контекст

В настоящее время я перевожу приложение на основе OAuth 1.0 / OpenId для использования OAuth 2.0. Приложение представляет собой приложение Google App Engine, построенное на Java, и будет представлено на новом рынке приложений 2.0. У меня есть базовый поток OAuth 2.0, работающий нормально для отдельных пользователей, но у меня возникают проблемы при настройке учетной записи службы для моего сценария ниже.

вопрос

Поток, который я пытаюсь включить, выглядит следующим образом:

Администратор домена устанавливает приложение из магазина приложенийАдминистратор домена предоставляет запрошенные области (например, admin sdk, профиль, электронная почта и т. Д.)Пользователи из нового домена могут войти без каких-либо запросов на разрешение областиКогда пользователи входят в систему, учетная запись службы моего приложения может получить доступ к данным пользователя нового домена с помощью admin sdk, чтобы проверить, является ли пользователь администратором.

Для того, чтобы включить # 4, я понимаю, что моей учетной записи службы приложений должна быть предоставлена ​​авторизация для всего домена для запрошенных областей для домена новых пользователей.

Документация Google показывает, как это делается вручную через консоль администратора (https://developers.google.com/drive/web/delegation) администратором домена, но мне не повезло найти документацию о том, как программно / автоматически предоставить доступ к моей учетной записи службы приложений.

Вопрос

Кому-нибудь повезло с этим? Или, может быть, есть другой / более умный способ проверить, является ли пользователь администратором своего домена, без необходимости использовать комбинированную учетную запись службы + администратор SDK?

Заранее спасибо!