在开始开发之前,您需要查看 Chrome Policy API 服务条款、创建 Google Cloud 项目、启用 Chrome Policy API 并设置访问凭据。
Chrome Policy API 遵循管理员角色,并受定义的授权范围的约束。
第 1 步:创建 Google Cloud 项目
您必须拥有 Google Cloud 项目才能使用 Chrome Policy API。此项目是创建、启用和使用所有 Google Cloud 服务的基础,包括管理 API、启用结算功能、添加和移除协作者以及管理权限。
如果您还没有要使用的 Google Cloud 项目,请按照以下步骤创建一个 Google Cloud 项目:
- 打开 Google Cloud 控制台。
- 在左上角,依次点击“菜单”图标 > IAM 和管理 > 创建项目。
- 在项目名称字段中,为项目输入一个描述性名称。
- 在位置字段中,点击浏览以显示可供分配的组织。选择您要为其管理 Chrome 政策的组织,然后点击选择。
- 点击创建。控制台会转到“信息中心”页面,您的项目将在几分钟内创建完成。
第 2 步:启用 Chrome Policy API
如需在 Google Cloud 项目中启用 Chrome Policy API,请执行以下操作:
- 打开 Google Cloud 控制台。
- 在顶部,选择您的 Google Cloud 项目。
- 在左上角,依次点击“菜单”图标 > API 和服务 > 库。
- 在搜索字段中输入“Chrome”,然后按 Enter 键。
- 在搜索结果列表中,点击 Chrome Policy API。
- 点击启用。
- 如需启用更多 API,请重复第 2-5 步。
第 3 步:创建凭据
向 Chrome Policy API 发出的请求可以作为最终用户或机器人服务帐号进行身份验证。
配置 OAuth 权限请求页面
- 打开 Google Cloud 控制台。
- 在顶部,选择您的 Google Cloud 项目。
- 在左上角,依次点击“菜单”图标 > API 和服务 > OAuth 同意屏幕。
- 为您的应用选择用户类型,然后点击创建。
- 填写应用注册表单,然后点击 Save and Continue(保存并继续)。
点击添加或移除范围。此时会显示一个面板,其中包含您在 Google Cloud 项目中启用的每个 API 的范围列表。添加以下授权范围之一:
https://www.googleapis.com/auth/chrome.management.policyhttps://www.googleapis.com/auth/chrome.management.policy.readonly
readonly范围不允许任何变更操作。
设置最终用户或服务帐号身份验证
点击下面的选项可查看详细说明:
方法 1:使用 OAuth 2.0 以最终用户身份进行身份验证
- 打开 Google Cloud 控制台。
- 在顶部,选择您的 Google Cloud 项目。
- 在左上角,依次点击“菜单”图标 > API 和服务 > 凭据。
- 依次点击创建凭据 > OAuth 客户端 ID。
- 按照相关步骤创建 OAuth 2.0 凭据。
组织的 Chrome 管理员无需在管理控制台中针对 OAuth 2.0 身份验证进行任何特殊设置。您应用的用户需要拥有与其帐号相关联所需的管理员角色权限,并且需要同意应用的 OAuth 同意屏幕。
提示:您可以在 OAuth Playground 中测试应用。
方法 2:以服务帐号的身份进行身份验证
服务帐号是应用(而非用户)使用的特殊帐号。您可以使用服务帐号通过机器人帐号本身访问数据或执行操作,或者代表用户访问数据。如需了解详情,请参阅了解服务帐号。
创建服务帐号和凭据
- 打开 Google Cloud 控制台。
- 在顶部,选择您的 Google Cloud 项目。
- 在左上角,依次点击“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > 服务帐号。
- 输入服务帐号名称,然后点击创建并继续。
- 可选:为您的服务账号分配角色,以授予对 Google Cloud 项目资源的访问权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限。
- 点击继续。
- 可选:输入可以使用此服务账号管理和执行操作的用户或群组。如需了解详情,请参阅管理服务帐号模拟。
- 点击完成。几分钟后,您的新服务帐号会显示在“服务帐号”列表中。(您可能需要刷新页面。)
- 在“服务帐号”列表中,点击您创建的服务帐号。
- 依次点击密钥 > 添加密钥 > 创建新密钥。
- 选择 JSON,然后点击创建。
系统会为您生成新的公钥/私钥对,并将其作为新文件下载到您的计算机。此文件是此密钥的唯一副本。如需了解如何安全地存储密钥,请参阅管理服务帐号密钥。
在管理控制台中向服务账号授权
如果您选择以服务帐号的身份对请求进行身份验证,组织的 Chrome 管理员需要在管理控制台中执行额外的步骤才能完成此流程。
Chrome 管理员可以直接向服务帐号分配角色并为其分配所需的管理员角色权限,也可以让 Chrome 管理员设置全网域授权,以便服务帐号能够模拟用户并代表他们执行各种操作。
如需为您的服务帐号设置全网域授权功能,Chrome 管理员需要在管理控制台中按照以下步骤操作:
- 打开管理控制台。
- 在左上角,依次点击“菜单”图标 > 安全性 > 访问权限和数据控件 > API 控件。
- 点击管理全网域授权。
- 点击新增。
- 在“客户端 ID”字段中,粘贴与您的服务帐号相关联的客户端 ID。了解如何查找您的服务帐号的客户端 ID。
- 在“OAuth 范围”字段中,输入服务帐号应用所需的范围列表(以英文逗号分隔)。这也是配置 OAuth 权限请求页面时定义的同一组范围。
- 点击授权。
第 4 步:在 OAuth 园地中测试应用
- 打开 Google Cloud 控制台。
- 在顶部,选择您的 Google Cloud 项目。
- 在左上角,依次点击“菜单”图标 > API 和服务 > 凭据。
- 依次点击创建凭据 > OAuth 客户端 ID。
- 依次点击应用类型 > Web 应用。
- 在“名称”字段中,输入凭据的名称。此名称只会显示在 Cloud 控制台中。
- 对于测试时,请将
https://developers.google.com/oauthplayground添加到“已获授权的重定向 URI”中。完成测试后,您可以根据需要从应用中移除此重定向 URI。 - 点击创建并将“客户端 ID”和“客户端密钥”复制到剪贴板。
- 在新标签页中,打开 OAuth 2.0 Playground。
- 点击右上角的“OAuth 2.0 配置”图标 。
- 选择 Use your own OAuth credentials(使用您自己的 OAuth 凭据)。然后,粘贴您在第 8 步中复制的“客户端 ID”和“客户端密钥”,并点击关闭。
- 在左侧,按照 OAuth 2.0 Playground 的步骤操作:
- 对于“第 1 步:选择和授权 API”,添加
https://www.googleapis.com/auth/chrome.management.policy和任何其他所需的 API 范围,然后点击 Authorize APIs。 - 对于“第 2 步:交换令牌的授权代码”,您可选择选择在令牌过期之前自动刷新令牌。
- 在“第 3 步:配置对 API 的请求”部分,输入您的 Chrome 政策 API 请求 URI,根据需要修改“HTTP 方法”和其他设置。示例网址请求:
https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
- 对于“第 1 步:选择和授权 API”,添加
第 5 步:验证您的应用是否受信任
组织的管理员可以在管理控制台中将应用标记为受信任或已屏蔽。有关详情,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。