לפני שתתחילו לפתח, עליכם לעיין בתנאים ובהגבלות של Chrome Policy API, ליצור פרויקט ב-Google Cloud, להפעיל את Chrome Policy API ולהגדיר פרטי כניסה.
ההרשאות של תפקידי אדמין מובאים בחשבון על ידי Chrome Policy API, והוא כפוף להיקפי הרשאות מוגדרים.
שלב 1: יצירת פרויקט ב-Google Cloud
כדי להשתמש ב-Chrome Policy API נדרש פרויקט ב-Google Cloud. הפרויקט הזה הוא הבסיס ליצירה, להפעלה ולשימוש של כל שירותי Google Cloud, כולל ניהול ממשקי API, הפעלת חיוב, הוספה והסרה של שותפי עריכה וניהול הרשאות.
אם עדיין אין לכם פרויקט ב-Google Cloud שאתם רוצים להשתמש בו, תוכלו ליצור פרויקט חדש ב-Google Cloud באופן הבא:
- פותחים את מסוף Google Cloud.
- בפינה הימנית העליונה, לוחצים על סמל התפריט > IAM & Admin > Create a Project.
- בשדה Project Name (שם הפרויקט), מזינים שם שמתאר את הפרויקט.
- בשדה Location לוחצים על Browse כדי להציג את הארגונים שזמינים להקצאה. בוחרים את הארגון שעבורו רוצים לנהל את כללי המדיניות של Chrome ולוחצים על Select.
- לוחצים על יצירה. המסוף עובר לדף Dashboard, והפרויקט נוצר בתוך כמה דקות.
שלב 2: מפעילים את Chrome Policy API
כדי להפעיל את Chrome Policy API בפרויקט ב-Google Cloud:
- פותחים את מסוף Google Cloud.
- בחלק העליון, בוחרים את הפרויקט הרלוונטי ב-Google Cloud.
- בפינה הימנית העליונה, לוחצים על סמל התפריט > APIs & Services > Library.
- בשדה החיפוש, מזינים "Chrome" ומקישים על Enter.
- ברשימת תוצאות החיפוש, לוחצים על Chrome Policy API.
- לוחצים על Enable.
- כדי להפעיל ממשקי API נוספים, חוזרים על שלבים 2-5.
שלב 3: יצירת פרטי כניסה
אפשר לאמת בקשות ל-Chrome Policy API כמשתמש קצה או כחשבון שירות של רובוט.
הגדרת מסך ההסכמה של OAuth
- פותחים את מסוף Google Cloud.
- בחלק העליון, בוחרים את הפרויקט הרלוונטי ב-Google Cloud.
- בפינה הימנית העליונה, לוחצים על סמל התפריט > APIs & Services > מסך הסכמה של OAuth.
- בוחרים את סוג המשתמש לאפליקציה ולוחצים על יצירה.
- ממלאים את טופס ההרשמה לאפליקציה ולוחצים על שמירה והמשך.
לוחצים על הוספה או הסרה של היקפים. תופיע חלונית עם רשימת ההיקפים לכל ממשק API שהפעלתם בפרויקט ב-Google Cloud. מוסיפים את אחד מהיקפי ההרשאות הבאים:
https://www.googleapis.com/auth/chrome.management.policy
https://www.googleapis.com/auth/chrome.management.policy.readonly
ההיקף
readonly
לא מאפשר פעולות מוטציה.
הגדרת אימות של משתמש קצה או חשבון שירות
יש ללחוץ על אחת מהאפשרויות שלמטה לקבלת הוראות מפורטות:
אפשרות 1: אימות כמשתמש קצה באמצעות OAuth 2.0
- פותחים את מסוף Google Cloud.
- בחלק העליון, בוחרים את הפרויקט הרלוונטי ב-Google Cloud.
- בפינה הימנית העליונה, לוחצים על סמל התפריט > APIs & Services > Credentials.
- לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
- פועלים לפי השלבים ליצירת פרטי הכניסה בפרוטוקול OAuth 2.0.
האדמין של הארגון ב-Chrome לא נדרשת הגדרה מיוחדת במסוף Admin לצורך אימות OAuth 2.0. משתמשי האפליקציה שלך יצטרכו לקבל את ההרשאות הנדרשות של תפקיד אדמין המשויכות לחשבון שלהם. בנוסף, הם יצטרכו להביע הסכמה למסך ההסכמה של OAuth.
טיפ: אפשר לבדוק את האפליקציה ב'מגרש המשחקים של OAuth'.
אפשרות 2: אימות כחשבון שירות
חשבון שירות הוא סוג מיוחד של חשבון, שאפליקציה (ולא אדם) משתמשת בו. אפשר להשתמש בחשבון שירות כדי לגשת לנתונים או לבצע פעולות באמצעות החשבון הרובוט עצמו, או כדי לגשת לנתונים בשמם של משתמשים. פרטים נוספים זמינים במאמר עבודה עם חשבון שירות.
יצירת חשבון שירות ופרטי כניסה
- פותחים את מסוף Google Cloud.
- בחלק העליון, בוחרים את הפרויקט הרלוונטי ב-Google Cloud.
- בפינה הימנית העליונה, לוחצים על סמל התפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > Service account.
- מזינים שם לחשבון השירות ולוחצים על Create and continue (יצירה והמשך).
- אופציונלי: כדי להעניק גישה למשאבים של הפרויקט ב-Google Cloud, צריך להקצות תפקידים לחשבון השירות. לפרטים נוספים אפשר לעיין במאמר הענקה, שינוי וביטול של גישה למשאבים.
- לוחצים על המשך.
- אופציונלי: יש להזין משתמשים או קבוצות שיוכלו לנהל ולבצע פעולות באמצעות חשבון השירות הזה. פרטים נוספים זמינים במאמר ניהול התחזות לחשבון שירות.
- לוחצים על סיום. אחרי כמה דקות, חשבון השירות החדש שלך יופיע ברשימה 'חשבונות שירות'. (ייתכן שיהיה עליך לרענן את הדף).
- ברשימה Service Accounts (חשבונות שירות), לוחצים על חשבון השירות שיצרתם.
- לוחצים על מפתחות > הוספת מפתחות > יצירת מפתח חדש.
- בוחרים באפשרות JSON ולוחצים על יצירה.
זוג המפתחות הציבורי/פרטי החדש נוצר ומורידים למחשב כקובץ חדש. הקובץ הזה הוא העותק היחיד של המפתח הזה. אפשר לקרוא מידע נוסף על אחסון המפתח באופן מאובטח במאמר ניהול מפתחות של חשבונות שירות.
הרשאה לחשבון השירות במסוף Admin
אם בוחרים לאמת בקשות כחשבון שירות, האדמין של Chrome בארגון צריך לבצע שלבים נוספים במסוף Admin כדי להשלים את התהליך.
האדמין ב-Chrome יכול להקצות תפקיד לחשבון השירות באופן ישיר עם ההרשאות הנדרשות של תפקיד אדמין, או שהאדמין ב-Chrome יכול להגדיר הענקת גישה ברמת הדומיין, כדי שחשבון השירות יוכל להתחזות למשתמשים עם הרשאות מתאימות ולפעול בשמם.
כדי להגדיר הענקת גישה ברמת הדומיין לחשבון השירות שלכם, האדמין ב-Chrome צריך לבצע את השלבים הבאים במסוף Admin:
- פותחים את מסוף Admin.
- בפינה הימנית העליונה, לוחצים על סמל התפריט > אבטחה > בקרת גישה ונתונים > בקרות API.
- לוחצים על ניהול הענקת גישה ברמת הדומיין.
- לוחצים על הוספת חדש.
- בשדה Client ID (מזהה לקוח), מדביקים את מזהה הלקוח שמשויך לחשבון השירות שלכם. כך מאתרים את מספר הלקוח של חשבון השירות
- בשדה 'היקפי OAuth', מזינים רשימה של היקפי הרשאות, מופרדים בפסיקים, הנדרשים על ידי האפליקציה של חשבון השירות. זוהי אותה קבוצת היקפים שהוגדרה בזמן ההגדרה של מסך ההסכמה של OAuth.
- לוחצים על Authorize.
שלב 4: בודקים את האפליקציה במגרש המשחקים של OAuth
- פותחים את מסוף Google Cloud.
- בחלק העליון, בוחרים את הפרויקט הרלוונטי ב-Google Cloud.
- בפינה הימנית העליונה, לוחצים על סמל התפריט > APIs & Services > Credentials.
- לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
- לוחצים על סוג האפליקציה > אפליקציית אינטרנט.
- בשדה 'שם' מזינים שם לפרטי הכניסה. השם הזה מוצג רק ב-Cloud Console.
- כדי להמשיך בבדיקה, צריך להוסיף את
https://developers.google.com/oauthplayground
ל'מזהי URI מורשים להפניה אוטומטית'. ניתן להסיר את ה-URI של ההפניה האוטומטית מהאפליקציה לאחר סיום הבדיקה, במקרה הצורך. - לוחצים על יצירה ומעתיקים את 'מזהה הלקוח' ו'סוד הלקוח' ללוח.
- בכרטיסייה חדשה, פותחים את מגרש המשחקים של OAuth 2.0.
- בפינה השמאלית העליונה, לוחצים על הסמל של הגדרת OAuth 2.0 .
- בוחרים באפשרות שימוש בפרטי הכניסה שלך ב-OAuth. לאחר מכן מדביקים את 'מזהה הלקוח' ו'סוד הלקוח' שהעתקתם בשלב 8 ולוחצים על סגירה.
- בצד ימין, פועלים לפי השלבים ב-OAuth 2.0 Playground:
- בקטע 'שלב 1: בחירה והרשאה של ממשקי API', מוסיפים את
https://www.googleapis.com/auth/chrome.management.policy
וכל טווח API אחר שנדרש, ואז לוחצים על אישור ממשקי API. - בקטע 'שלב 2: החלפת קוד הרשאה לאסימונים', אפשר לבחור באפשרות רענון אוטומטי של האסימון לפני שתוקפו יפוג.
- בקטע 'שלב 3: הגדרת בקשה ל-API', מזינים את ה-URI של בקשת ה-Chrome Policy API, ומשנים את 'שיטת ה-HTTP' והגדרות נוספות לפי הצורך. דוגמה לבקשה לכתובת URL:
https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
- בקטע 'שלב 1: בחירה והרשאה של ממשקי API', מוסיפים את
שלב 5: מוודאים שהאפליקציה מהימנה
אדמין בארגון יכול לסמן אפליקציות כמהימנות או חסומות במסוף Admin. פרטים נוספים זמינים במאמר איך לקבוע אילו אפליקציות של צד שלישי ואפליקציות פנימיות יוכלו לגשת לנתונים ב-Google Workspace.