Thiết lập quyền truy cập API

Sau đây là cách thiết lập quyền truy cập vào Data Manager API bằng SDK hoặc REST.

Điều kiện tiên quyết

Trước khi có thể sử dụng Data API, hãy đảm bảo bạn có những thông tin sau:

Một dự án trên Google Cloud. Bạn có thể sử dụng một dự án hiện có hoặc tạo một dự án mới dành riêng cho Data Manager API.
Một Tài khoản Google có quyền serviceusage.services.enable đối với dự án trên đám mây của bạn trên Google Cloud hoặc có một vai trò bao gồm quyền đó. Ví dụ: roles/owner và roles/serviceusage.serviceUsageAdmin đều có quyền serviceusage.services.enable. Để kiểm tra quyền của bạn, hãy xem phần Xem quyền truy cập hiện tại.
Google Cloud CLI đã được cài đặt.

Bật API

Nếu chưa thực hiện, hãy bật Data Manager API bằng cách nhấp vào Bật Data Manager API hoặc làm theo hướng dẫn để thực hiện bước này theo cách thủ công.

Nếu bạn không tìm thấy Data Manager API hoặc không Bật Data Manager API, hãy xác minh rằng Tài khoản Google của bạn đáp ứng các điều kiện tiên quyết.

Thiết lập chế độ xác thực

Bạn có thể sử dụng bất kỳ Phương thức xác thực nào tại Google ngoài khoá API. Bạn nên xem xét cách Chọn phương thức xác thực phù hợp cho trường hợp sử dụng của bạn để quyết định xem phương pháp nào phù hợp với trường hợp sử dụng của bạn.

Hai phương thức xác thực phổ biến là tài khoản người dùng và tài khoản dịch vụ:

Tài khoản người dùng: Đại diện cho những người tương tác trực tiếp với các API và dịch vụ của Google.
Tài khoản dịch vụ: Đại diện cho ứng dụng, không phải người dùng. Chúng cho phép các ứng dụng của bạn quản lý hoạt động xác thực và uỷ quyền. Ví dụ: nếu một ứng dụng cần truy cập vào tài nguyên trên Google Cloud.

Quy trình tích hợp của bạn có thể sử dụng Thông tin xác thực mặc định của ứng dụng (ADC) để tự động tìm thông tin đăng nhập trong môi trường, nhờ đó, bạn không phải thay đổi mã ứng dụng để xác thực.

Chọn Tài khoản người dùng hoặc Tài khoản dịch vụ để thiết lập ADC:

Tài khoản người dùng

Sau đây là các bước xác thực bằng thông tin đăng nhập tài khoản người dùng:

Định cấu hình chế độ cài đặt Nền tảng xác thực của Google cho dự án của bạn.

Lưu ý quan trọng: Mọi ứng dụng Google Cloud được dùng để lấy thông tin đăng nhập của người dùng cho phạm vi Data Manager API đều phải trải qua quy trình xác minh Google OAuth để tránh màn hình giao diện người dùng chưa được xác minh cho người dùng. Bạn không cần xác minh bằng Google OAuth cho tài khoản dịch vụ.
1. Mở trang Thương hiệu trong Google Cloud Console.
2. Chọn dự án của bạn.
3. Điền thông tin vào biểu mẫu rồi nhấp vào Tạo.
Vì phạm vi Data Manager API là một phạm vi nhạy cảm, nên bạn phải thực hiện các bước sau:
1. Chuyển đến phần cài đặt Quyền truy cập vào dữ liệu cho dự án của bạn.
2. Nhấp vào Thêm hoặc xoá phạm vi.
3. Đánh dấu vào hộp bên cạnh Data Manager API trong danh sách các phạm vi, rồi nhấp vào Cập nhật.
4. Nhấp vào Lưu.
5. Chuyển đến phần Đối tượng trong Google Cloud Console rồi cập nhật Trạng thái xuất bản và Loại người dùng. Tìm hiểu thêm về các chế độ cài đặt này trong phần Quản lý đối tượng của ứng dụng.
Nhấp vào Tạo ứng dụng OAuth2 để tạo một ứng dụng OAuth2 trong dự án hoặc làm theo hướng dẫn để tạo một ứng dụng OAuth2 trên máy tính. Bạn có thể bỏ qua bước này nếu đã có một ứng dụng Desktop OAuth2 mà bạn muốn dùng cho Data Manager API.

Nếu bạn nhấp vào Tạo ứng dụng OAuth2, hãy chọn Ứng dụng dành cho máy tính khi được nhắc Định cấu hình ứng dụng OAuth để bạn có thể sử dụng ứng dụng này trong các bước còn lại.

Tạo ứng dụng OAuth2
Trong bước cuối cùng, hãy nhấp vào DOWNLOAD CLIENT CONFIGURATION (TẢI CẤU HÌNH MÁY KHÁCH XUỐNG) và ghi lại vị trí tải xuống mà bạn chọn.

Tạo một tệp ADC cục bộ bằng cách chạy lệnh sau. Lệnh này sẽ khởi chạy một quy trình trên web, trong đó bạn được nhắc đăng nhập vào Tài khoản Google mà bạn đang sử dụng với API.

Thay thế PATH_TO_CLIENT_JSON bằng tên của tệp JSON mà bạn đã tải xuống.

gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

Nếu bạn muốn sử dụng cùng một thông tin đăng nhập cho Data Manager API và Google Ads API, hãy thêm phạm vi Google Ads API vào danh sách --scopes:

gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/adwords,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

Nếu bạn muốn sử dụng cùng một thông tin đăng nhập cho Data Manager API và Display & Video 360 API, hãy thêm phạm vi Display & Video 360 API vào danh sách --scopes:

gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/display-video,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

Xác nhận rằng bạn đã thiết lập thông tin đăng nhập chính xác bằng lệnh sau. Nếu thành công, lệnh này sẽ in một mã truy cập vào bảng điều khiển.
```
gcloud auth application-default print-access-token
```

Tài khoản dịch vụ

Sau đây là các bước để Sử dụng tính năng mạo danh tài khoản dịch vụ để xác thực. Các bước này sử dụng tính năng mạo danh thay vì khoá tài khoản dịch vụ vì khoá tài khoản dịch vụ có thể trở thành một rủi ro bảo mật nếu không được quản lý cẩn thận.

Nhấp vào nút Tạo tài khoản dịch vụ sau đây hoặc làm theo hướng dẫn để chọn hoặc tạo một tài khoản dịch vụ.

Tạo tài khoản dịch vụ
Cấp cho tài khoản dịch vụ vai trò IAM Người dùng dịch vụ (roles/serviceusage.serviceUsageConsumer), bao gồm cả quyền serviceusage.services.use cho phép tài khoản dịch vụ gửi yêu cầu API cho dự án.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCOUNT_EMAIL" \
  --role="roles/serviceusage.serviceUsageConsumer"
```
Cấp cho Tài khoản Google của bạn vai trò IAM Trình tạo mã thông báo tài khoản dịch vụ (roles/iam.serviceAccountTokenCreator) trên tài khoản dịch vụ.

Lưu ý: Bạn phải thực hiện bước này ngay cả khi Tài khoản Google của bạn là chủ sở hữu của dự án.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
  --member="user:USER_EMAIL" \
  --role="roles/iam.serviceAccountTokenCreator"
```

Định cấu hình ADC bằng cách chạy lệnh sau:

gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/cloud-platform"

Nếu bạn muốn sử dụng cùng một thông tin đăng nhập cho Data Manager API và Google Ads API, hãy thêm phạm vi Google Ads API vào danh sách --scopes:

gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/adwords,https://www.googleapis.com/auth/cloud-platform"

Nếu bạn muốn sử dụng cùng một thông tin đăng nhập cho Data Manager API và Display & Video 360 API, hãy thêm phạm vi Display & Video 360 API vào danh sách --scopes:

gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/display-video,https://www.googleapis.com/auth/cloud-platform"

Khi được nhắc đăng nhập, hãy đăng nhập bằng Tài khoản Google có vai trò Trình tạo mã thông báo tài khoản dịch vụ.

Xác nhận rằng bạn đã thiết lập thông tin đăng nhập chính xác bằng lệnh sau. Nếu thành công, lệnh này sẽ in một mã truy cập vào bảng điều khiển.
```
gcloud auth application-default print-access-token --scopes="https://www.googleapis.com/auth/datamanager"
```

Để tìm hiểu thêm về quy trình xác thực và thông tin xác thực cho ứng dụng của bạn, hãy xem phần Các phương thức xác thực tại Google và Cách hoạt động của Thông tin xác thực mặc định của ứng dụng.

Thiết lập quyền truy cập vào tài khoản

Tài khoản người dùng

Cấp cho email được liên kết với người dùng quyền truy cập vào Destination.

Nếu đang sử dụng tài khoản Google Ads, hãy làm theo hướng dẫn để thêm email của người dùng vào tài khoản Google Ads hoặc tài khoản người quản lý Google Ads cấp trên.
Nếu bạn đang sử dụng tài khoản Display & Video 360, hãy làm theo hướng dẫn để thêm email của người dùng vào tài khoản.
Nếu sử dụng một tài sản Google Analytics, hãy làm theo hướng dẫn để thêm email của người dùng vào tài khoản.
Nếu bạn truy cập vào Destination bằng tài khoản đối tác dữ liệu có đường liên kết đối tác từ tài khoản của nhà quảng cáo, hãy làm theo hướng dẫn để thêm email của người dùng vào tài khoản Đối tác dữ liệu.

Tài khoản dịch vụ

Cấp quyền truy cập vào Destination cho email liên kết với tài khoản dịch vụ của bạn.

Nếu bạn đang sử dụng tài khoản Google Ads, hãy hoàn tất bước Thiết lập quyền truy cập vào tài khoản để thêm tài khoản dịch vụ vào tài khoản Google Ads hoặc tài khoản người quản lý Google Ads chính.
Nếu bạn đang sử dụng tài khoản Display & Video 360, hãy làm theo hướng dẫn để tạo một người dùng Display & Video 360 được liên kết với tài khoản dịch vụ.
Nếu sử dụng một tài sản Google Analytics, hãy làm theo hướng dẫn để thêm email của người dùng vào tài khoản.
Nếu bạn truy cập vào Destination bằng tài khoản đối tác dữ liệu có đường liên kết đối tác từ tài khoản của nhà quảng cáo, hãy hoàn tất Thiết lập quyền truy cập vào tài khoản trong tài khoản đối tác dữ liệu để thêm tài khoản dịch vụ và đặt cấp truy cập cho tài khoản đó.

Các bước tiếp theo

Cài đặt một thư viện ứng dụng và chạy các mã mẫu để thử yêu cầu API đầu tiên của bạn đối với Data Manager API.

Tiếp

Cài đặt thư viện ứng dụng

Thiết lập quyền truy cập API Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Điều kiện tiên quyết

Bật API

Thiết lập chế độ xác thực

Tài khoản người dùng

Tài khoản dịch vụ

Thiết lập quyền truy cập vào tài khoản

Tài khoản người dùng

Tài khoản dịch vụ

Các bước tiếp theo

Thiết lập quyền truy cập API