S'anomenen serveis de tercers aquelles aplicacions o webs que no tenen afiliació amb Google o amb nosaltres mateixos, d'aquí "de tercers": primer nosaltres, segon Google, tercer el servei aliè. Aquestes aplicacions, però, permeten que hi puguem accedir des del nostre compte de Google Workspace. Per exemple: Canva, ChatGPT, Padlet i un llarg etcètera.

Un dels avantatges (i també inconvenient!) d'emprar comptes de Google Workspace és que podem accedir a un munt de serveis de tercers sense necessitat de crear un compte específic (usuari i contrasenya nou) en aquest servei extern sinó que podem entrar amb el nostre compte de Google Workspace. Això ho veiem habitualment en forma d'un botó que ens permet registrar-nos o iniciar sessió amb un compte de Google, per exemple:

Es pot entendre millor com funciona l'autenticació amb Google davant un servei de tercers (en l'exemple Canva) amb aquest diagrama de flux:

Una de les novetats del 2024 és la millora en la gestió de l'accés a aquests serveis. Des de la consola podem configurar:

• Que es pugui accedir o no a serveis de tercers
• Si no s'hi pot accedir que es pugui o no demanar accés (caldrà llavors que com a administradors revisem les sol·licituds d'accés dels nostres usuaris per autoritzar-les o denegar-les).

Aquestes configuracions NO es fan com és habitual per unitats organitzatives (UO) sinó que es fan per edat dels usuaris. És molt important doncs, que tinguem ben configurada les edats dels nostres usuaris a les UO oportunes.

La proposta més coherent en un entorn educatiu seria:

• Que els usuaris menors de 18 anys no puguin accedir a cap servei de tercers i no puguin demanar accés
• Que els usuaris majors de 18 anys no puguin accedir a serveis de tercers però puguin demanar autorització per ells i, opcionalment, pels usuaris menors.

Tal com s'ha comentat la recomanació és que els usuaris menors d'edat no puguin accedir a serveis de tercers que no hagin estat aprovats prèviament (aquesta és l'opció predeterminada en comptes Workspace per a Educació, però no està de menys que ens assegurem que ho tenim configurat tal com es recomana per protegir millor les dades dels nostres usuaris).

També podem optar per limitar l'accés amb comptes corporatius a serveis de tercers a usuaris majors d'edat, això caldria decidir-ho en funció del context nostre centre.

Per aplicar la configuració, des de la consola (https://admin.google.com/) obrirem des del menú lateral les opcions de Seguretat > Control d'accés i dades > Control d'APIs:

Clicarem ara a Configuració:

Des d'aquí aplicarem la configuració inicial recomanada.

Missatge d'usuari personalitzat

El missatge d'usuari personalitzat és el missatge que li surt a un usuari quan intenta accedir a un servei de tercers sense que estigui autoritzat.

Una proposta de missatge és la següent:

No pots accedir a serveis no educatius aliens a l'entorn Workspace amb el compte del centre. Si ets un docent i penses que és un servei interessant per a ús educatiu pots sol·licitar que s'autoritzi l'accés al servei.

Amb aquesta configuració un usuari que vulgui accedir a un servei de tercers amb el compte corporatiu de centre li apareixerà així:

Aplicacions de tercers sense configurar

Després de configurar el missatge cliquem a Aplicacions de tercers sense configurar i establim si deixem o no accedir als usuaris majors de 18 anys i ens assegurem que els menors NO puguin accedir a aplicacions no autoritzades:

Sol·licituds d'usuaris per accedir a aplicacions no configurades

Com ja hem comentat, una possibilitat és permetre que els usuaris puguin sol·licitar accés a les aplicacions. En cas dels usuaris majors d'edat (docents) podem configurar que puguin fer-ho només per al seu propi usuari o bé també per altres usuaris (alumnes).

Amb les restriccions configurades, el que farem ara és veure com un usuari major d'edat pot demanar permís per accedir a un servei de tercers.

El procediment és senzill:

• Visitar la pàgina web de tercers i dir-li que vols iniciar la sessió

• Quan aquest servei extern ho proposi dir-li que volem accedir amb un compte de Google

• S'obrirà una finestra nova on podrem escollir el nostre compte corporatiu de centre

• Se'ns informa que l'accés a serveis de tercers està restringit amb el missatge que hem configurat anteriorment, però si ho fem amb un usuari major d'edat també veiem l'opció de sol·licitar-ne l'accés

Si cliquem a Sol·licitar accés veurem la notificació de Google conforme s'ha enviat la sol·licitud a la consola per ser revisada per un administador:

Si ho hem configurat, un docent també pot demanar autorització d'accés per a usuaris menors d'edat (alumnes). Per fer-ho haurà de visitar el següent enllaç:

https://access.workspace.google.com/apprequests

Això el que fa és mostrar una pàgina amb tots els serveis que té accés aquest usuari i permet demanar accés pels usuaris menors de 18 del nostre domini:

Per aprovar les sol·licituds d'accés a serveis de tercers, a la pàgina inicial de la consola ens surt un avís quan en tenim de pendents de gestionar:

o bé des del menú lateral de la consola accedirem a Seguretat > Control d'accés i dades > Control d'APIs:

Des d'aquí podrem accedir a gestionar l'accés d'aplicacions de tercers clicant sobre aplicacions pendents de revisió (a la imatge n'hi ha 1 però n'hi podria haver diverses):

Si ens apareix la marca Verificada al costat del nom de l'aplicació vol dir que Google ha revisat aquesta aplicació per comprovar que compleix determinats requisits de segureat i privacitat. Cal que tinguem clar que moltes aplicacions conegudes poden no haver sigut revisades d'aquesta forma!

Podem trobar més informació sobre la revisió d'aplicacions a la pàgina de suport de Google.

Posem el ratolí a sobre el servei que volem configurar (ja sigui per autoritzar-lo o denegar-lo) i a la dreta podem clicar l'opció configurar accés:

Ens apareixerà a la dreta el panell lateral per poder fer la configuració. Notem primer que ens surt el nom de l'aplicació, i la UO de l'usuari que ens ha fet la sol·licitud (Claustre), després podrem canviar-ho, si ens interessa. Per configura l'accés seleccionem la UO i premem Configurar accés:

(Opcional) Si volem configurar l'accés pels alumnes premerem ara a Afegir Unitats Organitzatives:

I seleccionem les unitats organitzatives per les quals volem permetre l'accés:

Revisem la configuració i cliquem a Següent:

Ara ens mostra tots els permisos que requereix (podem clicar a Actualitzar serveis o permisos per veure'n el detall). Un cop revisats, si optem per autoritzar els permisos ho indiquem i cliquem Següent:

Finalment se'ns presenta el resum de l'acció que farem, abans de finalitzar

1. Revisem les UO de nou
2. (opcionalment) marquem si volem o no notificar els alumnes

Tot i que hem configurat que els nostres usuaris alumnes no puguin accedir a serveis no autoritzats, podem també bloquejar l'accés a les aplicacions que pensem que no tenen relació amb la tasca educativa. El procediment és exactament el mateix:

1. Un cop vist que hi ha una sol·licitud d'autorització pendent, accedim a la llista de sol·licituds pendents
2. Anem a modificar-la
3. Seleccionem les UO
4. A l'hora d'assignar permisos indiquem que volem bloquejar-la:

Si hem autoritzat l'accés a un servei de tercers i volem modificar-lo (ja sigui per bloquejar-lo per tothom o bé per modificar les UO que hi tenen accés) anirem a buscar la llista de serveis de tercers autoritzats.

Des del menú lateral de la consola accedirem a Seguretat > Control d'accés i dades > Control d'APIs:

Des d'aquí podrem accedir a gestionar l'accés d'aplicacions de tercers clicant sobre gestionar l'accés d'aplicacions de tercers:

Se'ns presenta la llista de serveis que tenim configurats:

Posem el ratolí a sobre el servei que volem configurar (ja sigui per autoritzar-lo o denegar-lo) i a la dreta podem clicar l'opció configurar accés:

Se'ns tornarà a obrir la finestra per configurar l'accés tal com hem vist en l'apartat anterior. Podrem modificar les UO i autoritzar / denegar els permisos que requereix (o directament bloquejar l'aplicació).