Ketiga.
  2. Untuk Aplikasi yang dikonfigurasi, klik Tambahkan aplikasi.
  3. Pilih ID Klien atau Nama Aplikasi OAuth, Android, atau iOS.
  4. Masukkan client ID atau nama aplikasi, lalu klik Telusuri.
  5. Arahkan kursor ke aplikasi, lalu klik Pilih.
  6. Centang kotak client ID yang ingin dikonfigurasi, lalu klik Pilih.
  7. Pilih Tepercaya atau Diblokir, lalu klik Konfigurasikan.

Pengguna diminta memberikan izin untuk menambahkan aplikasi web. Namun, di Google Workspace Marketplace, untuk aplikasi yang disetujui, Anda dapat mengabaikan layar izin melalui penginstalan domain.

Menyesuaikan pesan untuk aplikasi yang tidak diberi otorisasi

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluKontrol API.

    Memerlukan Hak istimewa administrator Setelan Layanan.

  2. Klik kartu Setelan.
  3. Klik Pesan pengguna.
  4. Aktifkan pesan pengguna.
  5. Masukkan pesan pengguna pilihan Anda di kolom pesan.
  6. Klik Simpan.

Langkah 4: Kontrol akses API

Memblokir semua akses API pihak ketiga

Anda dapat memblokir semua akses API pihak ketiga sehingga permintaan oleh aplikasi dan situs pihak ketiga tidak dapat mengakses data pengguna. Setelan ini memblokir semua cakupan OAuth, termasuk cakupan login, yang berarti bahwa pengguna tidak dapat lagi login dengan Google ke aplikasi dan situs pihak ketiga.

  1. Di konsol Google Admin, buka Menu lalu KeamananlaluKontrol data dan akseslaluKontrol API.

    Memerlukan Hak istimewa administrator Setelan Layanan.

  2. Klik kartu Setelan.
  3. Klik Aplikasi pihak ketiga yang tidak dikonfigurasi.
  4. Bergantung pada edisi Workspace Anda, pilih salah satu opsi berikut:
    • Edisi Education—Lihat Jangan izinkan pengguna mengakses aplikasi pihak ketiga apa pun dengan akun mereka.
    • Edisi Workspace lainnya—Pilih Jangan izinkan pengguna mengakses aplikasi pihak ketiga.
  5. Klik Simpan.

Beberapa setelan menggantikan setelan API. Misalnya, pengguna tetap dapat mengakses aplikasi yang dikonfigurasi dengan akses Tepercaya atau Terbatas, meskipun Anda mencentang kotak Blokir semua akses API pihak ketiga.

Mengizinkan akses ke aplikasi pihak ketiga yang hanya memerlukan login dengan Google

Gunakan opsi ini jika Anda ingin mengizinkan pengguna Anda mengakses aplikasi pihak ketiga yang tidak meminta data Google apa pun kecuali informasi login dengan Google (seperti alamat email).

Catatan: Opsi ini tidak tersedia di edisi Workspace Education.

  1. Di Kontrol API, klik kartu Setelan.
  2. Klik Aplikasi pihak ketiga yang tidak dikonfigurasi.
  3. Pilih Izinkan pengguna mengakses aplikasi pihak ketiga yang hanya meminta info login dengan Google.
  4. Klik Simpan.

Mengizinkan aplikasi internal mengakses Google Workspace API yang dibatasi

Jika membuat aplikasi internal (milik organisasi Anda), Anda dapat memercayai semua aplikasi untuk mengakses Google Workspace API yang dibatasi. Dengan demikian, Anda tidak perlu memercayai semuanya satu per satu.

  1. Di Kontrol API, klik kartu Setelan.
  2. Klik Aplikasi internal.
  3. Centang kotak Percayai aplikasi internal.