Antes de comenzar a desarrollar, debes revisar las Condiciones del Servicio de la API de Chrome Policy, crear un proyecto de Google Cloud, habilitar la API de Chrome Policy y configurar las credenciales de acceso.
La API de Chrome Policy respeta los permisos de función de administrador y se rige por los permisos de autorización definidos.
Paso 1: Crea un proyecto de Google Cloud
Se requiere un proyecto de Google Cloud para usar la API de Chrome Policy. Este proyecto forma la base para crear, habilitar y usar todos los servicios de Google Cloud, incluidos administrar las APIs, habilitar la facturación, agregar y quitar colaboradores, y administrar permisos.
Si aún no tienes un proyecto de Google Cloud que desees usar, sigue estos pasos para crear uno:
- Abre Google Cloud Console.
- En la esquina superior izquierda, haz clic en Menú > IAM y administración > Crear un proyecto.
- En el campo Nombre del proyecto, ingresa un nombre descriptivo para el proyecto.
- En el campo Ubicación, haz clic en Explorar a fin de mostrar las organizaciones disponibles para la asignación. Elige la organización para la que deseas administrar las políticas de Chrome y, luego, haz clic en Seleccionar.
- Haz clic en Crear. La consola navega a la página Panel, y tu proyecto se crea en unos minutos.
Paso 2: Habilita la API de Chrome Policy
Para habilitar la API de Chrome Policy en tu proyecto de Google Cloud, sigue estos pasos:
- Abre Google Cloud Console.
- En la parte superior, elige tu proyecto de Google Cloud.
- En la parte superior izquierda, haz clic en Menú > APIs y servicios > Biblioteca.
- En el campo de búsqueda, ingresa "Chrome" y presiona Intro.
- En la lista de resultados de la búsqueda, haz clic en API de Chrome Policy.
- Haz clic en Habilitar.
- Para habilitar más APIs, repite los pasos 2 a 5.
Paso 3: Crea credenciales
Las solicitudes a la API de Chrome Policy se pueden autenticar como un usuario final o una cuenta de servicio robot.
Cómo configurar la pantalla de consentimiento de OAuth
- Abre Google Cloud Console.
- En la parte superior, elige tu proyecto de Google Cloud.
- En la esquina superior izquierda, haz clic en Menú > APIs y servicios > Pantalla de consentimiento de OAuth.
- Selecciona el tipo de usuario para tu app y, luego, haz clic en Create.
- Completa el formulario de registro de la app y, luego, haz clic en Guardar y continuar.
Haz clic en Agregar o quitar permisos. Aparecerá un panel con una lista de alcances para cada API que hayas habilitado en tu proyecto de Google Cloud. Agrega uno de los siguientes alcances de autorización:
https://www.googleapis.com/auth/chrome.management.policy
https://www.googleapis.com/auth/chrome.management.policy.readonly
El permiso
readonly
no permite ninguna operación de mutación.
Configura la autenticación de la cuenta de servicio o el usuario final
Haz clic en una de las opciones que aparecen a continuación para obtener instrucciones detalladas:
Opción 1: Autentícate como usuario final con OAuth 2.0
- Abre Google Cloud Console.
- En la parte superior, elige tu proyecto de Google Cloud.
- En la esquina superior izquierda, haz clic en Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Sigue los pasos para crear las credenciales de OAuth 2.0.
No se requiere ninguna configuración especial en la Consola del administrador por parte del administrador de Chrome de la organización para la autenticación de OAuth 2.0. Los usuarios de tu app deberán tener los permisos de función de administrador necesarios asociados con sus cuentas y deberán aceptar la pantalla de consentimiento de OAuth de la app.
Sugerencia: Puedes probar tu app en el Playground de OAuth.
Opción 2: Autentícate como una cuenta de servicio
Una cuenta de servicio es un tipo especial de cuenta que usa una aplicación, en lugar de una persona. Puedes usar una cuenta de servicio para acceder a datos o realizar acciones por parte de la cuenta robot, o bien para acceder a los datos en nombre de los usuarios. Para obtener más detalles, consulta Comprende las cuentas de servicio.
Crea una cuenta de servicio y credenciales
- Abre la consola de Google Cloud.
- En la parte superior, elige tu proyecto de Google Cloud.
- En la esquina superior izquierda, haz clic en Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > Cuenta de servicio.
- Ingresa el nombre de la cuenta de servicio y, luego, haz clic en Crear y continuar.
- Opcional: Asigna roles a tu cuenta de servicio para otorgar acceso a los recursos de tu proyecto de Google Cloud. Para obtener más detalles, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.
- Haz clic en Continuar.
- Opcional: Ingresa los usuarios o grupos que puedan administrar y realizar acciones con esta cuenta de servicio. Para obtener más información, consulta Administra la suplantación de cuentas de servicio.
- Haz clic en Listo. Después de unos minutos, tu nueva cuenta de servicio aparecerá en la lista “Cuentas de servicio”. Es posible que debas actualizar la página.
- En la lista “Cuentas de servicio”, haz clic en la cuenta de servicio que creaste.
- Haz clic en Claves > Agregar claves > Crear clave nueva.
- Selecciona JSON y, luego, haz clic en Crear.
Se generará tu nuevo par de claves pública/privada y se descargará en tu computadora como un archivo nuevo. Este archivo es la única copia de esta clave. Para obtener más información sobre cómo almacenar tu clave de forma segura, consulta Cómo administrar claves de cuentas de servicio.
Autoriza la cuenta de servicio en la Consola del administrador
Si eliges autenticar las solicitudes como una cuenta de servicio, el administrador de Chrome de la organización debe realizar pasos adicionales en la Consola del administrador para completar el proceso.
El administrador de Chrome puede asignar una función a la cuenta de servicio directamente con los permisos de función de administrador necesarios, o el administrador de Chrome puede configurar la delegación de todo el dominio para que la cuenta de servicio pueda suplantar la identidad de usuarios con los permisos adecuados y actuar en su nombre.
A fin de configurar la delegación de todo el dominio para tu cuenta de servicio, el administrador de Chrome debe seguir estos pasos en la Consola del administrador:
- Abre la Consola del administrador.
- En la esquina superior izquierda, haz clic en Menú > Seguridad > Control de acceso y datos > Controles de API.
- Haz clic en Administrar la delegación de todo el dominio.
- Haz clic en Add new (Agregar nuevo).
- En el campo “ID de cliente”, pega el ID de cliente asociado a tu cuenta de servicio. Obtén más información sobre cómo encontrar el ID de cliente de tu cuenta de servicio.
- En el campo “Permisos de OAuth”, ingresa una lista delimitada por comas con los permisos que requiere la aplicación de la cuenta de servicio. Este es el mismo conjunto de alcances definidos cuando se configura la pantalla de consentimiento de OAuth.
- Haz clic en Autorizar.
Paso 4: Prueba tu app en el Playground de OAuth
- Abre Google Cloud Console.
- En la parte superior, elige tu proyecto de Google Cloud.
- En la esquina superior izquierda, haz clic en Menú > APIs y servicios > Credenciales.
- Haz clic en Crear credenciales > ID de cliente de OAuth.
- Haz clic en Tipo de aplicación > Aplicación web.
- En el campo "Nombre", escribe un nombre para la credencial. Este nombre solo se muestra en la consola de Cloud.
- Para el momento de la prueba, agrega
https://developers.google.com/oauthplayground
a "URI de redireccionamiento autorizados". Si es necesario, puedes quitar este URI de redireccionamiento de tu app cuando termines la prueba. - Haz clic en Crear y copia el "ID de cliente" y el "secreto del cliente" en el portapapeles.
- En una pestaña nueva, abre el Playground de OAuth 2.0.
- En la esquina superior derecha, haz clic en Configuración de OAuth 2.0 .
- Selecciona Use your own OAuth credentials (Usa tus propias credenciales de OAuth). Luego, pega el "ID de cliente" y el "secreto de cliente" que copiaste en el paso 8 y haz clic en Cerrar.
- A la izquierda, sigue los pasos de OAuth 2.0 Playground:
- En el “Paso 1: Selecciona y autoriza las APIs”, agrega
https://www.googleapis.com/auth/chrome.management.policy
y cualquier otro alcance de API necesario y, luego, haz clic en Autorizar APIs. - En el "Paso 2: Intercambia el código de autorización por tokens", puedes seleccionar la opción Actualizar automáticamente el token antes de que venza.
- En "Paso 3: Configura la solicitud a la API", ingresa el URI de solicitud a la API de Chrome Policy, modifica el "Método HTTP" y otras opciones de configuración, según sea necesario. Ejemplo de solicitud de URL:
https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
- En el “Paso 1: Selecciona y autoriza las APIs”, agrega
Paso 5: Verifica que tu app sea de confianza
El administrador de una organización puede marcar las apps como de confianza o bloqueadas en la Consola del administrador. Para obtener más detalles, consulta Controla qué aplicaciones internas y de terceros acceden a los datos de Google Workspace.