Олицетворение списка пользователей с учетной записью службы Google
Согласно документам, администраторы домена Служб Google могут предоставлять учетные записи служб для всего домена для доступа к пользовательским данным от имени пользователей в домене. Я подчеркиваю, что это дает полномочия учетной записи службы для доступа к данным для всех пользователей в домене. Есть ли способ ограничить доступ к какой учетной записи службы пользователей?
Например, приложение, которое использует API Календаря Google для просмотра событий из календарей определенного списка пользователей в домене Служб Google.
Может ли администратор приложений Google авторизовать приложение для доступа к некоторым, но не ко всем пользователям?
Спасибо
2 ответа
Ответ состоял в том, чтобы опубликовать приложение в Google Apps Marketplace. Приложение может быть включено для каждого или определенного подразделения. См. Включение или отключение приложения Marketplace для пользователей. Подразделение организации - это то, как вы можете контролировать, кто в организации имеет доступ к вашему приложению.
Если вы администратор, да. Вы можете контролировать, кто использует какой-либо конкретный сервис Google из своего аккаунта. Просто включите или выключите службу для этих людей в консоли администратора Google. Когда пользователи входят в свою учетную запись, они видят только те службы, которые включены для них.
Чтобы делегировать полномочия на уровне домена для учетной записи службы, сначала включите делегирование на уровне домена для существующей учетной записи службы в разделе "Учетные записи службы" на странице "Разрешения консоли разработчика" или создайте новую учетную запись службы с включенным делегированием на уровне домена. Ваше приложение имеет право делать вызовы API как пользователи в вашем домене (для олицетворения пользователей).
Вот полезный материал для делегирования полномочий домена в учетной записи службы: https://developers.google.com/identity/protocols/OAuth2ServiceAccount