Tuesday, February 1, 2022

API-Zugriff mit domainweiter Delegierung steuern - Google Workspace-Admin-Hilfe [gg-a-de]

Steuern Sie den API-Zugriff mit domänenweiter Delegierung

Als Administrator können Sie die domänenweite Delegierung von Befugnissen verwenden, um Drittanbieter- und internen Anwendungen Zugriff auf die Daten Ihrer Benutzer zu gewähren.

App-Entwickler und -Administratoren können Dienstkonten mit OAuth 2.0 erstellen. Dann autorisieren Sie die Dienstkonten, auf die Daten Ihrer Benutzer zuzugreifen, ohne dass jeder Benutzer seine Zustimmung geben muss. Typische Apps mit domänenweiter Delegierung:

  • Google Workspace-Migrations- und Synchronisierungstools

  • Interne Apps (z. B. Automatisierungs-Apps), die Entwickler für Ihre Organisation erstellen. Beispielsweise können Sie den Zugriff auf eine Anwendung delegieren, die die Kalender-API verwendet, um Ereignisse zu den Kalendern Ihrer Benutzer hinzuzufügen.

  • Dreibeinige OAuth-Apps, die normalerweise die Zustimmung des einzelnen Benutzers erfordern. Benutzer aktivieren Apps, ohne zur Zustimmung aufgefordert zu werden, und Sie können die Benutzerdaten angeben, auf die die Apps zugreifen können.

Um den Zugriff in der Google Admin-Konsole zu delegieren, fügen Sie die Client-ID des Dienstkontos oder die OAuth2-Client-ID der App hinzu und gewähren dann Zugriff auf unterstützte Google-APIs (Bereiche).

Informationen zur domänenweiten Delegierung

Die domainweite Delegierung ist eine leistungsstarke Funktion, mit der Apps in der gesamten Google Workspace-Umgebung Ihrer Organisation auf Nutzerdaten zugreifen können. Gewähren Sie beispielsweise einer Migrations-App, die Nutzerinhalte von einem anderen Dienst in Google Workspace dupliziert, eine domainweite Delegierung. Aus diesem Grund können nur Super-Admins die domänenweite Delegierung verwalten und müssen jeden API-Bereich angeben, auf den die App zugreifen kann.

Sie können auch die domainweite Installation verwalten und API-Bereiche für Google Workspace Marketplace-Apps anzeigen. Erfahren Sie mehr über den Datenzugriff und die Installation von Marketplace-Apps.

Alle öffnen | Alle schließen

Bevor Sie beginnen

  • Sie benötigen Super-Admin-Berechtigungen für Ihr Google Workspace-Konto.

  • Um eine App hinzuzufügen oder zu bearbeiten, erhalten Sie die folgenden Informationen vom App-Entwickler:
  • Die Client-ID des Dienstkontos .
  • Die Liste der von der App angeforderten API-Bereiche . Prüfen Sie, ob die App einen angemessen kleinen Zugriffsbereich hat.
  • Bei der domänenweiten Delegierung hat die App Zugriff auf die Daten aller Ihrer Benutzer . Wir empfehlen, eine regelmäßige Überprüfung der Dienstkonten einzurichten und nicht mehr verwendete Konten zu löschen.
Richten Sie die domänenweite Delegierung für einen Client ein
  1. Melden Sie sich in Ihrer Google Admin-Konsole an .

    Melden Sie sich mit einem Konto mit Superadministratorrechten an (endet nicht auf @gmail.com).

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit and then API-Steuerelemente .
  3. Klicken Sie auf Domänenweite Delegierung verwalten .

  4. Klicken Sie auf Neu hinzufügen und geben Sie die Client-ID Ihres Dienstkontos ein.

    Sie finden die ID (auch eindeutige ID genannt) in der JSON-Datei, die Sie heruntergeladen haben, als Sie das Dienstkonto erstellt haben, oder in der Google Cloud Console (klicken Sie auf IAM & Admin and then Dienstkonten and then der Name Ihres Dienstkontos).

  5. Geben Sie die Client-ID des Dienstkontos oder die OAuth2-Client-ID der App ein. (In der Regel wird die ID vom Entwickler bereitgestellt. Wenn Sie der Eigentümer des Dienstkontos sind, können Sie die ID nachschlagen.)

  6. Fügen Sie in OAuth-Bereiche jeden Bereich hinzu, auf den die Anwendung zugreifen kann (sollte entsprechend eng sein). Sie können jeden der OAuth 2.0-Bereiche für Google-APIs verwenden. Wenn die Anwendung beispielsweise domainweiten Zugriff auf die Google Drive-API und die Google Kalender-API benötigt, geben Sie https://www.googleapis.com/auth/drive und https://www.googleapis.com/auth/calendar ein .
  7. Klicken Sie auf Autorisieren . Wenn Sie eine Fehlermeldung erhalten, ist die Client-ID möglicherweise nicht bei Google registriert oder es sind doppelte oder nicht unterstützte Bereiche vorhanden.
  8. Zeigen Sie auf die neue Client-ID, klicken Sie auf Details anzeigen und vergewissern Sie sich, dass alle Bereiche aufgeführt sind.

    Wenn ein Bereich nicht aufgeführt ist, klicken Sie auf Bearbeiten , geben Sie den fehlenden Bereich ein und klicken Sie auf Autorisieren . Sie können die Client-ID nicht bearbeiten.

Die App sollte innerhalb einer Stunde einsatzbereit sein, kann aber bis zu 24 Stunden dauern.

Clients und Bereiche anzeigen, bearbeiten oder löschen

Als bewährte Methode sollten Sie die Bereiche Ihrer App regelmäßig überprüfen und Bereiche entfernen, die nicht erforderlich sind oder nicht aktiv verwendet werden. Löschen Sie auch Clients, die Sie nicht mehr benötigen. Entfernen Sie beispielsweise den Zugriff für ein Migrationstool, nachdem Sie Ihre Migration abgeschlossen haben.

  1. Melden Sie sich in Ihrer Google Admin-Konsole an .

    Melden Sie sich mit einem Konto mit Superadministratorrechten an (endet nicht auf @gmail.com).

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit and then API-Steuerelemente .
  3. Klicken Sie unter Domainweite Delegierung auf Domainweite Delegierung verwalten .
  4. Klicken Sie auf einen Kundennamen und wählen Sie dann eine Option aus:

  • Details anzeigen – Zeigen Sie den vollständigen Clientnamen und die Liste der Bereiche an

  • Bearbeiten – Geltungsbereiche hinzufügen oder entfernen. Sie können die Client-ID nicht bearbeiten. Änderungen sollten innerhalb einer Stunde aktiv sein, können aber bis zu 24 Stunden dauern.

  • Entfernen – Anwendungen, die von der Client-Autorisierung abhängen, funktionieren sofort nicht mehr.

Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)