Настройка для разработчика
Включить набор API для облачного проекта
- Перейдите в Cloud Console: https://console.cloud.google.com/ .
- Выберите существующий облачный проект или создайте новый.
- Перейдите в
APIs & Services > Enable APIs and Services
. - Найдите «Хром».
- Выберите «API управления Chrome».
- Ознакомьтесь с Условиями обслуживания.
- Нажмите
Enable
.
Создать учетные данные
Альтернатива 1. Идентификаторы клиентов OAuth 2.0.
- Прежде чем вы сможете создать «Идентификатор клиента OAuth 2.0», вам необходимо сначала настроить экран согласия OAuth с информацией о вашем приложении. В Cloud Console выберите
APIs & Services > OAuth consent screen
. На странице конфигурации экрана согласия введите области действия:
- Для API отчетов добавьте:
https://www.googleapis.com/auth/chrome.management.reports.readonly
. - Для API сведений о приложении добавьте:
https://www.googleapis.com/auth/chrome.management.appdetails.readonly
. - Для API телеметрии добавьте:
https://www.googleapis.com/auth/chrome.management.telemetry.readonly
.
Обратите внимание, что добавленные области конфиденциальны, поэтому вам может потребоваться отправить приложение на проверку. В противном случае пользователи могут увидеть экран предупреждения системы безопасности, если ваше приложение не является внутренним.
- Для API отчетов добавьте:
Перейдите в
APIs & Services > Credentials > Create Credentials > OAuth client ID
и следуйте инструкциям по созданию учетных данных.При желании протестируйте свое приложение в OAuth Playground (см. Как это сделать ).
Альтернатива 2: Сервисная учетная запись
- Откройте
APIs & Services > Credentials > Create Credentials > Service account
. - Введите имя учетной записи службы и нажмите
Create
. - Создайте ключ для своей учетной записи службы. Нажмите
Add Key
и создайте ключ «json». Храните файл в безопасном месте. - Используйте свою сервисную учетную запись с соответствующими правами администратора для клиента:
- Клиент может настроить делегирование на уровне домена, после чего учетная запись службы сможет выдавать себя за пользователя/администратора, имеющего соответствующие привилегии (см., как это сделать).
- или клиент может предоставить роль администратора с соответствующими привилегиями непосредственно учетной записи службы (см., как это сделать ).
Настройка для клиента
В зависимости от типа приложения, созданного разработчиком, у администратора клиента есть разные параметры настройки.
Приложения «Клиент OAuth 2.0»
Никакой специальной настройки не требуется.
Пользователям приложения требуются соответствующие права администратора (см. как это сделать ).
Пользователям приложения необходимо согласиться со всплывающим экраном согласия OAuth приложения. При желании вы можете разрешить этому приложению использовать делегирование на уровне домена (см., как это сделать ), при этом всплывающий экран согласия OAuth для пользователей будет пропущен.
При необходимости проверьте, не заблокировано ли приложение, или явно доверьтесь ему (см., как это сделать ).
Приложения «Служебный аккаунт»
Учетной записи службы должны быть предоставлены соответствующие права администратора. Вы можете сделать это одним из двух способов:
- Разрешите делегирование на уровне домена, чтобы учетная запись службы могла выдавать себя за администратора, имеющего соответствующие привилегии (см., как это сделать ).
- Предоставьте роли администратора непосредственно сервисному аккаунту (см., как это сделать ).
Руководства «Как сделать»
Как заблокировать или доверить приложению
- В качестве администратора клиента перейдите в консоль администратора (https://admin.google.com/).
- Перейдите в
Security > Access and data control > API controls
. - В разделе
App access control
нажмитеManage third party app access
. - Если вы не видите приложение в списке «Подключенные приложения», вы можете настроить новое приложение.
- Теперь вы можете заблокировать приложение или явно доверять ему.
Как включить делегирование на уровне домена
- В качестве администратора клиента перейдите в консоль администратора (https://admin.google.com/).
- Перейдите в
Security > Access and data control > API controls > Domain-wide delegation
. - Нажмите
Add new
. - Введите идентификатор клиента («уникальный идентификатор учетной записи службы» или «идентификатор клиента приложения»).
- Введите все необходимые области действия OAuth. В зависимости от приложения вам может потребоваться ввести области действия не только для Chrome Management API; например, API каталога для управления устройствами, пользователями, браузерами, подразделениями, группами и т. д.
- Нажмите
Authorize
.
Как управлять правами администратора
Для разных частей API управления Chrome необходимы разные права администратора. Узнайте, какие права администратора необходимы для API отчетов , API сведений о приложении или API телеметрии .
Чтобы предоставить привилегии:
- В качестве администратора клиента перейдите в консоль администратора (https://admin.google.com/).
- Перейдите на страницу
Admin roles
. - Найдите существующую роль или создайте новую роль с необходимыми привилегиями.
- Назначьте эту роль адресу электронной почты пользователя или адресу электронной почты учетной записи службы.
Как протестировать свое приложение в OAuth Playground
- В Cloud Console при создании идентификатора клиента OAuth для вашего приложения (см. выше раздел «Идентификаторы клиентов OAuth 2.0 ») выберите тип приложения «Веб-приложения».
- Введите «Имя».
- Чтобы протестировать свое приложение, добавьте
https://developers.google.com/oauthplayground
в поле «URI авторизованного перенаправления». Вы можете удалить URI перенаправления из своего приложения после завершения тестирования. - Нажмите
Create
» и скопируйте «идентификатор клиента» и «секрет клиента». - Перейти на игровую площадку OAuth
- Нажмите значок шестеренки в правом верхнем углу («Конфигурация OAuth 2.0»), выберите «
Use your own OAuth credentials
» и введите «Идентификатор клиента OAuth» и «Секрет клиента OAuth». Выполните следующие шаги на игровой площадке OAuth.
Выберите и авторизуйте API.
Добавьте
https://www.googleapis.com/auth/chrome.management.reports.readonly
(или другую область API) в поле ввода области и нажмите «Авторизовать API». Авторизуйтесь, используя учетную запись администратора клиента. Согласитесь с условиями.Код авторизации обмена на токены.
Нажмите
Exchange authorization code for tokens
». При необходимости нажмитеAuto-refresh the token before it expires
».Настройте запрос к API.
Введите URL-адрес API в текстовое поле «Запросить URI». Измените «Метод HTTP», «Введите тело запроса» и т. д. в соответствии со спецификацией API. Например, используйте следующий URL-адрес для подсчета установленных приложений в вашей организации:
https://chromemanagement.googleapis.com/v1alpha1/customers/my_customer/reports:countInstalledApps
.