Elke keer dat een gebruiker een externe app toegang geeft tot zijn Workspace-account, via een Met Google inloggen-knop of een OAuth-toestemmingsscherm, ontstaat een nieuwe verbinding naar je data. Standaard mag een gebruiker in Google Workspace zelf bepalen welke app waarbij mag, en kan iemand dus een willekeurige app toegang geven tot zijn complete Gmail of Drive. API-toegangsbeheer geeft jou als beheerder grip op wie waarbij mag.
Waarom API-toegang beheren
Derde-partij-apps zijn nuttig, maar elke gekoppelde app is ook een potentieel datalek. Een app die toegang krijgt tot Gmail kan in principe alle mail lezen. Een gecompromitteerde of kwaadaardige app met brede scopes kan grote schade aanrichten. Door API-toegang centraal te beheren, bepaal jij welke apps vertrouwd zijn in plaats van dat elke gebruiker dat los beslist.
Standaard mag elke app verbinden
In een standaard-Workspace mag elke gebruiker een externe app toegang geven tot gevoelige scopes, zoals het volledig lezen van zijn Gmail of Drive. Een enkele phishing-achtige OAuth-toestemming volstaat dan om data te laten weglekken. Beperk daarom de toegang tot de gevoeligste scopes en sta daar alleen expliciet vertrouwde apps toe.
App-toegangscontrole vinden
Het centrale instrument is app-toegangscontrole. In de Admin Console ga je naar Beveiliging, dan Toegang en gegevenscontrole, en daar naar API-controles. Onder app-toegangscontrole bepaal je per app of per scope wat is toegestaan, en bekijk je welke apps je al hebt geconfigureerd.
De vier toegangsniveaus
Per app kies je een van vier niveaus. Die vier vormen samen de kern van je beleid.
| Niveau | Wat de app mag |
|---|---|
| Vertrouwd | Toegang tot alle Google-services, inclusief de beperkte zoals volledige Gmail- en Drive-toegang. |
| Beperkt | Alleen toegang tot niet-beperkte services, dus niet tot gevoelige scopes. |
| Specifieke Google-data | Alleen toegang tot de scopes die jij bij het configureren van de app expliciet opgeeft. |
| Geblokkeerd | Geen enkele toegang, de app kan helemaal niet verbinden. |
Vertrouwd, beperkt of geblokkeerd
Markeer een app als Vertrouwd alleen als je hem echt vertrouwt met gevoelige data. Met Beperkt laat je een app wel verbinden, maar houd je hem weg bij de gevoelige scopes. Met Specifieke Google-data geef je een app precies de scopes die hij nodig heeft en niet meer. Geblokkeerd sluit een app volledig uit.
Niet-geconfigureerde apps afschermen
De belangrijkste maatregel is wat er gebeurt met apps die je niet expliciet hebt geconfigureerd. Standaard staat dit op een ruime instelling, waarbij gebruikers met elke niet-geconfigureerde app mogen inloggen en die app om brede toegang mag vragen. Onder de instellingen voor niet-geconfigureerde derde-partij-apps zet je dit strenger, zodat onbekende apps niet langer bij de beperkte scopes zoals Gmail en Drive kunnen. Gebruikers kunnen dan niet meer eigenhandig een onbekende app toegang geven tot hun complete mailbox.
API-toegang beperken stap voor stap
- Ga in de Admin Console naar Beveiliging, dan Toegang en gegevenscontrole, dan API-controles.
- Open app-toegangscontrole en bekijk welke apps al toegang hebben.
- Configureer de apps die je vertrouwt en geef ze het niveau Vertrouwd of Specifieke Google-data.
- Zet bij niet-geconfigureerde derde-partij-apps de toegang tot beperkte scopes dicht.
- Controleer de keuze en sla het beleid op.
Bestaande koppelingen inventariseren
Voordat je gaat afschermen, is het verstandig te zien wat er al gekoppeld is. In de Admin Console vind je een overzicht van apps waaraan gebruikers toegang hebben verleend, met de bijbehorende scopes en het aantal gebruikers. Dat overzicht onthult vaak verrassend veel onbekende apps met brede rechten.
Eerst inventariseren, dan afdwingen
Inventariseer eerst de bestaande OAuth-koppelingen voordat je een strenger beleid afdwingt. Zo zie je welke apps je gebruikers daadwerkelijk gebruiken en welke je als vertrouwd wilt aanmerken. Hard afschermen zonder inventarisatie breekt mogelijk legitieme workflows en levert een golf supporttickets op.
Toegangsverzoeken afhandelen
Als je niet-geconfigureerde apps afschermt en een gebruiker probeert toch in te loggen met een geblokkeerde app, wordt de toegang geweigerd en komt die app op een lijst met verzoeken in de Admin Console. Vanuit dat overzicht keur je een app goed of af. Richt hier een duidelijk en snel proces voor in.
Onderhoud een aanvraagproces
Een strikt beleid voor niet-geconfigureerde apps is veiliger maar vraagt onderhoud. Vraagt een gebruiker toegang tot een nieuwe, legitieme app die nog niet vertrouwd is, dan moet jij die eerst goedkeuren. Zonder een vlot aanvraagproces gaan gebruikers zoeken naar omwegen die je beveiliging ondermijnen.
Onderhoud en review
API-toegangsbeheer is doorlopend werk. Nieuwe apps verschijnen, oude raken in onbruik. Review periodiek de lijst met geconfigureerde apps en de toegekende scopes. Verwijder apps die niet meer gebruikt worden en controleer of geen enkele app meer rechten heeft dan nodig.
Waar vind ik app-toegangscontrole in de Admin Console?
Ga naar Beveiliging, dan Toegang en gegevenscontrole, en dan API-controles. Onder app-toegangscontrole beheer je per app en per scope de toegang.
Wat is het verschil tussen Vertrouwd, Beperkt en Specifieke Google-data?
Vertrouwd geeft een app toegang tot alle services, inclusief gevoelige scopes. Beperkt houdt een app weg bij de gevoelige scopes. Met Specifieke Google-data geef je een app precies de scopes die je zelf opgeeft, en niets daarbuiten.
Kan ik gebruikers helemaal verbieden apps te koppelen?
Je kunt voor niet-geconfigureerde apps de toegang tot beperkte scopes dichtzetten, waardoor gebruikers niet langer eigenhandig brede toegang kunnen verlenen. Een individuele app volledig uitsluiten doe je door hem op Geblokkeerd te zetten.
Hoe zie ik welke apps al toegang hebben?
In de Admin Console vind je onder API-controles een overzicht van gekoppelde apps met hun scopes en het aantal gebruikers. Gebruik dat om te inventariseren voor je beleid afdwingt.
Wat gebeurt er met apps die ik niet expliciet configureer?
Dat bepaal je zelf bij de instellingen voor niet-geconfigureerde derde-partij-apps. Standaard staat dit ruim, maar je kunt onbekende apps de toegang tot beperkte scopes ontzeggen voor een veiliger model, mits je een proces hebt om nieuwe apps goed te keuren.