Configurazione iniziale

Configurazione per uno sviluppatore

Abilita suite API per il progetto cloud

  • Vai alla console Cloud: https://console.cloud.google.com/.
  • Seleziona un progetto cloud esistente o creane uno nuovo.
  • Vai a APIs & Services > Enable APIs and Services.
  • Cerca "Chrome".
  • Seleziona "API Chrome Management".
  • Acquisisci familiarità con i Termini di servizio.
  • Fai clic su Enable.

Crea credenziali

Alternativa 1: ID client OAuth 2.0

  • Prima di poter creare un "ID client OAuth 2.0", devi configurare la schermata per il consenso OAuth con le informazioni sulla tua applicazione. In Cloud Console, vai a APIs & Services > OAuth consent screen.
  • Nella pagina di configurazione della schermata di consenso, inserisci gli ambiti:

    • Per l'API Reports aggiungi: https://www.googleapis.com/auth/chrome.management.reports.readonly
    • Per l'API App Details, aggiungi: https://www.googleapis.com/auth/chrome.management.appdetails.readonly
    • Per l'API Telemetry aggiungi: https://www.googleapis.com/auth/chrome.management.telemetry.readonly

    Tieni presente che gli ambiti aggiunti sono sensibili, quindi potresti dover inviare la tua app per la verifica. In caso contrario, gli utenti potrebbero visualizzare una schermata di avviso di sicurezza se la tua app non è interna.

  • Vai a APIs & Services > Credentials > Create Credentials > OAuth client ID e segui i passaggi per creare le credenziali.

  • Se vuoi, puoi testare l'app in OAuth Playground (vedi Istruzioni).

Alternativa 2: account di servizio

  • Vai a APIs & Services > Credentials > Create Credentials > Service account.
  • Inserisci il nome dell'account di servizio e fai clic su Create.
  • Crea una chiave per il tuo account di servizio. Fai clic su Add Key e crea la chiave "json". Tieni traccia del file in una posizione sicura.
  • Utilizza il tuo account di servizio con i privilegi amministrativi appropriati per il cliente:
    • Il Cliente può configurare la delega a livello di dominio e quindi l'account di servizio può impersonare un utente/amministratore che dispone dei privilegi appropriati (vedi come)
    • Il cliente può anche concedere direttamente all'account di servizio un ruolo di amministratore con i privilegi appropriati (vedi come).

Configurazione per un cliente

A seconda del tipo di applicazione creata dallo sviluppatore, l'amministratore del cliente ha diverse opzioni di configurazione.

App "Client OAuth 2.0"

Non sono necessarie configurazioni speciali.

Gli utenti dell'app devono disporre dei privilegi amministrativi appropriati (vedi come).

Gli utenti dell'app devono accettare la schermata per il consenso popup OAuth dell'app. Se vuoi, puoi consentire a questa app di utilizzare la delega a livello di dominio (vedi come), in modo da omettere la schermata di consenso popup OAuth per gli utenti.

(Facoltativo) Verifica che l'app non sia bloccata o impostala come attendibile in modo esplicito (scopri come).

App "Account di servizio"

È necessario concedere all'account di servizio i privilegi amministrativi appropriati. Puoi farlo in due modi:

  • Consenti la delega a livello di dominio in modo che l'account di servizio possa impersonare un amministratore che disponga dei privilegi appropriati (vedi come).
  • Concedi i ruoli di amministratore direttamente all'account di servizio (vedi come).

Guide illustrative

Come bloccare o considerare attendibile un'app

  • Come amministratore del cliente, vai alla Console di amministrazione (https://admin.google.com/).
  • Vai a Security > Access and data control > API controls.
  • Nella sezione App access control, fai clic su Manage third party app access.
  • Se non vedi l'app nell'elenco "App collegate", puoi configurarne una nuova.
  • Ora puoi bloccare l'app o impostarla come attendibile in modo esplicito.

Come attivare la delega a livello di dominio

  • Come amministratore del cliente, vai alla Console di amministrazione (https://admin.google.com/).
  • Vai a Security > Access and data control > API controls > Domain-wide delegation.
  • Fai clic su Add new.
  • Inserisci l'ID client ("ID univoco dell'account di servizio" o "ID client app").
  • Inserisci tutti gli ambiti OAuth necessari. A seconda dell'app, potrebbe essere necessario inserire ambiti non solo per l'API Chrome Management, ad esempio l'API Directory per la gestione di dispositivi, utenti, browser, UO, gruppi e così via.
  • Fai clic su Authorize.

Come gestire i privilegi amministrativi

Per parti diverse delle API Chrome Management, sono necessari privilegi amministrativi diversi. Scopri quali privilegi amministrativi sono necessari per l'API Reports, l'API App Details o l'API Telemetry.

Per concedere i privilegi:

  • Come amministratore del cliente, vai alla Console di amministrazione (https://admin.google.com/).
  • Vai alla pagina Admin roles.
  • Trova un ruolo esistente o creane uno nuovo con i privilegi necessari.
  • Assegna questo ruolo all'indirizzo email dell'utente o all'indirizzo email dell'account di servizio.

Come testare la tua app in OAuth Playground

  • Nella console Cloud, quando crei un ID client OAuth per la tua app (vedi la sezione ID client OAuth 2.0 sopra), seleziona il tipo di applicazione "Applicazioni web".
  • Inserisci un "Nome".
  • Per testare la tua app, aggiungi https://developers.google.com/oauthplayground al campo "URI di reindirizzamento autorizzati". Puoi rimuovere l'URI di reindirizzamento dall'app al termine del test.
  • Fai clic su Create e copia "Client-ID" e "client secret".
  • Vai a OAuth Playground.
  • Fai clic sull'icona a forma di ingranaggio nell'angolo in alto a destra ("Configurazione OAuth 2.0"), seleziona Use your own OAuth credentials e inserisci "ID client OAuth" e "Client secret OAuth".
  • Segui questi passaggi in OAuth Playground

    • Seleziona e autorizza API.

      Aggiungi https://www.googleapis.com/auth/chrome.management.reports.readonly (o un altro ambito API) nel campo di immissione dell'ambito e fai clic su "Autorizza API". Autorizza utilizzando un account amministratore del cliente. Accetta i termini.

    • Scambia il codice di autorizzazione con i token.

      Fai clic su Exchange authorization code for tokens. (Facoltativo) Fai clic su Auto-refresh the token before it expires.

    • Configura la richiesta all'API.

      Inserisci l'URL dell'API nella casella di testo "URI della richiesta". Modifica "Metodo HTTP", "Inserisci il corpo della richiesta" e così via in base alla specifica API. Ad esempio, utilizza il seguente URL per conteggiare le app installate nella tua organizzazione: https://chromemanagement.googleapis.com/v1alpha1/customers/my_customer/reports:countInstalledApps