Мы пытаемся использовать OAuth2 для потока учетных записей служб (см .: https://developers.google.com/identity/protocols/OAuth2ServiceAccount), чтобы позволить службе Windows программно получить доступ к папке «Входящие» почтового ящика «Приложение» в домене GSuite. Этот почтовый ящик приложения в основном является пользователем GSuite со связанным адресом электронной почты. Служба Windows использует учетные данные учетной записи службы, созданные в https://console.developers.google.com/apis/credentials.
В соответствии с инструкциями, приведенными здесь (https://developers.google.com/identity/protocols/OAuth2ServiceAccount), мы включили делегирование на уровне домена для учетной записи службы, а также «авторизовали» учетную запись службы для клиентского доступа API в Консоль администратора домена GSuite. После этих изменений мы смогли успешно прочитать сообщения электронной почты почтового ящика «Приложение» в консольном приложении, которое создало клиент IMap с использованием учетной записи службы (мы использовали подход сертификата X509, приведенный здесь https://afterlogic.com/mailbee-net/docs/OAuth2GoogleServiceAccounts.html).
Проблема при таком подходе к доступу к почтовому ящику с использованием служебной учетной записи заключается в том, что служебная учетная запись имеет доступ ко всем почтовым ящикам в домене GSuite, к которому она была предоставлена. У меня вопрос - как мы ограничиваем доступ учетной записи службы к указанному c почтовому ящику в домене GSuite?