Google Apps Marketplace SSO 要求如何运作？

Question

我们正在尝试弄清楚如何提交到市场，但不确定我们需要做些什么来改变我们现有的注册流程以适应 SSO requirement

我们的应用最初并不是为市场应用而构建的，因此我们的注册流程是为个人用户构建的。我们已经在遵循documentation 页面上概述的 OAuth2 流程。但是，在从市场应用程序的上下文中安装时，我不清楚这对整个组织如何工作。

管理员是否一次授予对我们当前为整个组织请求的所有单个范围的访问权限？由于我们目前正在请求离线访问，因此是否需要某种服务帐户或其他东西？我想了解我们需要对服务器的注册流程进行哪些更改，或者它是否只是范围/清单不匹配。

我们目前在注册时要求个人用户提供以下范围。 ['email', 'profile' ,'https://mail.google.com/', 'https://www.googleapis.com/auth/calendar'],

确切的问题是......

1. 我们需要做什么（如果有的话）来改变我们当前以个人为中心的注册流程，以适应 Google Apps 管理员注册他们的整个域？

2. 我们需要在 Google Apps 管理员列表中包含哪些范围？它们与我们目前要求个人提供的范围有何关联？

Answer 1

如果您已经在使用三足OAuth2，则没有太多变化。

第一个更改将是您在 developer console 中的项目。您需要在此处启用 Marketplace SDK 并进行必要的配置。在这里，您将添加您的应用将请求的范围，这些是管理员在安装应用时将看到的范围。

管理员将看到您的应用程序请求的范围，并决定是否可以在域中安装应用程序。如果获得批准，则是，管理员将授予对整个域的访问权限。

离线访问是 Oauth 流程的一部分，收到刷新令牌后，您可以继续刷新访问令牌，而无需用户再次授予访问权限。

不必拥有服务帐户。服务帐号有两个用途：

1. 管理与应用程序相关的信息。在这种情况下，服务帐户可以访问自己的驱动器来存储和检索与应用功能相关的信息。

2. 冒充用户。使用domain delegation of authority 时，您可以使用服务帐户来模拟域中的任何用户并代表它进行 API 调用。

要deploy 您的应用，您还必须在 Chrome 网上应用店中创建一个新项目，其中包含 Marketplace 清单。

回答您的问题：

1. 您不必修改当前的 oauth 流程。管理员会在域中安装应用，但当用户访问应用时，认证过程与个人相同。

2. 您的 Marketplace SDK 配置中的范围应与您的应用将使用的范围相匹配。这主要是出于安全原因，如果您安装具有某些范围的应用，然后该应用使用不同的范围，则不安全。

您可以在实际部署之前试用您的应用，方法是在 chrome 网上商店仪表板或 Console API configuration 中添加 trusted testers。这样您就可以检查您的流程和所有配置是否正确完成。

希望这会有所帮助。如果您还有其他问题，请告诉我。