Сервисная учетная запись предназначена для создания в домене приложения?Или в клиентском домене G Suite от имени приложения?
Справочная информация:
У моей компании есть продукт (в дальнейшем «Приложение»), в качестве клиентов которого используется несколько тысяч организаций, каждая из которых потенциально можетимея свои собственные домены Google.(далее «Домен организации»)
Мы собираемся установить синхронизацию между Приложением и Доменом организации для данных, общих для Приложения и Домена организации, и хотим использовать подключение OAuth2,с администратором домена, предоставляющим приложению «полномочия для всего домена» от имени своих пользователей для автономной синхронизации.
со страницы учетной записи службы :
... учетная запись, которая принадлежит вашему приложению, а не отдельному конечному пользователю.Ваше приложение вызывает API Google от имени учетной записи службы, поэтому пользователи не участвуют напрямую.
и
Администраторы домена G Suite также могут предоставлять учетные записи домена службы-широкие полномочия для доступа к пользовательским данным от имени пользователей в домене.
Ссылка на справку по консоли Cloud Platform Faq :
Вы можете получить доступ к даннымиз проектов пользователей облачной платформы Google, создав учетную запись службы для представления вашей службы, а затем попросив ваших клиентов предоставить этой учетной записи соответствующий доступ к своим облачным данным с помощью политик IAM.Обратите внимание, что вы могли бы захотеть создать учетную запись для каждого клиента ... (выделение добавлено)
Похоже, что приложение должно иметь возможность создать одну учетную запись службы, котораявсе наши клиенты проходят аутентификацию для своего домена организации.
Непонятная часть:
На странице «Учетная запись службы» инструкции по делегированию полномочий для всего домена, похоже, смещены относительно того, где находится учетная запись службы.Перед инструкциями написано:
... сначала включите делегирование по всему домену для существующей учетной записи службы на странице учетных записей служб ... с включенным делегированием по всему домену,Затем администратор домена G Suite должен выполнить следующие шаги:
После этого он прочитает
Ваше приложение теперь имеет полномочия наделать вызовы API как пользователи в вашем домене (чтобы "выдать себя за пользователя").(выделение добавлено)
Из того, что я читаю, первая часть гласит «одна учетная запись службы для приложения», а вторая - как «учетная запись службы доступна только как личность».в домене приложения, а не в домене организации. "
Предназначена ли учетная запись службы в домене приложения?Или в Домене организации, от имени Приложения?
Я видел примеры, когда администратор домена Организации создавал учетную запись службы, а затем передавал clientID / secret владельцам приложения ... но яЯ не уверен, что это правильный подход для нашего сценария.
Связано - Управление областями: На этапах делегирования администратор домена организации вручную добавляет области.
Мы бы предпочли использовать экран согласия OAuth, на котором показаны области действия и ссылки на наши страницы / политики.К сожалению, насколько мне показало мое исследование, похоже, что эта страница не используется в процессе авторизации учетной записи службы;только для других типов приложений, которые аутентифицируют одного пользователя, а не весь домен организации.
Есть ли страница, которую я пропустил в море документации Google?