Com a API Admin Settings, os administradores de domínios do Google Workspace podem recuperar e mudar as configurações dos domínios na forma de feeds da API Google Data.
Essas configurações do domínio incluem muitos dos recursos disponíveis no Admin Console do Google Workspace. Exemplos de uso dessa API incluem a criação de um painel de controle personalizado ou a integração de domínios do Google Workspace a um ambiente legado.
A API Admin Settings implementa o protocolo da API Google Data. A API de dados do Google está em conformidade com o modelo de publicação e edição do protocolo Atom Publishing (AtomPub). As solicitações HTTP do AtomPub usam a abordagem de design RESTful (Representtional Set Transfer) para serviços da Web. Para mais informações, consulte o Guia do desenvolvedor de dados do Google.
Público
Este documento é destinado aos desenvolvedores que querem criar aplicativos clientes que possam modificar e recuperar informações sobre domínios do Google Workspace. Ele fornece exemplos de interações básicas da API de configurações de administrador usando XML e HTTP brutos.
Para acompanhar este documento, você precisa entender os conceitos gerais do protocolo da API Google Data e ter familiaridade com o Admin Console do Google Workspace. Para mais informações sobre o Admin Console, consulte Usar o Admin Console.
Como começar
Como criar uma conta
A API Admin Settings está ativada nas contas do Google Workspace. Inscreva-se em uma conta do Google Workspace para fazer o teste. O serviço de configurações de administrador usa as Contas do Google. Portanto, se você já tem uma conta em um domínio do Google Workspace, não precisa fazer mais nada.
Sobre os tipos de feed da API de configurações de administrador
Com a API Admin Settings, é possível gerenciar estas categorias de configurações de domínio:
- Configurações de Logon único
Com o Logon único (SSO) baseado em SAML, os usuários podem utilizar o mesmo login e senha nos serviços hospedados no Google Workspace e em outros serviços da organização. Especificamente ao usar o SSO, um aplicativo da Web hospedado, como o Google Workspace, redireciona os usuários ao provedor de identidade da sua organização para autenticar os usuários no login. Confira informações detalhadas em Noções básicas sobre o SSO baseado em SAML para o Google Workspace.
Para configurar o SSO, o serviço do Google Workspace precisa inserir as informações necessárias para se comunicar com o provedor de identidade que armazena as informações de login dos usuários, além de definir os links que serão enviados aos usuários para fazer login, sair e alterar a senha. A API Admin Settings permite atualizar e recuperar essas configurações de maneira programática. O Google usa a chave pública gerada para verificar essa solicitação de SSO com o provedor de identidade e se a resposta SAML da chave privada não foi modificada durante a transmissão da rede.
Para acessar um breve resumo específico da API sobre o uso das configurações de SSO, acesse seu certificado de chave pública do provedor de identidade, registre a chave pública no Google e defina as configurações de consulta de SSO baseadas em SAML. Para mensagens de erro, consulte Solução de problemas de SSO:- Gere suas chaves – Com seu provedor de identidade, gere um conjunto de chaves públicas e privadas usando os algoritmos DSA ou RSA. A chave pública está em um certificado no formato X.509. Para mais informações sobre chaves de assinatura de Logon único baseado em SAML, consulte Como gerar chaves e certificados para o serviço de Logon único do Google Workspace.
- Registrar no Google: use as configurações de Logon único da API de configurações do administrador para registrar seu certificado de chave pública no Google.
- Defina suas configurações de SSO – Use as configurações de Logon único da API de configurações do administrador para definir as configurações usadas na comunicação com os servidores do provedor de identidade do domínio.
- Configurações de gateway e roteamento
Esse feed permite que os administradores de domínio controlem o roteamento de e-mail dos seus domínios.
As operações de roteamento de e-mail permitem que os administradores especifiquem as configurações de roteamento de e-mail no nível do domínio. Isso é parecido com a funcionalidade de roteamento de e-mail das configurações do Gmail no Admin Console. Para mais informações, consulte Roteamento de e-mail e configuração de entrega dupla do recurso de roteamento de e-mail.
Exemplo de solicitação e resposta XML da API de configurações de administrador
Este documento fornece exemplos de código de solicitações e respostas básicas da API de configurações de administrador usando XML e HTTP brutos. Este exemplo de idioma padrão do domínio mostra a sintaxe completa de XML e HTTP para o corpo de uma entrada de solicitação e resposta comum a cada operação:
Para alterar a configuração do gateway de e-mail de saída do domínio, envie um PUT HTTP para o URL do feed de gateway:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway
O idioma padrão do domínio PUT da solicitação AtomPub entry XML é:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom'
xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</atom:entry>
Exceto pelas propriedades e valores específicos da operação, os elementos atom:property representam um único par de chave-valor contendo informações sobre uma propriedade que você quer recuperar ou atualizar. Isso é comum a todos os corpos de solicitações de API de configurações de administrador.
O elemento entry da resposta de idioma padrão do domínio retorna as propriedades smartHost e smtpMode, além da sintaxe XML comum a todos os corpos de resposta da API de configurações de administrador:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<id>https://apps-apis.google.com/a/feeds/domain/2.0/domainName/email/gateway</id>
<updated>2008-12-17T23:59:23.887Z</updated>
<link rel='self' type='application/atom+xml' href='https://apps-apis.google.com/a/feeds/domain/
2.0/domainName/email/gateway'/>
<link rel='edit' type='application/atom+xml' href='https://apps-apis.google.com/a/feeds/domain/
2.0/domainName/email/gateway'/>
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</entry>
Como gerenciar configurações de logon único
O recurso de Logon único (SSO) do Google Workspace permite que os usuários acessem vários serviços sem precisar digitar o login e a senha apenas uma vez. Essa senha é armazenada pelo provedor de identidade do domínio, não pelo Google Workspace. Para mais informações, consulte a página de SSO da Central de Ajuda. As seções a seguir demonstram o formato XML usado para as configurações de logon único.
Como recuperar configurações de logon único
Para recuperar as configurações de Logon único, envie um GET HTTP para o URL do feed geral de SSO e inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço de configurações de administrador. E, para mensagens de erro, consulte Solução de problemas de SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/general
Esta operação não tem parâmetros no corpo da solicitação.
Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as configurações de SSO do domínio.
O XML de resposta GET retorna as propriedades samlSignonUri, samlLogoutUri, changePasswordUri, enableSSO, ssoWhitelist e useDomainSpecificIssuer:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon'/>
...
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout'/>
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword'/>
<apps:property name='enableSSO' value='true'/>
<apps:property name='ssoWhitelist' value='CIDR formatted IP address'/>
<apps:property name='useDomainSpecificIssuer' value='false'/>
</entry>
As propriedades incluem:
- samlSignonUri
- O URL do provedor de identidade para onde o Google Workspace envia a solicitação SAML para a autenticação do usuário.
- samlLogoutUri
- O endereço para onde os usuários serão enviados quando saírem do aplicativo da Web.
- changePasswordUri
- O endereço para onde os usuários serão enviados quando quiserem alterar a senha de SSO do aplicativo da Web.
- enableSSO
- Ativa o SSO baseado em SAML no domínio. Se você já tiver definido as configurações de SSO e tiver definido
enableSSOcomoenableSSO=false, as configurações inseridas anteriormente ainda serão salvas. - ssoWhitelist
- Um ssoPermissions é um endereço IP de máscara de rede no formato de roteamento entre domínios sem classe (CIDR, na sigla em inglês). O ssoVLAN determina quais usuários fazem login com o SSO e quais usam a página de autenticação de conta do Google Workspace. Se nenhuma máscara for especificada, todos os usuários farão login usando o SSO. Para mais informações, consulte Como as máscaras de rede funcionam.
- useDomainSpecificIssuer
- Um emissor específico do domínio pode ser usado na solicitação SAML para o provedor de identidade. Embora não seja necessário para a maioria das implantações de SSO, esse recurso é útil em grandes empresas que usam um único provedor de identidade para autenticar uma organização inteira com vários subdomínios. Com um emissor de domínio específico, é possível determinar qual subdomínio será associado à solicitação. Para mais informações, consulte Como funciona o elemento emissor na solicitação SAML?
Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.
Como atualizar configurações de logon único
Para atualizar as configurações de SSO de um domínio, recupere primeiro as configurações de SSO usando a operação Como recuperar configurações de logon único, modifique-as e envie uma solicitação PUT para o URL de feed de SSO. Verifique se o valor <id> na entrada atualizada corresponde exatamente ao <id> da entrada existente. Inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço da API de configurações de administrador. E, para mensagens de erro, consulte Solução de problemas de SSO.
Ao atualizar as configurações de Logon único, envie um HTTP PUT para o URL de feed geral de SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/general
O corpo XML da solicitação PUT é:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='enableSSO' value='false' />
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon' />
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout' />
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword' />
<apps:property name='ssoWhitelist' value='127.0.0.1/32' />
<apps:property name='useDomainSpecificIssuer' value='false'/>
</atom:entry>
Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as configurações de SSO.
O XML de resposta PUT é:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon'/>
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout'/>
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword'/>
<apps:property name='enableSSO' value='false'/>
<apps:property name='ssoWhitelist' value='127.0.0.1/32'/>
<apps:property name='useDomainSpecificIssuer' value='false'/>
</entry>
Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.
Como recuperar a chave de assinatura de logon único
Para recuperar a chave de assinatura de Logon único, envie um GET HTTP para o URL de feed de chave de assinatura SSO e inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço de configurações de administrador. E, para mensagens de erro, consulte Solução de problemas de SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/signingkey
Esta operação não tem parâmetros no corpo da solicitação.
Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com a chave de assinatura.
O XML de resposta GET retorna a propriedade signingKey:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='signingKey' value='yourBase64EncodedPublicKey'/>
</entry>
Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.
Como atualizar a chave de assinatura de logon único
Para atualizar a chave de assinatura SSO de um domínio, primeiro recupere a chave de assinatura usando a operação Como recuperar a chave de assinatura de Logon único, modifique-a e envie uma solicitação PUT para o URL de feed da chave de assinatura SSO. Verifique se o valor <id> na entrada atualizada corresponde exatamente ao <id> da entrada existente. Para mais informações sobre chaves de assinatura de Logon único baseado em SAML, consulte Como gerar chaves e certificados para o serviço de Logon único do Google Workspace.
Ao atualizar a chave de assinatura de Logon único, envie um PUT HTTP para o URL de feed de chave de assinatura SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/signingkey
O XML da solicitação PUT é:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='signingKey' value='yourBase64EncodedPublicKey'/>
</atom:entry>
Como gerenciar o gateway e o roteamento de e-mails
A seção de gateway de e-mail de saída mostra como a API de configurações de administrador oferece suporte ao roteamento de e-mail de saída de usuários em seu domínio. A seção "Roteamento de e-mail" mostra como rotear mensagens para outro servidor de e-mail.
Como recuperar configurações de gateway de e-mail de saída
Para recuperar as configurações do gateway de e-mail de saída, envie um GET HTTP para o URL do feed de gateway e inclua um cabeçalho Authorization, conforme descrito em Como autenticar no serviço de configurações de administrador:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway
Esta operação não tem parâmetros no corpo da solicitação.
Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as informações de status do gateway de e-mail.
A resposta GET retorna as propriedades smartHost e smtpMode. Para mais informações sobre essas propriedades, consulte Como atualizar configurações de gateway de e-mail de saída.
Um exemplo de uma possível resposta é:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='smartHost' value='smtpout.domain.com'/>
<apps:property name='smtpMode' value='SMTP'/>
</entry>
Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.
Como atualizar configurações de gateway de e-mail de saída
Para atualizar a configuração de gateway de e-mail de saída de um domínio, envie uma solicitação PUT HTTP para o URL do feed de gateway:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway
O XML da solicitação PUT é:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</atom:entry>
As propriedades da solicitação são:
- smartHost
- O endereço IP ou o nome do host do servidor SMTP. O Google Workspace roteia os e-mails enviados para esse servidor.
- smtpMode
- O valor padrão é SMTP. Outro valor, SMTP_TLS, protege uma conexão com TLS ao entregar a mensagem.
Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com o feed AtomPub com o status de configurações do gateway de e-mail.
Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.
Como gerenciar configurações de roteamento de e-mail
Primeiro, crie uma solicitação XML:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='routeDestination' value='route-smtp.domain.com'/>
<apps:property name='routeRewriteTo' value='true'/>
<apps:property name='routeEnabled' value='true'/>
<apps:property name='bounceNotifications' value='true'/>
<apps:property name='accountHandling' value='can be either allAccounts | provisionedAccounts | unknownAccounts'/>
</atom:entry>
As propriedades da solicitação são:
- routeDestination
- Esse destino é o nome do host ou o endereço IP do servidor de e-mail de entrada SMTP para onde o e-mail está sendo roteado. O nome do host ou endereço IP precisa ser resolvido para o Google. Veja mais detalhes sobre como resolver nomes de host de e-mail em Piloto do Google Workspace com roteamento de e-mail.
- routeRewriteTo
- Se for verdadeiro, o campo
to:do envelope SMTP da mensagem será alterado para o nome do host de destino (usuário@nome do host de destino) e a mensagem será entregue a esse endereço de usuário no servidor de e-mail de destino. Se forfalse, o e-mail será entregue ao endereço de e-mailto:da mensagem original (usuário@nome do host original) no servidor de e-mail de destino. Isso é semelhante à configuração "Alterar envelope SMTP" no Admin Console. Veja mais informações em Configurações do domínio para roteamento de e-mail. - routeEnabled
- Se for
true, a funcionalidade de roteamento de e-mail será ativada. Se forfalse, a funcionalidade será desativada. - bounceNotifications
- Se
true, o Google Workspace está ativado para enviar notificações de devolução para o remetente quando ocorre uma falha na entrega. - accountHandling
Essa configuração determina como os diferentes tipos de usuários no domínio são afetados pelo roteamento de e-mail:
allAccounts-- entrega todos os e-mails para este destino.provisionedAccounts: envia e-mails para esse destino se o usuário estiver no Google Workspace.unknownAccounts: entrega os e-mails para esse destino se o usuário não estiver no Google Workspace. É semelhante à configuração "E-mail de entrega para" do Admin Console. Para mais informações sobre pré-requisitos e como usar o roteamento de e-mail, consulte Configurações de domínio para roteamento de e-mail. ~ Para publicar essa solicitação, envie um HTTPPOSTpara o URL do feed de roteamento de e-mail e inclua um cabeçalhoAuthorization, conforme descrito em Como autenticar no serviço de configurações de administrador:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/emailrouting
Uma resposta bem sucedida retornará um código de status HTTP 200 OK, junto com um feed AtomPub com as informações de arquivo.
Se a solicitação falhar por algum motivo, um código de status diferente será retornado. Para mais informações sobre os códigos de status da API de dados do Google, consulte Códigos de status HTTP.
Desativação dos endpoints em 31 de outubro de 2018
Descontinuamos os endpoints a seguir como parte deste comunicado. Elas foram desativadas em 31 de outubro de 2018 e não estão mais disponíveis.
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/defaultLanguage
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/organizationName
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/currentNumberOfUsers
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/maximumNumberOfUsers
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/supportPIN
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/customerPIN
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/adminSecondaryEmail
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/edition
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/creationTime
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/countryCode
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/appearance/customLogo
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/verification/mx