借助全网域授权,Google Workspace 教育版超级用户可以向第三方应用授予访问其网域中用户数据的权限,而无需获得特定用户的同意。您可以在 Google 管理控制台中执行全网域授权,方法是指定服务账号或第三方应用的客户端 ID。
服务账号属于 Google Cloud 项目,而非个人用户。应用可以代表服务账号(而非个别最终用户)请求访问 Google API。服务账号是在 Google Cloud 控制台中设置的。
OAuth 客户端 ID 是一种公共标识符,用于向 Google 服务器标识应用。
全网域授权设置
Google Workspace 超级用户可以在管理控制台中设置具有全网域授权的服务账号或 OAuth 客户端 ID。
- 在管理控制台中,依次选择主菜单 > 安全性 > 访问权限和数据控件 > API 控件。
- 在全网域授权下,选择管理全网域授权。
- 点击新增。
- 在客户端 ID 字段中输入服务账号的客户端 ID 或应用的 OAuth 客户端 ID。在 OAuth 范围字段中输入应授予服务账号或应用的 OAuth 范围列表。
- 点击授权。
如果管理员从 Google Workspace Marketplace 为网域安装应用,则无需手动设置该应用使用的服务账号。系统会在安装过程中自动提供所需权限。
资源
- 全网域授权最佳实践