Выдача себя за список пользователей с учетной записью службы Google

Согласно документам, администраторы домена Google Apps могут предоставлять сервисным аккаунтам права доступа на уровне домена для доступа к пользовательским данным от имени пользователей в домене. Я недооцениваю, что это дает сервисному аккаунту полномочия на доступ к данным для всех пользователей внутри домена. Есть ли способ ограничить доступ к учетной записи службы пользователя?

Например, приложение, которое использует Google Calendar API для просмотра событий из календарей определенного списка пользователей в домене Google Apps.

Может ли администратор приложений Google разрешить доступ к приложению некоторым, но не всем пользователям?

Спасибо


google-oauth gmail-api google-identity
person igorsf    schedule 16.12.2015    source источник
comment
Вы когда-нибудь находили способ ограничить доступ к учетной записи службы только некоторым пользователям?   -  person Kevin Brady    schedule 05.12.2016
comment
мой ответ ниже   -  person igorsf    schedule 08.12.2016

Ответы (2)


arrow_upward
1
arrow_downward

Ответом было опубликовать приложение в Google Apps Marketplace. Приложение можно включить для всех или для определенного подразделения. См. Раздел Как включить или отключить приложение Marketplace для пользователей. Подразделение организации - это то, как вы можете контролировать, кто в организации имеет доступ к вашему приложению.

person igorsf    schedule 08.12.2016
comment
Но разве приложение из торговой площадки не является общедоступным? Что, если я просто хочу, чтобы частное приложение использовало учетную запись службы для доступа к учетным записям одного или двух пользователей и чтобы мне запретили доступ к учетным записям других пользователей? - person HaPsantran; 11.02.2019

arrow_upward
0
arrow_downward

Если вы администратор, то да. Вы можете контролировать, кто использует ту или иную службу Google из их учетной записи. Просто включите или выключите службу для этих людей в консоли администратора Google. Когда пользователи входят в свою учетную запись, они видят только те службы, которые для них включены.

Чтобы делегировать полномочия на уровне домена учетной записи службы, сначала включите делегирование на уровне домена для существующей учетной записи службы в разделе «Учетные записи служб» на странице «Разрешения консоли разработчика» или создайте новую учетную запись службы с включенным делегированием на уровне домена. Ваше приложение имеет право выполнять вызовы API как пользователи в вашем домене (выдавать себя за пользователей).

Вот полезный материал для делегирования полномочий на уровне домена учетной записи службы: https://developers.google.com/identity/protocols/OAuth2ServiceAccount

person Android Enthusiast    schedule 17.12.2015
comment
Идея состоит не в том, чтобы отключать службу Google Calendar для некоторых пользователей. Я спрашивал об ограничении приложения, которое использует доступ к сервисному аккаунту, чтобы сказать Calendar API для определенных пользователей. Я не могу найти способ в консоли администратора Google управлять доступом клиента API для каждого пользователя. - person igorsf; 19.12.2015