Cloud Search Query API では、ドメイン内のライセンスを付与されたユーザーに属する OAuth 認証情報を使用して API 呼び出しを承認する必要があります。デフォルトでは、インデックス API と構成 API へのアクセスに使用されるサービス アカウントは、Cloud Search または Google Workspace ライセンスを持つドメイン ユーザーではないため、クエリ API 呼び出しには使用できません。クエリ API 呼び出しの認証時にサービス アカウントを使用する場合、ドメイン管理者はドメイン全体のユーザーデータへのアクセスをアカウントに付与できます。これは、ドメイン全体の権限の委任と呼ばれます。委任された権限を持つサービス アカウントは、Cloud Search にアクセスできるユーザーなど、任意のユーザーに成り代わることができます。
サービス アカウントと認証情報を作成する
サービス アカウントの認証情報をまだ持っていない場合は、サービス アカウントの認証情報を作成するをご覧ください。
ドメイン全体の権限をサービス アカウントに委任する
Google Workspace ドメインのユーザーデータにアクセスするには、作成したサービス アカウントにドメインの特権管理者からアクセス権を付与されている必要があります。ドメイン全体の委任の詳細については、ドメイン全体の委任を使用して Google Workspace API へのアクセスを制御するをご覧ください。
サービス アカウントにドメイン全体の権限を委任する手順は次のとおりです。
- ドメインの管理コンソールから、[メインメニュー] > [セキュリティ] > [アクセスとデータ管理] > [API の制御] に移動します。
[ドメイン全体の委任] ペインで、[ドメイン全体の委任を管理] を選択します。
[新しく追加] をクリックします。
[クライアント ID] フィールドに、上記のサービス アカウントの作成手順で取得したクライアント ID を入力します。
[OAuth スコープ] フィールドに、アプリケーションに必要なスコープのカンマ区切りリストを入力します。Query API を使用する検索アプリケーションには、スコープ
https://www.googleapis.com/auth/cloud_search.queryを使用します。[承認] をクリックします。
これで、サービス アカウントはドメイン全体で Cloud Search Query API にアクセスできるようになり、このスコープでドメインのユーザーに成り代わることができます。ドメインのユーザーに代わって、承認された Cloud Search API サービス オブジェクトをインスタンス化する準備ができました。
Cloud Search API サービス オブジェクトをインスタンス化する
このセクションでは、Cloud Search API サービス オブジェクトをインスタンス化し、OAuth 2.0 とサービス アカウントの認証情報を使用して API リクエストを行うことを承認して、Google Workspace ドメイン全体の委任を行う方法を示します。この例では、JSON 形式の秘密鍵ファイルからサービス アカウントの情報を読み取ります。
Java
import java.util.Collections;
import java.io.FileInputStream;
import com.google.api.client.googleapis.auth.oauth2.GoogleCredential;
import com.google.api.client.http.HttpTransport;
import com.google.api.client.json.JsonFactory;
import com.google.api.services.cloudsearch.v1.CloudSearch;
import com.google.api.services.cloudsearch.v1.CloudSearchScopes;
...
/** Path to the Service Account's Private Key file */
private static final String SERVICE_ACCOUNT_FILE_PATH = "/path/to/key.json";
/**
* Build and return a Cloud Search service object authorized with the service
* account that acts on behalf of the given user.
*
* @param userEmail The email of the user to impersonate. Needs permissions to access Cloud Search.
* @return CloudSearch service object that is ready to make requests.
*/
public static CloudSearch getCloudSearchAPIService(String userEmail)
throws FileNotFoundException, IOException {
FileInputStream credsFile = new FileInputStream(SERVICE_ACCOUNT_FILE_PATH);
GoogleCredential init = GoogleCredential.fromStream(credsFile);
HttpTransport httpTransport = init.getTransport();
JsonFactory jsonFactory = init.getJsonFactory();
GoogleCredential creds = new GoogleCredential.Builder()
.setTransport(httpTransport)
.setJsonFactory(jsonFactory)
.setServiceAccountId(init.getServiceAccountId())
.setServiceAccountPrivateKey(init.getServiceAccountPrivateKey())
.setServiceAccountScopes(Collections.singleton(CloudSearchScopes.CLOUD_SEARCH_QUERY))
.setServiceAccountUser(userEmail)
.build();
CloudSearch service = new CloudSearch.Builder(httpTransport, jsonFactory, creds).build();
return service;
}
Python
from google.oauth2 import service_account
from googleapiclient.discovery import build
# Path to the Service Account's Private Key file
SERVICE_ACCOUNT_FILE_PATH = "/path/to/key.json"
def create_query_api_service(user_email):
"""Build and return a CloudSearch service object authorized with the service
account that acts on behalf of the given user.
Args:
user_email: The email of the user to impersonate. Needs permissions to access Cloud Search.
Returns:
Cloud Search Query API service object that is ready to make requests.
"""
credentials = service_account.Credentials.from_service_account_file(
SERVICE_ACCOUNT_FILE_PATH,
scopes=['https://www.googleapis.com/auth/cloud_search.query'])
delegated_credentials = credentials.with_subject(user_email)
return build("cloudsearch", "v1", credentials=delegated_credentials)