Las credenciales se usan para obtener un token de acceso de los servidores de autorización de Google, de modo que tu app pueda llamar a las APIs de Google Workspace. En esta guía, se describe cómo elegir y configurar las credenciales que necesita tu app.
Para ver las definiciones de los términos que se encuentran en esta página, consulta Descripción general de la autenticación y la autorización.
Elige la credencial de acceso adecuada para ti
Las credenciales requeridas dependen del tipo de datos, la plataforma y la metodología de acceso de tu app. Hay tres tipos de credenciales disponibles:
| Caso de uso | Método de autenticación | Información acerca de este método de autenticación |
|---|---|---|
| Accede a datos disponibles públicamente de forma anónima en tu app. | Claves de API | Verifica que la API que quieras usar admita claves de API antes de usar este método de autenticación. |
| Acceder a los datos del usuario, como su dirección de correo electrónico o edad | ID de cliente de OAuth | Exige que tu app solicite y reciba el consentimiento del usuario. |
| Accede a los datos que pertenecen a tu propia aplicación o accede a los recursos en nombre de los usuarios de Google Workspace o Cloud Identity a través de la delegación de todo el dominio. | Cuenta de servicio | Cuando una app se autentica como una cuenta de servicio, tiene acceso a todos los recursos a los que tiene acceso la cuenta de servicio. |
Credenciales de la clave de API
Una clave de API es una cadena larga que contiene letras mayúsculas y minúsculas, números,
guiones bajos y guiones, como AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Este método de autenticación se usa para acceder de forma anónima a datos disponibles públicamente, como los archivos de Google Workspace que se comparten con el parámetro de configuración de uso compartido "Cualquier persona en Internet con este vínculo". Para obtener más detalles, consulta Usar claves de API.
Para crear una clave de API, sigue estos pasos:
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > Clave de API.
- Se mostrará tu nueva clave de API.
- Haz clic en Copiar para copiar la clave de API y usarla en el código de tu app. La clave de API también se puede encontrar en la sección "Claves de API" de las credenciales de tu proyecto.
- Haz clic en Restringir clave para actualizar la configuración avanzada y limitar el uso de tu clave de API. Para obtener más detalles, consulta Aplica restricciones de claves de API.
Credenciales de ID de cliente de OAuth
Para autenticar a los usuarios finales y acceder a sus datos en tu app, debes crear uno o más IDs de cliente de OAuth 2.0. Un ID de cliente se usa con el fin de identificar una sola app para los servidores de OAuth de Google. Si tu app se ejecuta en varias plataformas, debes crear un ID de cliente independiente para cada una.Elige el tipo de aplicación para obtener instrucciones específicas sobre cómo crear un ID de cliente de OAuth:
Aplicación web
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > Aplicación web.
- En el campo Nombre, escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Google Cloud.
- Agrega los URIs autorizados relacionados con tu app:
- Aplicaciones del cliente (JavaScript): En Orígenes de JavaScript autorizados, haz clic en Agregar URI. Luego, ingresa un URI para usarlo en las solicitudes del navegador. Esto identifica los dominios desde los cuales tu aplicación puede enviar solicitudes de API al servidor OAuth 2.0.
- Apps del servidor (Java, Python y más): en Authorized redirect URIs, haz clic en Add URI. Luego, ingresa un URI de extremo al que el servidor de OAuth 2.0 pueda enviar respuestas.
- Haz clic en Crear. Aparecerá la pantalla Se creó el cliente de OAuth, que muestra tu nuevo ID de cliente y secreto de cliente.
Toma nota del ID de cliente. Los secretos de cliente no se usan para aplicaciones web.
- Haz clic en Aceptar. La credencial recién creada aparecerá en IDs de cliente de OAuth 2.0.
Android
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > Android.
- En el campo "Nombre", escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Google Cloud.
- En el campo "Nombre del paquete", ingresa el nombre del paquete de tu archivo
AndroidManifest.xml. - En el campo "Huella digital del certificado SHA-1", ingresa la huella digital del certificado SHA-1 que generaste.
- Haz clic en Crear. Aparecerá la pantalla Se creó el cliente de OAuth, que muestra tu nuevo ID de cliente.
- Haz clic en Aceptar. La credencial recién creada aparecerá en "IDs de cliente de OAuth 2.0".
iOS
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > iOS.
- En el campo "Nombre", escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Google Cloud.
- En el campo "ID del paquete", ingresa el identificador de paquete como aparece en el archivo
Info.plistde la app. - Opcional: Si tu app aparece en la App Store de Apple, ingresa el ID de la App Store.
- Opcional: En el campo "ID de equipo", ingresa la cadena única de 10 caracteres que genera Apple y se asigna a tu equipo.
- Haz clic en Crear. Aparecerá la pantalla de creación del cliente de OAuth, en la que se mostrará tu nuevo ID de cliente y secreto del cliente.
- Haz clic en Aceptar. La credencial recién creada aparecerá en "IDs de cliente de OAuth 2.0".
App de Chrome
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > App para Chrome.
- En el campo "Nombre", escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Google Cloud.
- En el campo "ID de aplicación", ingresa la cadena de ID única de 32 caracteres de tu app. Puedes encontrar este valor de ID en la URL de Chrome Web Store de tu app y en el Panel de desarrollador de Chrome Web Store.
- Haz clic en Crear. Aparecerá la pantalla Se creó el cliente de OAuth, que muestra tu nuevo ID de cliente y secreto de cliente.
- Haz clic en Aceptar. La credencial creada recientemente aparecerá en "ID de cliente de OAuth 2.0".
App de escritorio
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > App para computadoras.
- En el campo Nombre, escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Google Cloud.
- Haz clic en Crear. Aparecerá la pantalla Se creó el cliente de OAuth, que muestra tu nuevo ID de cliente y secreto de cliente.
- Haz clic en Aceptar. La credencial recién creada aparecerá en IDs de cliente de OAuth 2.0.
TVs y dispositivos de entrada limitados
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > TVs y dispositivos de entrada limitada.
- En el campo “Nombre”, escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Google Cloud.
- Haz clic en Crear. Aparecerá la pantalla Se creó el cliente de OAuth, que muestra tu nuevo ID de cliente y secreto de cliente.
- Haz clic en Aceptar. La credencial recién creada aparecerá en "IDs de cliente de OAuth 2.0".
Plataforma universal de Windows (UWP)
- En la consola de Google Cloud, ve a Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > Plataforma universal de Windows (UWP).
- En el campo "Nombre", escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Google Cloud.
- En el campo "ID de tienda", ingresa el valor único de ID de Microsoft Store de 12 caracteres de tu app. Puedes encontrar este ID en la URL de Microsoft Store de tu app y en el Centro de socios.
- Haz clic en Crear. Aparecerá la pantalla Se creó el cliente de OAuth, que muestra tu nuevo ID de cliente y secreto de cliente.
- Haz clic en Aceptar. La credencial creada recientemente aparecerá en "ID de cliente de OAuth 2.0".
Credenciales de cuenta de servicio
Una cuenta de servicio es un tipo especial de cuenta que usa una aplicación, en lugar de una persona. Puedes usar una cuenta de servicio para acceder a los datos o realizar acciones con la cuenta de robot, o bien para acceder a los datos en nombre de los usuarios de Google Workspace o Cloud Identity. Para obtener más información, consulta Comprende las cuentas de servicio.Crea una cuenta de servicio
Consola de Google Cloud
- En la consola de Google Cloud, ve a Menú > IAM y administración > Cuentas de servicio.
- Haga clic en Crear cuenta de servicio.
- Completa los detalles de la cuenta de servicio y, luego, haz clic en Crear y continuar.
- Opcional: Asigna roles a tu cuenta de servicio para otorgar acceso a los recursos de tu proyecto de Google Cloud. Para obtener más detalles, consulta Otorga, cambia y revoca el acceso a los recursos.
- Haz clic en Continuar.
- Opcional: Ingresa los usuarios o grupos que pueden administrar esta cuenta de servicio y realizar acciones con ella. Para obtener más detalles, consulta Administra la suplantación de identidad de cuentas de servicio.
- Haz clic en Listo. Toma nota de la dirección de correo electrónico de la cuenta de servicio.
gcloud CLI
- Crea la cuenta de servicio:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - Opcional: Asigna roles a tu cuenta de servicio para otorgar acceso a los recursos de tu proyecto de Google Cloud. Para obtener más detalles, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.
Asigna un rol a una cuenta de servicio
Debes asignar una función personalizada o compilada previamente a una cuenta de servicio mediante una cuenta de administrador avanzado.
En la Consola del administrador de Google, ve a Menú > Cuenta > Roles de administrador.
Coloca el cursor sobre el rol que deseas asignar y, luego, haz clic en Asignar administrador.
Haz clic en Asignar cuentas de servicio.
Ingresa la dirección de correo electrónico de la cuenta de servicio.
Haz clic en Agregar > Asignar rol.
Crea credenciales para una cuenta de servicio
Debes obtener credenciales en forma de un par de claves pública/privada. El código usa estas credenciales para autorizar acciones de la cuenta de servicio dentro de la app.Para obtener credenciales para tu cuenta de servicio, sigue estos pasos:
- En la consola de Google Cloud, ve a Menú > IAM y administración > Cuentas de servicio.
- Selecciona tu cuenta de servicio.
- Haz clic en Claves > Agregar clave > Crear nueva clave.
- Selecciona JSON y, luego, haz clic en Crear.
Se generará y descargará el nuevo par de claves pública y privada en tu equipo como un archivo nuevo. Guarda el archivo JSON descargado como
credentials.jsonen tu directorio de trabajo. Este archivo es la única copia de esta clave. Para obtener información sobre cómo almacenar tu clave de forma segura, consulta Cómo administrar claves de cuentas de servicio. - Haz clic en Cerrar.
Opcional: Configura la delegación de todo el dominio para una cuenta de servicio
Para llamar a las APIs en nombre de los usuarios de una organización de Google Workspace, una cuenta de administrador avanzado debe otorgar a tu cuenta de servicio la delegación de autoridad en todo el dominio en la Consola del administrador de Google Workspace. Para obtener más información, consulta Delegación de autoridad en todo el dominio a una cuenta de servicio.Para configurar la delegación de autoridad de todo el dominio para una cuenta de servicio, sigue estos pasos:
- En la consola de Google Cloud, ve a Menú > IAM y administración > Cuentas de servicio.
- Selecciona tu cuenta de servicio.
- Haz clic en Mostrar configuración avanzada.
- En “Delegación en todo el dominio”, busca el “ID de cliente” de tu cuenta de servicio. Haz clic en Copiar para copiar el valor del ID de cliente en tu portapapeles.
Si tienes acceso de administrador avanzado a la cuenta de Google Workspace relevante, haz clic en Ver la Consola del administrador de Google Workspace, accede con una cuenta de usuario de administrador avanzado y continúa siguiendo estos pasos.
Si no tienes acceso de administrador avanzado a la cuenta de Google Workspace relevante, comunícate con un administrador avanzado de esa cuenta y envíale el ID de cliente y la lista de alcances de OAuth de tu cuenta de servicio para que pueda completar los siguientes pasos en la Consola del administrador.
- En la Consola del administrador de Google, ve a Menú > Seguridad > Control de acceso y datos > Controles de API.
- Haz clic en Administrar la delegación de todo el dominio.
- Haz clic en Agregar nueva.
- En el campo "ID de cliente", pega el ID de cliente que copiaste anteriormente.
- En el campo "OAuth Scopes", ingresa una lista de los permisos necesarios para tu aplicación, delimitada por comas. Este es el mismo conjunto de permisos que definiste cuando configuraste la pantalla de consentimiento de OAuth.
- Haz clic en Autorizar.
Próximo paso
Ya está todo listo para que desarrolles en Google Workspace. Revisa la lista de productos para desarrolladores de Google Workspace y cómo obtener ayuda.