具有多个域的 Google 内部 oAuth 同意屏幕答案

【问题标题】：Google Internal oAuth Consent Screen with multiple domains具有多个域的 Google 内部 oAuth 同意屏幕
【发布时间】：2021-07-29 06:19:43
【问题描述】：

我有一个适用于组织域 domain.com 的内部 oAuth 同意屏幕。

我们添加了一个已添加到组织的其他用户，他们的域为domain.ag（.ag 是我们要迁移到的位置，目前在不同的帐户上）。

我可以使用.com 电子邮件登录并做我需要做的事情，但是当使用.ag 电子邮件时，谷歌表示他们不是组织的一部分。

2021 年有没有办法允许这样做？

我看到一个与此非常相似的问题，其中的答案是在哪里将 select_profiles 添加到查询中，或公开应用程序。将应用程序公开不是一种选择，并且 select_profiles 很好，但是如果选择.ag 电子邮件，我仍然会遇到同样的问题。

是否有办法允许您组织下的所有用户，即使他们通过 Cloud Console IAM 和管理区域“共享”？

【问题讨论】：

【解决方案1】：

由于您的应用程序纯粹是内部应用程序并且在多个域中拥有用户，因此请将此应用程序标记为受信任的白名单。要将应用程序标记为受信任，请使用此https://support.google.com/a/answer/7281227

【讨论】：

感谢您的回复。我已经这样做了（几天前我发现了这个），当使用 .ag 域登录时，我仍然收到 Error 403: org_internal 错误。我在 .com 域端进行了白名单更改，而不是在 .ag 端，是否也需要在 .ag 端进行（我认为不需要，因为它不是 gcp 所在的位置）
.ag 域的用户是否与 .com 域的用户在同一个 G Suite 帐户下？ OAuth 同意屏幕中的授权域是可以从中请求 OAuth 令牌的域列表，即您可以托管应用程序的域，而不是可以使用该应用程序的 G Suite 帐户
不，它们不是，出于某种未知原因，它们已单独设置
你可以尝试移动它们然后登录吗？
最终，这将是这种情况，但如果不能在单独的组织中完成（即使将.com 域用户添加到.ag gcp 帐户），情况也不会如此。，那么现在我认为必须这样做