Настроить и усилить; авторизовать запросы

Прежде чем приступить к разработке, вам необходимо ознакомиться с Условиями использования Chrome Policy API , создать проект Google Cloud, включить Chrome Policy API и настроить учетные данные для доступа.

API политики Chrome учитывает разрешения роли администратора и регулируется определенными областями авторизации .

Шаг 1. Создайте проект Google Cloud

Для использования Chrome Policy API необходим проект Google Cloud. Этот проект формирует основу для создания, включения и использования всех сервисов Google Cloud, включая управление API, включение выставления счетов, добавление и удаление соавторов, а также управление разрешениями.

Если у вас еще нет проекта Google Cloud, который вы хотите использовать, выполните следующие действия, чтобы создать проект Google Cloud:

  1. Откройте облачную консоль Google .
  2. В левом верхнем углу нажмите > IAM и администрирование > Создать проект .
  3. В поле «Имя проекта» введите описательное имя вашего проекта.
  4. В поле «Местоположение» нажмите «Обзор» , чтобы отобразить организации, доступные для назначения. Выберите организацию, для которой вы хотите управлять политиками Chrome, затем нажмите «Выбрать» .
  5. Нажмите Создать . Консоль перейдет на страницу «Панель мониторинга», и ваш проект будет создан в течение нескольких минут.

Шаг 2. Включите API политики Chrome

Чтобы включить Chrome Policy API в вашем проекте Google Cloud:

  1. Откройте облачную консоль Google .
  2. Вверху выберите свой проект Google Cloud.
  3. В левом верхнем углу нажмите > API и службы > Библиотека .
  4. В поле поиска введите «Chrome» и нажмите Enter .
  5. В списке результатов поиска нажмите Chrome Policy API .
  6. Нажмите Включить .
  7. Чтобы включить больше API, повторите шаги 2–5.

Шаг 3. Создайте учетные данные

Запросы к Chrome Policy API могут быть проверены как конечный пользователь или учетная запись службы робота.

  1. Откройте облачную консоль Google .
  2. Вверху выберите свой проект Google Cloud.
  3. В левом верхнем углу нажмите > API и службы > Экран согласия OAuth .
  4. Выберите тип пользователя для вашего приложения, затем нажмите «Создать» .
  5. Заполните форму регистрации приложения, затем нажмите «Сохранить и продолжить» .

  6. Нажмите Добавить или удалить области . Появится панель со списком областей действия для каждого API, который вы включили в своем проекте Google Cloud. Добавьте одну из следующих областей авторизации:

    • https://www.googleapis.com/auth/chrome.management.policy
    • https://www.googleapis.com/auth/chrome.management.policy.readonly

    Область readonly не допускает никаких операций мутации.

Настройка аутентификации конечного пользователя или учетной записи службы

Нажмите на опцию ниже, чтобы получить подробные инструкции:

Вариант 1. Аутентификация конечного пользователя с помощью OAuth 2.0.

  1. Откройте облачную консоль Google .
  2. Вверху выберите свой проект Google Cloud.
  3. В левом верхнем углу нажмите > API и службы > Учетные данные .
  4. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  5. Следуйте инструкциям по созданию учетных данных OAuth 2.0.

Администратору Chrome организации не требуется никакой специальной настройки в консоли администратора для аутентификации OAuth 2.0. Пользователям вашего приложения необходимо будет иметь необходимые разрешения роли администратора , связанные с их учетной записью, и согласиться на экран согласия OAuth приложения.

Совет. Вы можете протестировать свое приложение на игровой площадке OAuth .

Вариант 2. Аутентификация в качестве учетной записи службы.

Учетная запись службы — это особый вид учетной записи, используемый приложением, а не человеком. Вы можете использовать сервисную учетную запись для доступа к данным или выполнения действий самой учетной записью робота или для доступа к данным от имени пользователей. Дополнительные сведения см. в разделе Общие сведения об учетных записях служб .

Создайте учетную запись службы и учетные данные

  1. Откройте облачную консоль Google .
  2. Вверху выберите свой проект Google Cloud.
  3. В левом верхнем углу нажмите > API и службы > Учетные данные .
  4. Нажмите Создать учетные данные > Учетная запись службы .
  5. Введите имя учетной записи службы, затем нажмите «Создать» и продолжите .
  6. Необязательно: назначьте роли своему сервисному аккаунту, чтобы предоставить доступ к ресурсам вашего проекта Google Cloud. Дополнительные сведения см. в разделе Предоставление, изменение и отзыв доступа к ресурсам .
  7. Нажмите Продолжить .
  8. Необязательно: укажите пользователей или группы, которые могут управлять этой учетной записью службы и выполнять действия с ней. Дополнительные сведения см. в разделе Управление олицетворением учетной записи службы .
  9. Нажмите Готово . Через несколько минут ваша новая учетная запись службы появится в списке «Учетные записи служб». (Возможно, вам придется обновить страницу.)
  10. В списке «Учетные записи служб» выберите созданную вами учетную запись службы.
  11. Нажмите «Ключи» > «Добавить ключи» > «Создать новый ключ» .
  12. Выберите JSON , затем нажмите «Создать» .

    Ваша новая пара открытого/закрытого ключей генерируется и загружается на ваш компьютер в виде нового файла. Этот файл является единственной копией этого ключа. Информацию о том, как безопасно хранить ключ, см. в разделе Управление ключами учетной записи службы .

Авторизуйте сервисный аккаунт в консоли администратора.

Если вы решите аутентифицировать запросы в качестве сервисного аккаунта, администратору Chrome организации необходимо выполнить дополнительные действия в консоли администратора, чтобы завершить процесс.

Администратор Chrome может либо назначить роль сервисному аккаунту напрямую с необходимыми разрешениями роли администратора , либо администратор Chrome может настроить делегирование на уровне всего домена, чтобы сервисный аккаунт мог выдавать себя за пользователей с соответствующими разрешениями и действовать от их имени.

Чтобы настроить делегирование вашего сервисного аккаунта на уровне домена, администратору Chrome необходимо выполнить следующие действия в консоли администратора:

  1. Откройте консоль администратора .
  2. В левом верхнем углу нажмите > Безопасность > Доступ и контроль данных > Элементы управления API .
  3. Нажмите «Управление делегированием всего домена ».
  4. Нажмите Добавить новый .
  5. В поле «Идентификатор клиента» вставьте идентификатор клиента, связанный с вашей учетной записью службы. Узнайте, как найти идентификатор клиента вашего сервисного аккаунта.
  6. В поле «Области OAuth» введите разделенный запятыми список областей, необходимых приложению учетной записи службы. Это тот же набор областей, который определен при настройке экрана согласия OAuth.
  7. Нажмите «Авторизовать» .

Шаг 4. Проверьте свое приложение на игровой площадке OAuth.

  1. Откройте облачную консоль Google .
  2. Вверху выберите свой проект Google Cloud.
  3. В левом верхнем углу нажмите > API и службы > Учетные данные .
  4. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  5. Щелкните Тип приложения > Веб-приложение .
  6. В поле «Имя» введите имя учетных данных. Это имя отображается только в Cloud Console.
  7. На время тестирования добавьте https://developers.google.com/oauthplayground в раздел «Авторизованные URI перенаправления». При необходимости вы можете удалить этот URI перенаправления из своего приложения после завершения тестирования.
  8. Нажмите « Создать» и скопируйте «идентификатор клиента» и «секрет клиента» в буфер обмена.
  9. В новой вкладке откройте OAuth 2.0 Playground .
  10. В правом верхнем углу нажмите конфигурации OAuth 2.0 .
  11. Выберите «Использовать собственные учетные данные OAuth ». Затем вставьте «идентификатор клиента» и «секрет клиента», скопированные на шаге 8, и нажмите «Закрыть» .
  12. Слева следуйте инструкциям OAuth 2.0 Playground:
    • В разделе «Шаг 1. Выбор и авторизация API» добавьте https://www.googleapis.com/auth/chrome.management.policy и любые другие необходимые области API, затем нажмите «Авторизовать API» .
    • Для «Шаг 2. Обмен кода авторизации для токенов» вы можете дополнительно выбрать «Автоматическое обновление токена до истечения срока его действия» .
    • Для «Шаг 3. Настройка запроса к API» введите URI запроса API политики Chrome, изменив «Метод HTTP» и другие настройки при необходимости. Пример URL-запроса: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

Шаг 5. Убедитесь, что вашему приложению доверяют

Администратор организации может помечать приложения как надежные или заблокированные в консоли администратора. Подробнее см. в разделе «Управление тем, какие сторонние и внутренние приложения получают доступ к данным Google Workspace ».