Приложение Google Marketplace / OAuth2 - программно делегировать авторизацию по всему домену
контекст
В настоящее время я перевожу приложение на основе OAuth 1.0 / OpenId для использования OAuth 2.0. Приложение представляет собой приложение Google App Engine, построенное на Java, и будет представлено на новом рынке приложений 2.0. У меня есть базовый поток OAuth 2.0, работающий нормально для отдельных пользователей, но у меня возникают проблемы при настройке учетной записи службы для моего сценария ниже.
вопрос
Поток, который я пытаюсь включить, выглядит следующим образом:
Администратор домена устанавливает приложение из магазина приложенийАдминистратор домена предоставляет запрошенные области (например, admin sdk, профиль, электронная почта и т. Д.)Пользователи из нового домена могут войти без каких-либо запросов на разрешение областиКогда пользователи входят в систему, учетная запись службы моего приложения может получить доступ к данным пользователя нового домена с помощью admin sdk, чтобы проверить, является ли пользователь администратором.Для того, чтобы включить # 4, я понимаю, что моей учетной записи службы приложений должна быть предоставлена авторизация для всего домена для запрошенных областей для домена новых пользователей.
Документация Google показывает, как это делается вручную через консоль администратора (https://developers.google.com/drive/web/delegation) администратором домена, но мне не повезло найти документацию о том, как программно / автоматически предоставить доступ к моей учетной записи службы приложений.
Вопрос
Кому-нибудь повезло с этим? Или, может быть, есть другой / более умный способ проверить, является ли пользователь администратором своего домена, без необходимости использовать комбинированную учетную запись службы + администратор SDK?
Заранее спасибо!