憑證的用途是從 Google 的授權伺服器取得存取權杖,讓應用程式可以呼叫 Google Workspace API。本指南說明如何選擇及設定應用程式所需的憑證。
如需本頁所列詞彙的定義,請參閱驗證和授權總覽。
選擇合適的存取憑證
所需的憑證視應用程式的資料類型、平台和存取方法而定。可用的憑證類型分為三種:
| 應用實例 | 驗證方式 | 關於這個驗證方式 |
|---|---|---|
| 以匿名方式存取應用程式中的公開資料。 | API 金鑰 | 請先確認您要使用的 API 支援 API 金鑰,再使用此驗證方法。 |
| 存取使用者資料,例如電子郵件地址或年齡。 | OAuth 用戶端 ID | 您的應用程式必須要求使用者同意及取得同意聲明。 |
| 透過全網域委派功能,存取屬於自家應用程式的資料,或代表 Google Workspace 或 Cloud Identity 使用者存取資源。 | 服務帳戶 | 如果應用程式以服務帳戶身分完成驗證,即可存取服務帳戶有權存取的所有資源。 |
API 金鑰憑證
API 金鑰是長字串,包含大小寫英文字母、數字、底線和連字號,例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。這種驗證方法會匿名存取可公開取得的資料,例如透過「任何網際網路上知道這個連結的人」共用設定共用的 Google Workspace 檔案。詳情請參閱「使用 API 金鑰」一文。
建立 API 金鑰的方法如下:
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「API 金鑰」。
- 畫面上會顯示新的 API 金鑰。
- 按一下「複製」圖示 ,複製要用於應用程式程式碼的 API 金鑰。您也可以在專案憑證的「API 金鑰」部分找到 API 金鑰。
- 按一下「限制金鑰」更新進階設定並限制 API 金鑰的使用情形。詳情請參閱「套用 API 金鑰限制」。
OAuth 用戶端 ID 憑證
如要驗證使用者並存取應用程式中的使用者資料,您必須建立一或多個 OAuth 2.0 用戶端 ID。用戶端 ID 可用來向 Google 的 OAuth 伺服器識別單一應用程式。如果您的應用程式是在多個平台上執行,您就必須為每個平台建立個別的用戶端 ID。請選擇應用程式類型,瞭解建立 OAuth 用戶端 ID 的具體操作說明:
網頁應用程式
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「網頁應用程式」。
- 在「名稱」欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 新增與應用程式相關的已授權 URI:
- 用戶端應用程式 (JavaScript):在「已授權的 JavaScript 來源」下方,按一下「新增 URI」。然後輸入瀏覽器要求要使用的 URI。此屬性可識別應用程式可從哪些網域向 OAuth 2.0 伺服器傳送 API 要求。
- 伺服器端應用程式 (Java、Python 等):在「授權的重新導向 URI」下方,按一下「新增 URI」。然後輸入端點 URI,OAuth 2.0 伺服器可將回應傳送至這個 URI。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端已建立的畫面,顯示您的新用戶端 ID 與用戶端密鑰。
記下「用戶端 ID」。用戶端密鑰不可用於網頁應用程式。
- 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
Android
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「Android」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「Package name」欄位中,輸入
AndroidManifest.xml檔案中的套件名稱。 - 在「SHA-1 憑證指紋」欄位中,輸入產生的 SHA-1 憑證指紋。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端已建立的畫面,顯示您的新用戶端 ID。
- 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
iOS
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「iOS」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「Bundle ID」欄位中,輸入應用程式
Info.plist檔案中列出的軟體包 ID。 - 選用:如果應用程式出現在 Apple App Store,請輸入 App Store ID。
- 選用:在「團隊 ID」欄位中,輸入 Apple 產生並指派給團隊的不重複 10 個字元字串。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端已建立的畫面,顯示您的新用戶端 ID 與用戶端密鑰。
- 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
Chrome 應用程式
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「Chrome 應用程式」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「應用程式 ID」欄位中,輸入應用程式專屬的 32 個字元 ID 字串。您可以在應用程式的 Chrome 線上應用程式商店網址和 Chrome 線上應用程式商店開發人員資訊主頁中找到這個 ID 值。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端已建立的畫面,顯示您的新用戶端 ID 與用戶端密鑰。
- 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
電腦版應用程式
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「電腦版應用程式」。
- 在「名稱」欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端已建立的畫面,顯示您的新用戶端 ID 與用戶端密鑰。
- 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
電視和受限制的輸入裝置
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「電視和有限輸入裝置」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端已建立的畫面,顯示您的新用戶端 ID 與用戶端密鑰。
- 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
通用 Windows 平台 (UWP)
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「通用 Windows 平台 (UWP)」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「商店 ID」欄位中,輸入應用程式不重複的 Microsoft Store ID 值,長度為 12 個字元。您可以在應用程式的 Microsoft Store 網址和合作夥伴中心找到這個 ID。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端已建立的畫面,顯示您的新用戶端 ID 與用戶端密鑰。
- 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
服務帳戶憑證
服務帳戶是應用程式 (而非使用者) 使用的特殊帳戶。您可以使用服務帳戶來存取機器人帳戶的資料或執行操作,或是代表 Google Workspace 或 Cloud Identity 使用者存取資料。詳情請參閱「瞭解服務帳戶」一文。建立服務帳戶
Google Cloud 控制台
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「IAM 與管理」>「服務帳戶」。
- 按一下「建立服務帳戶」。
- 填寫服務帳戶詳細資料,然後按一下「建立並繼續」。
- 選用:將角色指派給服務帳戶,即可授予 Google Cloud 專案資源的存取權。詳情請參閱「授予、變更及撤銷資源的存取權」。
- 點選「繼續」。
- 選用:輸入可透過這個服務帳戶管理及執行動作的使用者或群組。詳情請參閱「管理服務帳戶模擬功能」。
- 按一下 [完成]。記下服務帳戶的電子郵件地址。
gcloud CLI
- 建立服務帳戶:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - 選用:將角色指派給服務帳戶,即可授予 Google Cloud 專案資源的存取權。詳情請參閱「授予、變更及撤銷資源的存取權」。
將角色指派給服務帳戶
您必須透過超級管理員帳戶,將預先建構或自訂角色指派給服務帳戶。
在 Google 管理控制台中,依序點選「選單」圖示 >「帳戶」>「管理員角色」。
將滑鼠遊標移至要指派的角色,然後按一下「指派管理員」。
按一下「指派服務帳戶」。
輸入服務帳戶的電子郵件地址。
依序點選「新增」>「指派角色」。
建立服務帳戶的憑證
您必須取得公開/私密金鑰組的憑證,您的程式碼會使用這些憑證,針對應用程式中的服務帳戶動作授權。如要取得服務帳戶的憑證:
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「IAM 與管理」>「服務帳戶」。
- 選取服務帳戶。
- 依序按一下「金鑰」>「新增金鑰」>「建立新的金鑰」。
- 選取「JSON」,然後按一下「建立」。
系統就會為您產生一組新的公開/私密金鑰,並以新檔案的形式下載至您的機器。將下載的 JSON 檔案儲存為
credentials.json,並儲存在工作目錄中。這個檔案是這組金鑰的唯一副本。如要瞭解如何安全儲存金鑰,請參閱管理服務帳戶金鑰。 - 按一下「關閉」。
選用:為服務帳戶設定全網域委派功能
如要代表 Google Workspace 機構使用者呼叫 API,則必須透過超級管理員帳戶,在 Google Workspace 管理控制台中,授予您的服務帳戶全網域授權委派權限。詳情請參閱「將全網域授權委派給服務帳戶」。如要為服務帳戶設定全網域授權委派功能,請按照下列步驟操作:
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「IAM 與管理」>「服務帳戶」。
- 選取服務帳戶。
- 按一下 [顯示進階設定]。
- 在「全網域委派」下方,找出服務帳戶的「用戶端 ID」。按一下「複製」,將用戶端 ID 值複製到剪貼簿。
如果您具備相關 Google Workspace 帳戶的超級管理員存取權,請按一下「查看 Google Workspace 管理控制台」,然後使用超級管理員使用者帳戶登入,並繼續執行下列步驟。
如果您不具備相關 Google Workspace 帳戶的超級管理員存取權,請與該帳戶的超級管理員聯絡,並將服務帳戶的用戶端 ID 和 OAuth 範圍清單傳送給對方,以便他們在管理控制台中完成下列步驟。
- 在 Google 管理控制台中,依序點選「選單」圖示 >「安全性」>「存取權與資料控制」>「API 控制項」。
- 按一下「管理全網域委派設定」。
- 按一下 [Add new] (新增)。
- 在「用戶端 ID」欄位中,貼上先前複製的用戶端 ID。
- 在「OAuth 範圍」欄位中,輸入應用程式所需範圍的清單 (以半形逗號分隔)。這與您設定 OAuth 同意畫面時定義的範圍相同。
- 按一下「授權」。
後續步驟
您已準備好在 Google Workspace 上開發應用程式了!請參閱 Google Workspace 開發人員產品清單和如何尋求協助。