Kontext

Derzeit migriere ich eine OAuth 1.0 / OpenId-basierte App auf die Verwendung von OAuth 2.0. Die App ist eine in Java integrierte Google App Engine-App und wird auf dem neuen Apps-Marktplatz 2.0 verfügbar sein. Ich habe den grundlegenden OAuth 2.0-Flow für einzelne Benutzer, habe aber Probleme, das Dienstkonto für mein unten stehendes Szenario einzurichten.

Problem

Der Ablauf, den ich aktivieren möchte, lautet wie folgt:

Der Domain-Administrator installiert die App vom App-MarktplatzDomain-Administrator gewährt angeforderte Bereiche (z. B. Administrator-SDK, Profil, E-Mail usw.)Benutzer aus der neuen Domäne können sich ohne Eingabeaufforderung für die Bereichsberechtigung anmeldenWenn sich Benutzer anmelden, kann das Dienstkonto meiner App mit dem Administrator-SDK auf die Benutzerdetails der neuen Domain zugreifen, um zu überprüfen, ob der Benutzer ein Administrator ist

Um # 4 zu aktivieren, muss meinem Apps-Dienstkonto die domänenweite Autorisierung für die angeforderten Bereiche für die neue Benutzerdomäne erteilt werden.

Die Google-Dokumentation zeigt, wie dies manuell über die Administratorkonsole erfolgt (https://developers.google.com/drive/web/delegation) durch den Domain-Administrator, aber ich hatte kein Glück, eine Dokumentation darüber zu finden, wie ich programmgesteuert / automatisch Zugriff auf mein Apps-Dienstkonto gewähren kann.

Frage

Hat jemand Glück damit gehabt? Oder gibt es vielleicht eine andere / intelligentere Möglichkeit, um zu überprüfen, ob ein Benutzer ein Administrator seiner Domain ist, ohne ein Dienstkonto und eine Administrator-SDK-Kombination verwenden zu müssen?

Danke im Voraus!