Visão geral da API Admin Settings

Com a API Admin Settings, os administradores de domínios do Google Workspace podem recuperar e mudar as configurações dos domínios na forma de feeds da API Google Data.

Essas configurações do domínio incluem muitos dos recursos disponíveis no Admin Console do Google Workspace. Exemplos de uso dessa API incluem a criação de um painel de controle personalizado ou a integração de domínios do Google Workspace a um ambiente legado.

A API Admin Settings implementa o protocolo da API Google Data. A API de dados do Google está em conformidade com o modelo de publicação e edição do protocolo Atom Publishing (AtomPub). As solicitações HTTP do AtomPub usam a abordagem de design RESTful (Representtional Set Transfer) para serviços da Web. Para mais informações, consulte o Guia do desenvolvedor de dados do Google.

Público-alvo

Este documento é destinado aos desenvolvedores que querem criar aplicativos clientes que possam modificar e recuperar informações sobre domínios do Google Workspace. Ele fornece exemplos de interações básicas da API de configurações de administrador usando XML e HTTP brutos.

Para acompanhar este documento, você precisa entender os conceitos gerais do protocolo da API Google Data e ter familiaridade com o Admin Console do Google Workspace. Para mais informações sobre o Admin Console, consulte Usar o Admin Console.

Primeiros passos

Como criar uma conta

A API Admin Settings está ativada nas contas do Google Workspace. Inscreva-se em uma conta do Google Workspace para fazer o teste. O serviço de configurações de administrador usa as Contas do Google. Portanto, se você já tem uma conta em um domínio do Google Workspace, não precisa fazer mais nada.

Sobre os tipos de feed da API de configurações de administrador

Com a API Admin Settings, é possível gerenciar estas categorias de configurações de domínio:

Configurações de Logon único

Com o Logon único (SSO) baseado em SAML, os usuários podem utilizar o mesmo login e senha nos serviços hospedados no Google Workspace e em outros serviços da organização. Especificamente ao usar o SSO, um aplicativo da Web hospedado, como o Google Workspace, redireciona os usuários ao provedor de identidade da sua organização para autenticar os usuários no login. Para informações detalhadas, consulte Noções básicas sobre o SSO baseado em SAML para o Google Workspace.

Para configurar o SSO, o serviço do Google Workspace precisa inserir as informações necessárias para se comunicar com o provedor de identidade que armazena as informações informações de login, bem como definir os links aos quais os usuários devem ser enviados para fazer login, sair e alterar suas senhas. A API Admin Settings permite atualizar e recuperar essas configurações de maneira programática. O Google usa a chave pública gerada para verificar essa solicitação de SSO com o provedor de identidade e se a resposta SAML da chave privada não foi modificada durante a transmissão da rede.

Para acessar um breve resumo específico da API sobre o uso das configurações de SSO, acesse seu certificado de chave pública do provedor de identidade, registre a chave pública no Google e defina as configurações de consulta de SSO baseadas em SAML. Para mensagens de erro, consulte Solução de problemas de SSO:

  • Gere suas chaves – Com seu provedor de identidade, gere um conjunto de chaves públicas e privadas usando os algoritmos DSA ou RSA. A chave pública está em um certificado no formato X.509. Para mais informações sobre chaves de assinatura de Logon único baseado em SAML, consulte Como gerar chaves e certificados para o serviço de Logon único do Google Workspace.
  • Registrar no Google: use as configurações de Logon único da API de configurações do administrador para registrar seu certificado de chave pública no Google.
  • Defina suas configurações de SSO – Use as configurações de Logon único da API de configurações do administrador para definir as configurações usadas na comunicação com os servidores do provedor de identidade do domínio.

Configurações de gateway e roteamento

Esse feed permite que os administradores de domínio controlem o roteamento de e-mail dos seus domínios.

As operações de roteamento de e-mail permitem que os administradores especifiquem as configurações de roteamento de e-mail no nível do domínio. Isso é parecido com a funcionalidade de roteamento de e-mail das configurações do Gmail no Admin Console. Para mais informações, consulte Roteamento de e-mail e configuração de entrega dupla do recurso de roteamento de e-mail.

Exemplo de solicitação e resposta XML da API de configurações de administrador

Este documento fornece exemplos de código de solicitações e respostas básicas da API de configurações de administrador usando XML e HTTP brutos. Este exemplo de idioma padrão do domínio mostra a sintaxe completa de XML e HTTP para o corpo de uma entrada de solicitação e resposta comum a cada operação:

Para alterar a configuração do gateway de e-mail de saída do domínio, envie um PUT HTTP para o URL do feed de gateway:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway

O idioma padrão do domínio PUT da solicitação AtomPub entry XML é:

<atom:entry xmlns:atom='http://www.w3.org/2005/Atom'
  xmlns:apps='http://schemas.google.com/apps/2006'>
  <apps:property name='smartHost' value='smtp.out.domain.com' />
  <apps:property name='smtpMode' value='SMTP' />
</atom:entry>

Exceto pelas propriedades e valores específicos da operação, os elementos atom:property representam um único par de chave-valor contendo informações sobre uma propriedade que você quer recuperar ou atualizar. Isso é comum a todos os corpos de solicitações de API de configurações de administrador.

O elemento entry da resposta de idioma padrão do domínio retorna as propriedades smartHost e smtpMode, além da sintaxe XML comum a todos os corpos de resposta da API de configurações de administrador:

<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<id>https://apps-apis.google.com/a/feeds/domain/2.0/domainName/email/gateway</id>
<updated>2008-12-17T23:59:23.887Z</updated>
<link rel='self' type='application/atom+xml' href='https://apps-apis.google.com/a/feeds/domain/
  2.0/domainName/email/gateway'/>
<link rel='edit' type='application/atom+xml' href='https://apps-apis.google.com/a/feeds/domain/
  2.0/domainName/email/gateway'/>
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</entry>

Como gerenciar configurações de logon único

O recurso de Logon único (SSO) do Google Workspace permite que os usuários acessem vários serviços sem precisar digitar o login e a senha apenas uma vez. Essa senha é armazenada pelo provedor de identidade do domínio, não pelo Google Workspace. Para mais informações, consulte a página de SSO da Central de Ajuda. As seções a seguir demonstram o formato XML usado para as configurações de logon único.

Como recuperar configurações de logon único

Para recuperar as configurações de Logon único, envie um GET HTTP para o URL do feed geral de SSO e inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço de configurações de administrador. E, para mensagens de erro, consulte Solução de problemas de SSO:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/general

Esta operação não tem parâmetros no corpo da solicitação.

Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as configurações de SSO do domínio.

O XML de resposta GET retorna as propriedades samlSignonUri, samlLogoutUri, changePasswordUri, enableSSO, ssoWhitelist e useDomainSpecificIssuer:

<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon'/>
...
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout'/>
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword'/>
<apps:property name='enableSSO' value='true'/>
<apps:property name='ssoWhitelist' value='CIDR formatted IP address'/>
<apps:property name='useDomainSpecificIssuer' value='false'/>
</entry>

As propriedades incluem:

samlSignonUri
O URL do provedor de identidade para onde o Google Workspace envia a solicitação SAML para a autenticação do usuário.
samlLogoutUri
O endereço para onde os usuários serão enviados quando saírem do aplicativo da Web.
changePasswordUri
O endereço para onde os usuários serão enviados quando quiserem alterar a senha de SSO do aplicativo da Web.
enableSSO
Ativa o SSO baseado em SAML no domínio. Se você já tiver definido as configurações de SSO e tiver definido enableSSO como enableSSO=false, as configurações inseridas anteriormente ainda serão salvas.
ssoWhitelist
Um ssoPermissions é um endereço IP de máscara de rede no formato de roteamento entre domínios sem classe (CIDR, na sigla em inglês). O ssoVLAN determina quais usuários fazem login com o SSO e quais usam a página de autenticação de conta do Google Workspace. Se nenhuma máscara for especificada, todos os usuários farão login usando o SSO. Para mais informações, consulte Como as máscaras de rede funcionam.
useDomainSpecificIssuer
Um emissor específico do domínio pode ser usado na solicitação SAML para o provedor de identidade. Embora não seja necessário para a maioria das implantações de SSO, esse recurso é útil em grandes empresas que usam um único provedor de identidade para autenticar uma organização inteira com vários subdomínios. Com um emissor de domínio específico, é possível determinar qual subdomínio será associado à solicitação. Para mais informações, consulte Como funciona o elemento emissor na solicitação SAML?

Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.

Como atualizar configurações de logon único

Para atualizar as configurações de SSO de um domínio, recupere primeiro as configurações de SSO usando a operação Como recuperar configurações de logon único, modifique-as e envie uma solicitação PUT para o URL de feed de SSO. Verifique se o valor <id> na entrada atualizada corresponde exatamente ao <id> da entrada existente. Inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço da API de configurações de administrador. E, para mensagens de erro, consulte Solução de problemas de SSO.

Ao atualizar as configurações de Logon único, envie um HTTP PUT para o URL de feed geral de SSO:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/general

O corpo XML da solicitação PUT é:

<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='enableSSO' value='false' />
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon' />
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout' />
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword' />
<apps:property name='ssoWhitelist' value='127.0.0.1/32' />
<apps:property name='useDomainSpecificIssuer' value='false'/>
</atom:entry>

Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as configurações de SSO.

O XML de resposta PUT é:

<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon'/>
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout'/>
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword'/>
<apps:property name='enableSSO' value='false'/>
<apps:property name='ssoWhitelist' value='127.0.0.1/32'/>
<apps:property name='useDomainSpecificIssuer' value='false'/>
</entry>

Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.

Não é permitido mudar as configurações do Logon único quando o cliente de destino ativa a opção Aprovação de outra parte para ações sensíveis. As solicitações falharão com errorCode="1811" e reason="LegacyInboundSsoChangeNotAllowedWithMultiPartyApproval".

Como recuperar a chave de assinatura de logon único

Para recuperar a chave de assinatura de Logon único, envie um GET HTTP para o URL de feed de chave de assinatura SSO e inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço de configurações de administrador. E, para mensagens de erro, consulte Solução de problemas de SSO:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/signingkey

Esta operação não tem parâmetros no corpo da solicitação.

Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com a chave de assinatura.

O XML de resposta GET retorna a propriedade signingKey:

<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='signingKey' value='yourBase64EncodedPublicKey'/>
</entry>

Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.

Como atualizar a chave de assinatura de logon único

Para atualizar a chave de assinatura SSO de um domínio, primeiro recupere a chave de assinatura usando a operação Como recuperar a chave de assinatura de Logon único, modifique-a e envie uma solicitação PUT para o URL de feed da chave de assinatura de SSO. Verifique se o valor <id> na entrada atualizada corresponde exatamente ao <id> da entrada atual. Para mais informações sobre chaves de assinatura de Logon único baseado em SAML, consulte Como gerar chaves e certificados para o serviço de Logon único do Google Workspace.

Ao atualizar a chave de assinatura de Logon único, envie um PUT HTTP para o URL de feed de chave de assinatura SSO:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/signingkey

O XML da solicitação PUT é:

<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='signingKey' value='yourBase64EncodedPublicKey'/>
</atom:entry>

Não é permitido mudar as configurações do Logon único quando o cliente de destino ativa a opção Aprovação de outra parte para ações sensíveis. As solicitações falharão com errorCode="1811" e reason="LegacyInboundSsoChangeNotAllowedWithMultiPartyApproval".

Como gerenciar o gateway e o roteamento de e-mails

A seção de gateway de e-mail de saída mostra como a API de configurações de administrador oferece suporte ao roteamento de e-mails de saída de usuários em seu domínio. A seção "Roteamento de e-mail" mostra como rotear mensagens para outro servidor de e-mail.

Como recuperar configurações de gateway de e-mail de saída

Para recuperar as configurações do gateway de e-mail de saída, envie um GET HTTP para o URL do feed de gateway e inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço de configurações de administrador:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway

Esta operação não tem parâmetros no corpo da solicitação.

Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as informações de status do gateway de e-mail.

A resposta GET retorna as propriedades smartHost e smtpMode. Para mais informações sobre essas propriedades, consulte Como atualizar configurações de gateway de e-mail de saída.

Um exemplo de uma possível resposta é:

<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='smartHost' value='smtpout.domain.com'/>
<apps:property name='smtpMode' value='SMTP'/>
</entry>

Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.

Como atualizar configurações de gateway de e-mail de saída

Para atualizar a configuração de gateway de e-mail de saída de um domínio, envie uma solicitação PUT HTTP para o URL do feed de gateway:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway

O XML da solicitação PUT é:

<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</atom:entry>

As propriedades da solicitação são:

smartHost
O endereço IP ou o nome do host do servidor SMTP. O Google Workspace roteia os e-mails enviados para esse servidor.
smtpMode
O valor padrão é SMTP. Outro valor, SMTP_TLS, protege uma conexão com TLS ao entregar a mensagem.
.

Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com o feed AtomPub com o status de configurações do gateway de e-mail.

Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.

Como gerenciar configurações de roteamento de e-mail

Primeiro, crie uma solicitação XML:

<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='routeDestination' value='route-smtp.domain.com'/>
<apps:property name='routeRewriteTo' value='true'/>
<apps:property name='routeEnabled' value='true'/>
<apps:property name='bounceNotifications' value='true'/>
<apps:property name='accountHandling' value='can be either allAccounts | provisionedAccounts | unknownAccounts'/>
</atom:entry>

As propriedades da solicitação são:

routeDestination
Esse destino é o nome do host ou o endereço IP do servidor de e-mail de entrada SMTP para onde o e-mail está sendo roteado. O nome do host ou endereço IP precisa ser resolvido para o Google. Veja mais detalhes sobre como resolver nomes de host de e-mail em Piloto do Google Workspace com roteamento de e-mail.
routeRewriteTo
Se for verdadeiro, o campo to: do envelope SMTP da mensagem será alterado para o nome do host de destino (usuário@nome do host de destino) e a mensagem será entregue a esse endereço de usuário no servidor de e-mail de destino. Se for false, o e-mail será entregue ao endereço de e-mail to: da mensagem original (usuário@nome do host original) no servidor de e-mail de destino. É semelhante à opção "Alterar envelope SMTP" do Admin Console. do ambiente. Veja mais informações em Configurações do domínio para roteamento de e-mail.
routeEnabled
Se for true, a funcionalidade de roteamento de e-mail será ativada. Se for false, a funcionalidade será desativada.
bounceNotifications
Se true, o Google Workspace está ativado para enviar notificações de devolução para o remetente quando ocorre uma falha na entrega.
accountHandling

Essa configuração determina como os diferentes tipos de usuários no domínio são afetados pelo roteamento de e-mail:

  • allAccounts -- entrega todos os e-mails para este destino.
  • provisionedAccounts: envia e-mails para esse destino se o usuário estiver no Google Workspace.
  • unknownAccounts: entrega os e-mails para esse destino se o usuário não estiver no Google Workspace. É semelhante ao "E-mail de entrega para" do Admin Console do ambiente. Para mais informações sobre pré-requisitos e como usar o roteamento de e-mail, consulte Configurações de domínio para roteamento de e-mail. ~ Para publicar essa solicitação, envie um HTTP POST para o URL do feed de roteamento de e-mail e inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço de configurações de administrador:

https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/emailrouting

Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as informações de arquivo.

Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.

Desativação dos endpoints em 31 de outubro de 2018

Descontinuamos os endpoints a seguir como parte deste comunicado. Elas foram desativadas em 31 de outubro de 2018 e não estão mais disponíveis.

  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/defaultLanguage
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/organizationName
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/currentNumberOfUsers
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/maximumNumberOfUsers
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/supportPIN
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/customerPIN
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/adminSecondaryEmail
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/edition
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/creationTime
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/countryCode
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/appearance/customLogo
  • https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/verification/mx