应用市场 SSO

Question

我们有一个 Google Apps Marketplace 应用程序（也可以作为 Chrome 网上商店中的消费者应用程序使用）。

SSO 存在以下问题：

1) 我们使用以下 OAuth2 范围：

openid
profile 
email 
https://www.googleapis.com/auth/drive.install
https://www.googleapis.com/auth/drive.file
https://www.googleapis.com/auth/drive.readonly

在重定向到

https://accounts.google.com/o/oauth2/auth

3) 我无法进入范围

openid
profile 
email 

进入 Google Apps Marketplace SDK 控制台。我用过：

https://www.googleapis.com/auth/userinfo.email  
https://www.googleapis.com/auth/userinfo.profile

改为（已弃用）。

我们也要求

https://www.googleapis.com/auth/cloudprint

那里（因为我们以后可能需要它）

4) 我可以以域管理员身份安装应用程序并正常使用（无需任何授权对话框）。

5) 当我尝试以域用户身份登录时，会出现一个授权对话框。我们如何防止这种情况发生？

6) 当用户想要将云打印机连接到我们的应用程序时，我们稍后会请求所需的范围（我们需要离线使用（即我们需要刷新令牌），因为它用于通过API 接口）。在这种情况下，即使是域管理员也需要获得许可。我们如何预防？

Answer 1

除了默认范围外，您还需要在“Google Apps Marketplace SDK”控制台中添加以下范围

https://www.googleapis.com/auth/plus.me

如果尚未安装，请单击“测试安装流程”

然后转到 admin.google.com 搜索您的应用程序并打开它。然后在数据访问下提供授权。

现在您可以使用任何域用户登录应用程序，而无需征求同意。

希望这会有所帮助。

Answer 2

我认为域管理员安装的应用尚未自动批准离线访问。

见Google Apps Marketplace SDK + Domain-wide OAuth 2 SSO