תרחישי שימוש: החרגת אפליקציות מהימנות של צד שלישי מחסימה

בדוגמאות האלה אנחנו מראים איך לתת פטור לאפליקציות שמופיעות ברשימת ההיתרים, כך שתמיד תהיה להן גישה לממשקי תכנות יישומים (API) של שירותי Google מסוימים, ללא קשר לרמות הגישה שהוקצו.

תרחיש שימוש 1: אפליקציות מהימנות נחסמות דרך ממשקי API חשופים

בדוגמה הזו, לא החרגנו אפליקציות צד שלישי אמינות. ב-Google Keep, הגדרנו את רמת הגישה מניעת גישה מחוץ לרשת הארגון ליחידה הארגונית עובד זמני. כתוצאה מכך, כל אפליקציה שמנסה לגשת ל-Google Keep דרך ממשקי API מחוץ לרשת של הארגון שלכם תיחסם.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה.
  3. בוחרים את היחידה הארגונית עובד זמני.
  4. ברשימת האפליקציות, בוחרים באפשרות Google Keep ולוחצים על הקצאה.
  5. בוחרים באפשרות מניעת גישה מחוץ לרשת הארגון ולוחצים על המשך.
  6. מסמנים את התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד.
  7. מסמנים את התיבה חסימת הגישה דרך ממשקי API של אפליקציות אחרות שלא עומדות ברמות הגישה לאפליקציות הנבחרות.
  8. לוחצים על המשך.
  9. בודקים את הפרטים ולוחצים על סיום.

תרחיש שימוש 2: החרגת אפליקציית צד שלישי

בדוגמה הזו, אנחנו מוציאים מהכלל את אפליקציית הצד השלישי Box. ב-Google Drive, הגדרנו את רמת הגישה מניעת גישה מחוץ לרשת הארגון ליחידה הארגונית עובד זמני. כתוצאה מכך, אפליקציית הצד השלישי Box יכולה לגשת ל-Google Drive גם אם בקשת ה-API מגיעה מחוץ לרשת של הארגון.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה.
  3. בוחרים את היחידה הארגונית עובד זמני.
  4. ברשימת האפליקציות, בוחרים באפשרות Google Drive ולוחצים על הקצאה.
  5. בוחרים באפשרות מניעת גישה מחוץ לרשת הארגון ולוחצים על המשך.
  6. מסמנים את התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד.
  7. מסמנים את התיבה חסימת הגישה דרך ממשקי API של אפליקציות אחרות שלא עומדות ברמות הגישה לאפליקציות הנבחרות.
  8. מסמנים את התיבה מתן פטור לאפליקציות שמופיעות ברשימת ההיתרים כך שתמיד להן גישה לממשקי API של שירותי Google מסוימים, ללא קשר לרמות הגישה.
    כל אפליקציות צד שלישי שמסומנות כמהימנות בדף בקרת הגישה לאפליקציות מופיעות בטבלה של אפליקציות ברשימת ההיתרים.
    הערה: כל סקריפט חדש של Google Apps Script צריך להוסיף לרשימת הפטורים.
  9. בוחרים באפשרות Box ולוחצים על המשך.
  10. בודקים את הפרטים ולוחצים על סיום.

תרחיש לדוגמה 3: החרגת אפליקציית צד שלישי אחרת באותה יחידה ארגונית

בדוגמה הזו, אנחנו מוסיפים את אפליקציית הצד השלישי Salesforce להגדרה שלנו בתרחיש השימוש הקודם.

רשימת האפליקציות שקיבלו פטור היא רשימה ספציפית ליחידה ארגונית שחלה על כל האפליקציות של צד שלישי שקיבלו פטור בהקצאות קודמות של רמות גישה מבוססות-הקשר ועל כל הקצאה חדשה של רמת גישה מבוססת-הקשר. רשימות ההחרגות של אפליקציות הן ייחודיות ליחידה הארגונית שבה הן מוגדרות. לכן, ליחידות ארגוניות יש רשימות נפרדות של אפליקציות שמוחרגות מהכלל.

כתוצאה מכך, בדוגמה הזו, גם Box וגם Salesforce יוכלו לגשת ל-Drive ול-Gmail, ללא קשר לרמות הגישה שהוקצו.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה.
  3. בוחרים את היחידה הארגונית עובד זמני.
  4. ברשימת האפליקציות, בוחרים באפשרות Gmail ולוחצים על הקצאה.
  5. בוחרים את רמת הגישה, מניעת גישה מחוץ לארה"ב ולוחצים על המשך.
  6. מסמנים את התיבה חסימת הגישה של משתמשים שלא עומדים ברמות הגישה לאפליקציות של Google למחשב ולנייד.
  7. מסמנים את התיבה חסימת הגישה דרך ממשקי API של אפליקציות אחרות שלא עומדות ברמות הגישה לאפליקציות הנבחרות.
  8. מסמנים את התיבה מתן פטור לאפליקציות שמופיעות ברשימת ההיתרים כך שתמיד להן גישה לממשקי API של שירותי Google מסוימים, ללא קשר לרמות הגישה.
    כל אפליקציות צד שלישי שמסומנות כמהימנות בדף בקרת הגישה לאפליקציות מופיעות בטבלה של אפליקציות ברשימת ההיתרים.
  9. בוחרים באפליקציית הצד השלישי Salesforce ולוחצים על המשך.
  10. בודקים את הפרטים ולוחצים על סיום.

התנהגות של פטורים לקבוצות וליחידות ארגוניות

למרות שמדיניות קבוצתית מבטלת מדיניות של יחידה ארגונית, עדיין אפשר לתת פטור לאפליקציות מהימנות של צד שלישי מחסימה דרך ממשקי API חשופים כשמקצים רמות גישה מבוססות-הקשר ברמת הקבוצה. עם זאת, אי אפשר להגדיר רשימות של חריגים ברמת הקבוצה, כמו שאפשר ביחידות ארגוניות.

  • אם מסמנים את התיבה מתן פטור לאפליקציות שמופיעות ברשימת ההיתרים כך שתמיד להן גישה לממשקי API של שירותי Google מסוימים, ללא קשר לרמות הגישה כשמקצים רמת גישה מבוססת-הקשר ברמת הקבוצה, אז הפטורים שחלים על היחידה הארגונית שאליה שייכים המשתמשים יחולו גם עליהם. אם אנשים שייכים ליחידות ארגוניות שונות, רשימות הפטור המתאימות של היחידות הארגוניות האלה יחולו עליהם.
  • אם מבטלים את הסימון של האפשרות מתן פטור לאפליקציות שמופיעות ברשימת ההיתרים כך שתמיד להן גישה לממשקי API של שירותי Google מסוימים, ללא קשר לרמות הגישה בזמן הקצאת רמת גישה מבוססת-הקשר ברמת הקבוצה, לא יחולו פטורים על אנשים בקבוצה. כללי מדיניות של קבוצות מחליפים את כללי המדיניות של יחידות ארגוניות, ולכן כל פטור מרמות גישה מבוססות-הקשר שנוצרו בעבר לא יחול על אנשים בקבוצה הזו.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.