開始開發前,您需要詳閱《Chrome Policy API 服務條款》、建立 Google Cloud 專案、啟用 Chrome Policy API,以及設定存取憑證。
Chrome Policy API 會遵循管理員角色權限,並由定義的授權範圍所規範。
步驟 1:建立 Google Cloud 專案
您必須擁有 Google Cloud 專案,才能使用 Chrome Policy API。這項專案是建立、啟用和使用所有 Google Cloud 服務的基本要件,包括管理 API、啟用計費功能、新增與移除協作者,以及管理權限。
如果您還沒有要使用的 Google Cloud 專案,請按照下列步驟建立 Google Cloud 專案:
- 開啟 Google Cloud 控制台。
- 依序按一下左上方的「選單」圖示 >「IAM 與管理」>「建立專案」。
- 在「專案名稱」欄位中,輸入專案的描述性名稱。
- 按一下「Location」(位置) 欄位中的「Browse」(瀏覽),即可顯示可指派的機構。選擇要管理 Chrome 政策的機構,然後按一下「Select」(選取)。
- 按一下「建立」,主控台將前往「資訊主頁」頁面,專案會在幾分鐘內建立完成。
步驟 2:啟用 Chrome Policy API
如要在 Google Cloud 專案中啟用 Chrome Policy API:
- 開啟 Google Cloud 控制台。
- 在頂端選擇您的 Google Cloud 專案。
- 依序按一下左上方的「選單」圖示 >「API 和服務」>「程式庫」。
- 在搜尋欄位中輸入「Chrome」,然後按下 Enter 鍵。
- 在搜尋結果清單中,按一下「Chrome Policy API」。
- 點選「啟用」。
- 如要啟用更多 API,請重複步驟 2 至 5。
步驟 3:建立憑證
傳送至 Chrome Policy API 的要求可視為使用者或機器人服務帳戶進行驗證。
設定 OAuth 同意畫面
- 開啟 Google Cloud 控制台。
- 在頂端選擇您的 Google Cloud 專案。
- 依序點選畫面左上方的「選單」圖示 >「API 和服務」>「OAuth 同意畫面」。
- 選取應用程式的使用者類型,然後按一下「建立」。
- 填寫應用程式註冊表單,然後按一下「儲存並繼續」。
按一下「新增或移除範圍」。畫面上會出現面板,列出您在 Google Cloud 專案中啟用的各個 API 的範圍清單。新增下列其中一個授權範圍:
https://www.googleapis.com/auth/chrome.management.policyhttps://www.googleapis.com/auth/chrome.management.policy.readonly
readonly範圍不允許任何異動作業。
設定使用者或服務帳戶驗證
請點選下方任一選項,查看詳細操作說明:
做法 1:以 OAuth 2.0 使用者身分進行驗證
- 開啟 Google Cloud 控制台。
- 在頂端選擇您的 Google Cloud 專案。
- 依序點選畫面左上方的「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 按照步驟建立 OAuth 2.0 憑證。
機構的 Chrome 管理員不必在管理控制台中針對 OAuth 2.0 驗證進行特殊設定。應用程式的使用者必須具備與其帳戶相關聯的必要的管理員角色權限,也必須同意應用程式的 OAuth 同意畫面。
提示:您可以在 OAuth Playground 中測試應用程式。
做法 2:以服務帳戶進行驗證
服務帳戶是應用程式 (而非使用者) 使用的特殊帳戶。您可以使用服務帳戶來存取資料或由機器人帳戶本身執行動作,或是代表使用者存取資料。詳情請參閱「瞭解服務帳戶」一文。
建立服務帳戶和憑證
- 開啟 Google Cloud 控制台。
- 在頂端選擇您的 Google Cloud 專案。
- 依序點選畫面左上方的「選單」圖示 >「API 和服務」>「憑證」。
- 按一下「建立憑證」>「服務帳戶」。
- 輸入服務帳戶名稱,然後點選「建立並繼續」。
- 選用:為服務帳戶指派角色,以授予 Google Cloud 專案資源的存取權。詳情請參閱授予、變更及撤銷資源的存取權。
- 按一下 [繼續]。
- 選用:輸入可以透過這個服務帳戶管理及執行動作的使用者或群組。詳情請參閱「管理服務帳戶模擬功能」。
- 按一下 [完成]。幾分鐘後,新的服務帳戶就會顯示在「服務帳戶」清單中。(您可能需要重新整理頁面)。
- 在「服務帳戶」清單中,按一下您建立的服務帳戶。
- 依序按一下「金鑰」>「新增金鑰」>「建立新的金鑰」。
- 選取「JSON」,然後按一下「建立」。
系統會產生新的公開/私密金鑰組,並以新檔案的形式下載至您的電腦中。這個檔案是這組金鑰的唯一副本。如要瞭解如何安全儲存金鑰,請參閱「管理服務帳戶金鑰」。
在管理控制台中授權服務帳戶
如果您選擇以服務帳戶來驗證要求,貴機構的 Chrome 管理員必須在管理控制台中執行額外步驟才能完成程序。
Chrome 管理員可以為具備必要的管理員角色權限直接指派角色給服務帳戶,而 Chrome 管理員可以設定全網域委派功能,讓服務帳戶可模擬具備適當權限的使用者,並代表使用者採取行動。
如要為服務帳戶設定全網域委派功能,Chrome 管理員必須在管理控制台中按照下列步驟操作:
- 開啟管理控制台。
- 依序點選畫面左上方的「選單」圖示 >「安全性」>「存取權與資料控管」>「API 控制項」。
- 按一下「管理全網域委派作業」。
- 按一下 [Add new] (新增)。
- 在「用戶端 ID」欄位中,貼上與服務帳戶相關聯的用戶端 ID。瞭解如何查看服務帳戶的用戶端 ID。
- 在「OAuth 範圍」欄位中,輸入服務帳戶應用程式所需的範圍清單 (以半形逗號分隔)。這組範圍與設定 OAuth 同意畫面時定義的範圍相同。
- 按一下「授權」。
步驟 4:在 OAuth Playground 中測試應用程式
- 開啟 Google Cloud 控制台。
- 在頂端選擇您的 Google Cloud 專案。
- 依序點選畫面左上方的「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「網頁應用程式」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Cloud 控制台中。
- 在測試期間,請將
https://developers.google.com/oauthplayground新增至「已授權的重新導向 URI」。完成測試後,您可以視需要從應用程式中移除這個重新導向 URI。 - 按一下「建立」,然後將「用戶端 ID」和「用戶端密鑰」複製到剪貼簿。
- 在新分頁中,開啟 OAuth 2.0 Playground。
- 按一下右上方的「OAuth 2.0 設定」圖示 。
- 選取「使用自己的 OAuth 憑證」。接著貼上您在步驟 8 複製的「用戶端 ID」和「用戶端密鑰」,然後按一下「關閉」。
- 按照左側的 OAuth 2.0 Playground 步驟操作:
- 在「步驟 1:選取及授權 API」部分,新增
https://www.googleapis.com/auth/chrome.management.policy和任何其他必要的 API 範圍,然後按一下「授權 API」。 - 您可以選擇在「步驟 2:交換權杖的授權碼」部分,選取「在過期前自動重新整理權杖」。
- 在「步驟 3:設定 API 的要求」中,輸入您的 Chrome Policy API 要求 URI,然後視需要修改「HTTP 方法」和其他設定。網址要求示例:
https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
- 在「步驟 1:選取及授權 API」部分,新增
步驟 5:確認應用程式可信任
機構管理員可以在管理控制台中將應用程式標示為可信任或已封鎖。詳情請參閱「控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料」。