У нас есть 2 компонента:
I) Веб-приложение (угловое приложение на основе AWS Lambda: Server Side API), которое мы называем веб-приложением (здесь большая часть тяжелой работысделано лямбда и угловой конечно только делает интерфейс).Использует AWS Cognito.
II) Аддон Gmail, который регистрирует пользователя через тот же Cognito (ограниченные области действия) только для отображения вспомогательной информации, которую сервер знает о текущем просматриваемом электронном письме.
Рассказ до сих пор ..
WebApplication использует вход в систему / регистрацию через google (клиент OAuth), который использует Cognito для управления пользователями.В основном мы получаем разрешение от пользователя на чтение его электронной почты в автономном режиме ('https://mail.google.com') в серверном веб-приложении.
Мы создали аддон Gmail, который использует кнопку входа дляВойдите в наше серверное приложение (через OAuth2). Мы не используем здесь ('https://mail.google.com') область действия для аддона Gmail, так как мы на самом деле не читаем офлайн доступ для чтения электронной почты пользователя. Мы используем OAuth2 для получения данных изПриложение на стороне сервера через API (токен доступа) и отображает некоторые релевантные данные для текущей электронной почты.
Наряду с этим у нас также есть служебная учетная запись (с делегированием по всему домену), которой в настоящее времямы просим администратора Gsuite явным образом предоставить доступ, внеся белый список идентификатора нашей учетной записи службы в консоль администратора G Suite «Управление доступом клиента API» в «Безопасность»> «Дополнительные настройки»
сейчасГлядя на приложения Gsuite (например, AODOCS one), кажется, что есть способ, с помощью которого мы можем избежать этого «ручного» процесса администрирования gsuite.внесение в белый список, добавление области действия и т. д., т. е. наличие только аддона Gsuite Admin, и, установив его, учетная запись службы получает доступ к администраторам gsuite.
Таким образом, обычный пользователь устанавливает только тот аддон, который у нас уже есть, в то время как администраторы gsuite устанавливают «специальный» аддон, который делает то же самое, что и явный список(и добавление области действия).
Теперь, вот что говорит документация :
Примечание. При использовании G Suite Marketplaceчтобы установить приложение для вашего домена, необходимые разрешения автоматически предоставляются приложению.Вам не нужно вручную авторизовывать учетные записи служб, которые использует приложение.
Так же возникает вопрос:
Как «точно» сделать приложениеТолько для gsuite admin и сделать так, чтобы он предоставил нашей учетной записи службы необходимые области?Это так же просто, как использовать служебную учетную запись «внутри» кода расширения gmail?Мне действительно нужны 2 аддона?Может ли мой существующий аддон, установленный администратором Gsuite, выполнить «Установка по всему домену» аддона для всех пользователей »и« мы предоставляем учетной записи службы приложений доступ, который ему необходим? »
Извинения, если это было слишком очевиднополная публикация аддона смущает меня, и я новичок в разработке аддонов.