重要: 2016 年 10 月 20 日をもって、OAuth 1.0 2LO は完全にサポートを終了しました。新しい規格に移行するには、ドメイン全体へのアクセス権を委任されている OAuth 2.0 のサービス アカウントを使用するのが最も簡単です。
ユーザーが Google Workspace Marketplace からアプリケーションをインストールすると、アプリケーションの利用規約への同意と、Google サービスのデータへのアプリケーションによるアクセス許可を求めるページが表示されます。ユーザーがアクセスを許可すると、3-legged OAuth アクセス トークンで記録されます。承認済みのアクセスが Google Workspace でどのように機能するかについて詳しくは、Google Workspace で 3-legged OAuth が動作する仕組みを示した図をご覧ください。
特定のユーザーのアプリケーションの 3-legged OAuth トークンが無効になると、このユーザーがアプリケーションを再インストールして 3-legged OAuth トークンを再承認しない限り、このアプリケーションはユーザーの情報にアクセスできません。[セキュリティ] ページで、ユーザーの特定のアプリケーションで有効な 3-legged OAuth トークンをすべて確認できます。トークンは、アプリケーションごとにユーザー単位で一覧表示したり、取り消したりできます。
Google サービスのユーザー アカウントのセキュリティ強化のため、ユーザーのパスワードが変更されると、特定のサービスにアクセスするために発行された OAuth 2.0トークンは取り消されます。
ユーザーのパスワードが再設定されると、特定のサービスへのアクセスに OAuth 2.0 認証方式を使用するアプリケーションは、データにアクセスできなくなる場合があります。
2-Legged OAuth と 3-Legged OAuth の違い
2-Legged OAuth は、従来 Google で管理者用アプリケーションの認証に利用されている方式で、管理者が Tripit などのアプリケーションに、ドメイン内のすべてのユーザーの Google サービスのデータへのアクセス権を与える場合などに使われます。アクセスを要求されるデータは一般的に、グループ プロビジョニング、ユーザー プロビジョニング、カレンダー、連絡先です。
通常、3-Legged OAuth はユーザーが管理するアプリケーションで使用します。ドメイン内のユーザーが、Google Workspace Marketplace から個別にアプリケーションをダウンロードして管理対象の Google アカウントにインストールできます。なお、管理コンソールの [セキュリティ] の設定で、ユーザーが Google データへのアクセスを許可したサードパーティ アプリケーションを確認したり、3-Legged OAuth 2.0 トークンを無効にしたりできます。
詳しくは、2-legged OAuth の図と 3-legged OAuth(英語のみ)の図をご覧ください。