La delegación de todo el dominio es una función muy útil que te permite dar permiso a las aplicaciones cliente para acceder a los datos de tus usuarios de Workspace sin necesidad de su consentimiento. Puedes utilizar la delegación de todo el dominio de dos formas:
- Autorizar una cuenta de servicio para que acceda a datos en nombre de un usuario. Una cuenta de servicio puede usar los siguientes tipos de aplicaciones:
-
Herramientas de migración y sincronización que duplican el contenido de usuarios de otro servicio en Google Workspace.
-
Aplicaciones internas (como aplicaciones de automatización) que los desarrolladores crean para tu organización. Por ejemplo, puedes delegar el acceso a una aplicación que utilice la API de Calendar para añadir eventos a los calendarios de tus usuarios.
-
- Permitir que los usuarios utilicen aplicaciones cliente de OAuth sin ver una pantalla de consentimiento. Los usuarios acceden a estas aplicaciones sin que se les pida su consentimiento, y puedes especificar a cuáles de sus datos pueden acceder las aplicaciones.
También puedes gestionar la instalación de aplicaciones de Google Workspace Marketplace en todo el dominio, así como ver los permisos de las API que requieren. Consulta más información sobre el acceso a los datos y la instalación de las aplicaciones de Marketplace.
- Asegúrate de que tienes privilegios de superadministrador en tu cuenta de Google Workspace.
- Consulta las prácticas recomendadas para delegar en todo el dominio y las prácticas recomendadas para usar cuentas de servicio.
- Verifica la lista de permisos de API que necesita la aplicación o la cuenta de servicio. Comprueba que la aplicación o la cuenta de servicio tenga un permiso de acceso reducido.
- Si delegas una aplicación OAuth, obtén el ID de cliente de OAuth del desarrollador de la aplicación.
- Si estás delegando una cuenta de servicio, obtén el ID de cliente de la cuenta de servicio. Si eres el propietario de la cuenta de servicio, puedes encontrar el ID de esta forma:
- Inicia sesión en Google Cloud como superadministrador.
- Haz clic en IAM y administraciónCuentas de servicio[nombre de tu cuenta de servicio]].
- Despliega Configuración avanzada y copia el ID de cliente.
- Con la delegación de todo el dominio, la aplicación tiene acceso a los datos que pertenecen a todos tus usuarios. Te recomendamos que revises periódicamente las cuentas de servicio y elimines las cuentas que ya no se utilicen.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosControles de APIsGestionar delegación de todo el dominio.
Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador. -
Haz clic en Añadir nuevo.
-
Introduce el ID de cliente de la cuenta de servicio o del cliente de OAuth2.
- En Permisos de OAuth, añade de forma precisa todos los permisos a los que puede acceder la aplicación. Puedes utilizar cualquiera de los permisos de OAuth 2.0 para APIs de Google. Por ejemplo, si la aplicación necesita acceso a nivel de dominio a la API de Google Drive y la API de Google Calendar, introduce https://googleapis.com/auth/drive y https://googleapis.com/auth/calendar.
- Haz clic en Autorizar. Si aparece un mensaje de error, es posible que el ID de cliente no esté registrado en Google o que haya permisos duplicados o no admitidos.
Nota: Si la aprobación de varios grupos está habilitada en tu organización, para autorizar la delegación en todo el dominio de una aplicación cliente, se necesita la aprobación de otro superadministrador.
-
Selecciona el nuevo ID de cliente, haz clic en Ver detalles y asegúrate de que aparecen todos los permisos.
Si falta alguno, haz clic en Editar, introdúcelo y haz clic en Autorizar. No puedes editar el ID de cliente.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
Te recomendamos revisar periódicamente los permisos de tu aplicación y quitar los que ya no se requieran y los que no se estén utilizando. También puedes quitar los clientes que ya no necesites. Por ejemplo, retira el acceso a una herramienta de migración una vez que hayas completado el proceso correspondiente.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosControles de APIsGestionar delegación de todo el dominio.
Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador. -
Haz clic en el nombre de un cliente y elige una opción:
- Ver detalles: consulta el nombre completo del cliente y la lista de permisos.
- Editar: añade o quita permisos. No puedes editar el ID de cliente. Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
- Eliminar: las aplicaciones que dependen de la autorización del cliente dejarán de funcionar al momento.
Nota: Si la opción Aprobación de varios grupos está habilitada en tu organización, para editar permisos o eliminar la delegación en todo el dominio de una aplicación cliente, se necesita la aprobación de otro superadministrador.