Я недавно внедрил SSO functionality для приложения Google Apps Marketplace, которое мы разрабатываем. Простыми словами: он предоставляет способ получить электронную почту пользователя Google Apps и зарегистрировать его на своем веб-сайте без необходимости разрешения на его конец. Вам просто нужен ключ для потребителя и секрет потребителя, предоставляемый Google для приложения во время установки в вашем домене (пользователь установки также разрешает (однократное действие) любые другие разрешения, которые вы запрашиваете в файле манифеста).Google Apps SSO + Получить пользователей в домене Google Apps
Теперь мне удалось каким-то образом заставить пользователя входа в систему SSO использовать JanRain's OpenID PHP library и добавить поставщика услуг Google Apps, используя PHP Extensions for Google Apps OpenID Discovery.
Однако после входа в систему мне необходимо реализовать функциональность, которая будет извлекать всех пользователей в данном домене Google Apps. Я уже сделал это с использованием аутентификации oAuth2 и следующих Directory API. Однако для этого требуется наличие ключа потребителя, секрет потребителя и адрес перенаправления (который должен быть зарегистрирован в консоли Google API).
Есть ли способ устранить это удобство и вместо этого позволить нашим пользователям напрямую получать своих пользователей домена Google Apps, используя существующую аутентификацию SSO, которую мы сделали в фоновом режиме при входе в систему? В противном случае пользователю будет сложно зарегистрировать приложение на консоли Google API, ввести правильный URL-адрес переадресации и настроить его на нашем веб-сайте, а затем он сможет получить пользователей своего домена.
Хотя это не решило мою проблему напрямую, полезно знать, что только администраторы могут использовать API-интерфейс Directory. Спасибо за время и за ответ. –