การมอบสิทธิ์ทั่วทั้งโดเมนเป็นฟีเจอร์ที่มีประสิทธิภาพซึ่งช่วยให้คุณให้สิทธิ์แอปพลิเคชันไคลเอ็นต์ในการเข้าถึงข้อมูลของผู้ใช้ Workspace ได้โดยไม่ต้องขอความยินยอม คุณจะใช้การมอบสิทธิ์ทั่วทั้งโดเมนได้ 2 วิธีดังนี้
- ให้สิทธิ์บัญชีบริการเข้าถึงข้อมูลในนามของผู้ใช้ บัญชีบริการอาจใช้แอปประเภทต่อไปนี้
-
เครื่องมือการย้ายข้อมูลและซิงค์เนื้อหาที่คัดลอกเนื้อหาของผู้ใช้จากบริการอื่นไปยัง Google Workspace
-
แอปภายใน (เช่น แอปการทํางานอัตโนมัติ) ที่นักพัฒนาซอฟต์แวร์สร้างไว้ให้องค์กรของคุณ เช่น คุณจะมอบสิทธิ์เข้าถึงให้กับแอปพลิเคชันที่ใช้ Calendar API เพื่อเพิ่มกิจกรรมไปยังปฏิทินของผู้ใช้ได้
-
- อนุญาตให้ผู้ใช้ใช้แอปไคลเอ็นต์ OAuth โดยไม่มีหน้าจอขอความยินยอมปรากฏขึ้น ผู้ใช้จะเข้าถึงแอปได้โดยที่ระบบไม่ต้องขอคำยินยอม และคุณจะระบุได้ว่าแอปจะเข้าถึงข้อมูลใดของผู้ใช้ได้บ้าง
นอกจากนี้คุณยังจัดการการติดตั้งทั่วทั้งโดเมนและดูขอบเขต API สําหรับแอปใน Google Workspace Marketplace ได้อีกด้วย ดูข้อมูลเกี่ยวกับแอปใน Marketplace ที่หัวข้อการเข้าถึงข้อมูลและการติดตั้ง
- ตรวจสอบว่าคุณมีสิทธิ์ของผู้ดูแลระบบขั้นสูงสําหรับบัญชี Google Workspace
- โปรดอ่านแนวทางปฏิบัติแนะนำสำหรับการมอบสิทธิ์ทั่วทั้งโดเมนและแนวทางปฏิบัติแนะนำสำหรับการใช้บัญชีบริการ
- ยืนยันรายการขอบเขต API ที่แอปหรือบัญชีบริการต้องการ ตรวจสอบว่าแอปหรือบัญชีบริการมีขอบเขตการเข้าถึงที่เหมาะสม
- (หากมอบสิทธิ์ให้แอป OAuth) รับรหัสไคลเอ็นต์ OAuth จากนักพัฒนาแอป
- (หากมอบสิทธิ์ให้บัญชีบริการ) รับรหัสไคลเอ็นต์ของบัญชีบริการ หากคุณเป็นเจ้าของบัญชีบริการ คุณสามารถค้นหารหัสได้ดังนี้
- ลงชื่อเข้าใช้ Google Cloud ในฐานะผู้ดูแลระบบขั้นสูง
- คลิก IAM และผู้ดูแลระบบ
บัญชีบริการ
- ขยายการตั้งค่าขั้นสูง แล้วคัดลอกรหัสไคลเอ็นต์
- เมื่อใช้การมอบสิทธิ์ทั่วทั้งโดเมน แอปจะมีสิทธิ์เข้าถึงข้อมูลที่เป็นของผู้ใช้ทุกคน เราขอแนะนำให้ตั้งค่าการตรวจสอบบัญชีบริการเป็นประจำและลบบัญชีที่ไม่ได้ใช้แล้ว
บัญชีบริการ-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบขั้นสูง
หากไม่ได้ใช้บัญชีผู้ดูแลระบบขั้นสูง คุณจะทำตามขั้นตอนเหล่านี้ไม่ได้
-
ไปที่เมนู
ความปลอดภัย > การเข้าถึงและการควบคุมข้อมูล > การควบคุม API > จัดการการมอบสิทธิ์ทั่วทั้งโดเมน
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
คลิกเพิ่มใหม่
-
ป้อนรหัสไคลเอ็นต์สำหรับบัญชีบริการหรือไคลเอ็นต์ OAuth2
- ในส่วนขอบเขต OAuth ให้เพิ่มแต่ละขอบเขตที่แอปพลิเคชันเข้าถึงได้ (ควรจํากัดให้แคบอย่างเหมาะสม) คุณจะใช้ขอบเขต OAuth 2.0 สำหรับ Google APIs ใดก็ได้ เช่น หากแอปพลิเคชันต้องการสิทธิ์เข้าถึง Google Drive API และ Google Calendar API แบบทั่วทั้งโดเมน ให้ป้อน https://www.googleapis.com/auth/drive และ https://www.googleapis.com/auth/drive
- คลิกให้สิทธิ์ หากคุณพบข้อผิดพลาด ระบบอาจไม่ได้ลงทะเบียนรหัสไคลเอ็นต์กับ Google หรืออาจมีขอบเขตที่ซ้ำกันหรือไม่รองรับ
หมายเหตุ: หากเปิดใช้การอนุมัติจากผู้ที่มีสิทธิ์สำหรับองค์กร การให้สิทธิ์การมอบสิทธิ์ทั่วทั้งโดเมนสำหรับแอปไคลเอ็นต์จะต้องได้รับอนุมัติจากผู้ดูแลระบบขั้นสูงรายอื่น
-
เลือกรหัสไคลเอ็นต์ใหม่ แล้วคลิกดูรายละเอียด จากนั้นตรวจสอบว่าได้ระบุขอบเขตทุกรายการแล้ว
หากยังไม่ได้ระบุขอบเขต ให้คลิกแก้ไขแล้วป้อนขอบเขตดังกล่าว จากนั้นคลิกอนุมัติ คุณไม่สามารถแก้ไขรหัสไคลเอ็นต์ได้
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
แนวทางปฏิบัติแนะนำคือให้ตรวจสอบขอบเขตของแอปเป็นระยะๆ และนำขอบเขตที่ไม่จำเป็นหรือไม่ค่อยได้ใช้ออก รวมทั้งลบไคลเอ็นต์ที่ไม่ต้องการแล้วออกด้วย ตัวอย่างเช่น นำสิทธิ์เข้าถึงเครื่องมือการย้ายข้อมูลออกหลังจากที่ย้ายข้อมูลเสร็จแล้ว
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google ด้วยบัญชีผู้ดูแลระบบขั้นสูง
หากไม่ได้ใช้บัญชีผู้ดูแลระบบขั้นสูง คุณจะทำตามขั้นตอนเหล่านี้ไม่ได้
-
ไปที่เมนู
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้
-
คลิกชื่อไคลเอ็นต์แล้วเลือกตัวเลือกต่อไปนี้
- ดูรายละเอียด - ดูชื่อไคลเอ็นต์แบบเต็มและรายการขอบเขต
- แก้ไข - เพิ่มหรือนำขอบเขตออก คุณไม่สามารถแก้ไขรหัสไคลเอ็นต์ได้ การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
- ลบ - แอปพลิเคชันที่อ้างอิงการให้สิทธิ์ไคลเอ็นต์จะหยุดทำงานทันที
หมายเหตุ: หากเปิดใช้การอนุมัติจากผู้ที่มีสิทธิ์สําหรับองค์กร การแก้ไขขอบเขตหรือการลบการมอบสิทธิ์ทั่วทั้งโดเมนสําหรับแอปไคลเอ็นต์จะต้องได้รับอนุมัติจากผู้ดูแลระบบขั้นสูงรายอื่น
