發布應用程式時,您需要完成三項主要工作,以便驗證和授權:
瞭解 OAuth 範圍
如要定義授予應用程式的存取權層級,您必須識別並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串,其中包含 Google Workspace 應用程式名稱、應用程式存取的資料類型,以及存取層級。「範圍」是指應用程式要求處理 Google Workspace 資料的權限,包括使用者的 Google 帳戶資料。
安裝應用程式時,系統會要求使用者驗證應用程式使用的範圍。一般來說,您應盡可能選擇最狹隘的範圍,並避免要求應用程式不需要的範圍。使用者更願意授予明確說明的有限範圍存取權。
提供應用程式所需的 OAuth 範圍完整清單。您為各個位置新增的範圍必須一致,並且以以下方式使用:
新增至 OAuth 同意畫面的範圍會用於 OAuth 驗證。
新增至 Google Workspace Marketplace SDK 的範圍,會用於全網域和個別安裝作業,以便在從 Google Workspace Marketplace 安裝應用程式時授權應用程式。
您必須在資訊清單中新增範圍,應用程式才能正常運作。
舉例來說,如果您發布的應用程式包含 Google 試算表加購項目和 Google 文件加購項目,每個加購項目的 Google Apps Script 資訊清單只會包含該加購項目專屬的範圍。在 Google Cloud 專案中,OAuth 同意畫面和 Marketplace SDK 都包含這兩種外掛程式的權限範圍。
修正未經驗證的 OAuth 範圍
如果您有新應用程式、已儲存的草稿或已發布的公開應用程式,且這些應用程式含有未驗證的敏感或受限制的範圍,在 Marketplace SDK 中編輯應用程式時,就會看到下列錯誤訊息:
OAuth verification is required for sensitive or restricted scopes. You can
still save your app as a draft, but you're not able to publish your draft app
listing.
詳情請參閱「指定應用程式所需的存取層級」。
如要解決這個錯誤,請執行下列操作:
對含有未驗證敏感或受限制範圍的應用程式資訊進行變更,並將資訊儲存為草稿。
在未新增任何未驗證的機密或受限制範圍時發布應用程式。
僅移除未驗證的機密或受限制範圍時,發布應用程式。
使用者可能會看到「未經驗證的應用程式」畫面,詳情請參閱「未經驗證的應用程式」。
如要修正這項錯誤,請將應用程式提交進行 OAuth 驗證。
必要條件
在 Cloud 專案中啟用計費。
建構並測試應用程式。
如果您在 Apps Script 中建構應用程式,請更新 Apps Script 專案的 Cloud 專案。
1. 填寫 OAuth 同意畫面
OAuth 同意畫面會向使用者顯示提示,說明是誰要求存取其資料,以及使用者允許應用程式存取哪些資料。
- 在 Google Cloud 控制台中,依序前往「Menu」 >「」 >「Branding」。
- 如果您已設定 ,可以在「品牌」、「目標對象」和「資料存取」中設定下列 OAuth 同意畫面設定。 如果畫面上顯示「尚未設定」 ,請按一下「開始使用」:
- 在「App Information」(應用程式資訊) 下方的「App name」(應用程式名稱) 中,輸入「App name」(應用程式名稱)。
- 在「使用者支援電子郵件」中,選擇使用者有同意聲明相關問題時可與您聯絡的支援電子郵件地址。
- 點選 [下一步]。
- 在「目標對象」下方,選取應用程式的使用者類型。
- 點選 [下一步]。
- 在「聯絡資訊」下方,輸入電子郵件地址,以便在專案有任何異動時通知您。
- 點選 [下一步]。
- 在「Finish」下方,詳閱「Google API 服務使用者資料政策」,如果同意,請選取「I agree to the Google API Services: User Data Policy」。
- 按一下 [繼續]。
- 按一下 [建立]。
- 如果您選取的使用者類型為「外部」,請新增測試使用者:
- 按一下「目標對象」。
- 在「測試使用者」下方,點選「新增使用者」。
- 輸入您的電子郵件地址和其他授權測試使用者,然後按一下「儲存」。
如果您要建立的應用程式是用於 Google Workspace 機構以外的環境,請依序按一下「資料存取」「新增或移除範圍」。選擇範圍時,建議您採取下列最佳做法:
- 選取提供應用程式所需最低存取權限的範圍。如需可用範圍的清單,請參閱「Google API 適用的 OAuth 2.0 範圍」。
- 請查看各個部分中列出的範圍:非機密範圍、機密範圍和受限制範圍。針對「您的機密範圍」或「您的受限制範圍」部分列出的任何範圍,請嘗試找出替代的非機密範圍,以免進行不必要的額外審查。
- 部分權限需要 Google 額外審查。如果應用程式僅供貴機構的 Google Workspace 使用者在內部使用,同意畫面上不會列出範圍,且使用受限制或敏感範圍時,Google 也不需要進一步審查。詳情請參閱「範圍類別」。
- 選取應用程式所需的權限範圍後,按一下「儲存」。
如要進一步瞭解如何設定 OAuth 同意聲明,請參閱「開始使用 」。
2. 建立 OAuth 2.0 憑證
視您建構應用程式的方式而定,您可以透過兩種方式建立 OAuth 2.0 憑證。
如果您在 Apps Script 中建構應用程式
將 Apps 指令碼專案從預設的 Cloud 專案切換至新的標準專案。詳情請參閱「切換至其他標準 Cloud 專案」。
將 Apps Script 專案與 Cloud 專案建立關聯後,系統會自動建立 OAuth 2.0 憑證。
如果您未使用 Apps Script 建構應用程式
如要建立 OAuth 2.0 憑證,請參閱「OAuth 用戶端 ID 憑證」。
3. 提交 OAuth 驗證要求 (僅限公開應用程式)
如果您的應用程式使用 Google API 存取 Google 使用者資料,則在發布應用程式前,可能需要先完成驗證程序。
提交前的注意事項
您應該可以完成本頁的步驟 1 和 2,但如果您未完成與此程序同時進行的其他市集發布程序,可能無法將應用程式提交至 OAuth 驗證。
舉例來說,如要建立 Google Classroom 外掛程式,您必須按照「在 Google Workspace Marketplace SDK 中設定應用程式 」一文的步驟,在 Marketplace SDK 中建立應用程式草稿。接著,您可以使用草稿應用程式資訊,建立 OAuth 驗證所需的示範影片。驗證完成後,您就可以將應用程式清單草稿提交審查。
如需提交步驟的總覽,請參閱「發布應用程式」一文。
OAuth 驗證審查
如果您的應用程式使用機密或受限制的範圍,則必須通過 OAuth 驗證審查程序。
如要進行 OAuth 驗證,您必須提交示範影片,說明使用者如何在流程中使用所要求的範圍或資料。詳情請參閱示範影片。
如果應用程式使用受限制的範圍,可能也需要接受安全性評估。
詳情請參閱 OAuth 應用程式驗證說明中心。
如要提交驗證申請,請按照下列步驟操作:
- 在 Google Cloud 控制台中,依序前往「選單」 >「API 和服務」 >「OAuth 同意畫面」。
- 按一下「專案選取器」,然後選取專案。
- 按一下「編輯應用程式」
- 輸入必要資訊,然後按一下「提交以供驗證」。
- 在「需要驗證」對話方塊中輸入適當的理由,然後按一下「提交」即可開始驗證程序。
如果您更新應用程式,以便使用敏感或受限制的不同範圍,則必須再次提交應用程式以進行 OAuth 驗證。您不需要再將其送交應用程式審查。
OAuth 驗證與應用程式審查的差異
OAuth 驗證與應用程式審查是不同的程序。這項政策著重於確保同意聲明畫面能準確呈現應用程式的身分和意圖,並確保應用程式不會濫用使用者資料。應用程式完成 OAuth 驗證前,我們無法核准您的應用程式資訊。如要進一步瞭解 OAuth 驗證,請參閱 OAuth 常見問題。
應用程式審查程序會著重於您在 Google Workspace Marketplace SDK 中提供的資訊,以及應用程式的功能和可用性。如要進一步瞭解應用程式審查標準,請參閱「Google Workspace Marketplace 的應用程式審查程序和相關規定」。