Ist es möglich, die Anmeldung in meiner Webanwendung nur auf die Konten in einer Google-Gruppe zu beschränken?Google oauth - Anmeldung auf eine bestimmte Google-Gruppe beschränken
Ich möchte nicht, dass sich jeder mit seiner privaten Google Mail anmelden kann, sondern nur die Nutzer, die sich in meiner Google-Gruppe befinden.
Es erscheint ein OAuth Scope for groups zur Verfügung. -jim
Ich habe dies erforscht, es gibt ein paar Möglichkeiten, dies zu erreichen. Wenn Sie die G Suite in einer gehosteten Domain verwenden, können Sie zunächst den Parameter hd in der Oauth-Anmeldeanforderung angeben und auf Ihre Domain festlegen. Dies würde niemandem mit einer Google Mail-Adresse, die nicht @ yourhost.com ist, erlauben, sich zu authentifizieren. In diesem Schritt können Sie den Zugriff (Autorisierung) anfordern, um im Namen dieses Benutzers Aufrufe an die Gruppen-API zu senden (per @ jwillekes Antwort). An diesem Punkt können Sie das Token verwenden, das Sie zurück erhalten und eine Anfrage an Ihr Backend für die private Gruppe stellen und sehen, ob dieser Benutzer ein Teil davon ist. Wenn sie es sind, lassen Sie sie, wenn sie nicht sind, den Zugriff verweigern.
Ich habe nach anderen Möglichkeiten gesucht, um dies zu erreichen, aber ich habe keine Methode gefunden, die Ihnen erlaubt, Gruppenautorisierung einfach zu gewähren, indem Sie eine Rolle auf die OAndh Client ID anwenden, die Sie in GCP hochfahren. Die einzige andere Sache, die ich mir vorstellen kann, ist, dass Ihre App so erstellt wird, dass Sie sie als Bereich in Ihrer ursprünglichen Authentifizierungsanforderung bereitstellen können. Ich weiß, dass Sie Ihre eigenen APIs erstellen können und was nicht mit Cloud Endpoints, aber ich bin mir nicht sicher, ob Sie das letztendlich bekommen wird, was Sie wollen. Dienstanbieter wie Ping/Okta haben diese Art von Funktionalität, weil sie die Schnittstelle für den Oidc-Fluss bereitstellen können.