איך פועלת גישה מורשית

חשוב: הוצאנו משימוש את OAuth 1.0 2LO ב-20 באוקטובר 2016. הדרך הקלה ביותר לעבור לתקן החדש היא להשתמש בחשבונות שירות של OAuth 2.0 עם הענקת הרשאות גישה ברמת הדומיין.

כשמשתמשים מתקינים אפליקציה מ-Google Workspace Marketplace, מוצג להם דף שבו הם מתבקשים להסכים לתנאים ולהגבלות של האפליקציה ולאשר לאפליקציה גישה לנתונים שלהם בשירות Google. כשהמשתמש מעניק גישה, היא מתועדת באמצעות אסימון גישה מסוג OAuth 3.0. (לפרטים נוספים על אופן הפעולה של גישה מורשית ב-Google Workspace, אפשר לעיין בתרשים שמסביר איך OAuth תלת-רגלי פועל עם Google Workspace).

אחרי שמבטלים טוקן OAuth 2.0 עם 3 רגליים עבור אפליקציה (למשתמש מסוים), האפליקציה לא יכולה לגשת למידע של המשתמש עד שהוא מתקין מחדש את האפליקציה ומאשר מחדש טוקן OAuth 2.0 עם 3 רגליים עבור האפליקציה. בדף אבטחה אפשר לראות את כל הטוקנים הפעילים מסוג OAuth 2.0 עם 3 רגליים של משתמש מסוים עבור אפליקציה מסוימת. הרישום והביטול של הטוקנים מתבצעים לפי משתמש ולפי אפליקציה.

כדי לשפר את אבטחת החשבון של משתמשי שירות Google, אסימוני OAuth 2.0 שהונפקו עבור גישה למוצרים מסוימים מתבטלים כשמשנים את הסיסמה של המשתמש.

חלק מהאפליקציות שמשתמשות בשיטת האימות OAuth 2.0 כדי לגשת למוצרים מסוימים מפסיקות לגשת לנתונים כשמאפסים את הסיסמה של המשתמש.

מה ההבדל בין OAuth דו-שלבי לבין OAuth תלת-שלבי?

בדרך כלל, ב-Google,‏ OAuth עם 2 רגליים מיועד לאפליקציות שמנוהלות על ידי אדמינים, כלומר אדמין מעניק לאפליקציה כמו Tripit גישה לנתונים בשירות Google עבור כל המשתמשים בדומיין שלו. נתונים נפוצים שמבקשים גישה אליהם כוללים: הקצאת קבוצות, הקצאת משתמשים, יומן ואנשי קשר.

בדרך כלל, OAuth עם 3 רגליים מתייחס לאפליקציות שמנוהלות על ידי משתמשים, שבהן משתמש בדומיין יכול להוריד אפליקציות בודדות מ-Google Workspace Marketplace ולהתקין אותן באמצעות חשבון Google המנוהל שלו. עם זאת, בסעיף האבטחה אפשר לראות לאילו אפליקציות של צד שלישי המשתמשים העניקו גישה לנתונים שלהם ב-Google, ויש לכם אפשרות לבטל טוקנים של OAuth 2.0 עם 3 רגליים.

מידע נוסף מופיע בתרשימים במאמרים בנושא OAuth דו-רגלי וOAuth תלת-רגלי.