Account di servizio

Questa guida illustra come accedere all'API Google Ads con gli account di servizio.

Un account di servizio è un account che appartiene alla tua app anziché a un singolo utente finale. Gli account di servizio consentono le interazioni server-to-server tra un'app web e un servizio Google. La tua app chiama le API di Google per conto dell'account di servizio, quindi gli utenti non sono coinvolti direttamente.

Gli account di servizio utilizzano un flusso OAuth2 che non richiede un'autorizzazione umana, utilizzando al suo posto un file chiave accessibile solo dalla tua app.

L'utilizzo degli account di servizio offre due vantaggi principali:

  • L'autorizzazione all'accesso all'API di Google viene effettuata come passaggio di configurazione, evitando le complicazioni associate ad altri flussi OAuth2 che richiedono interazioni da parte dell'utente.
  • Il flusso di asserzione OAuth2 consente alla tua app di impersonare altri utenti, se necessario.

Prerequisiti

  • Un dominio Google Workspace di tua proprietà, ad esempio mydomain.com o mybusiness.com.
  • Un token sviluppatore dell'API Google Ads e, facoltativamente, un account di prova.
  • La libreria client per la lingua in uso.
  • Un progetto della console API di Google che è stato configurato per l'API Google Ads.
  • Un utente Google Ads con autorizzazioni per l'account Google Ads a cui vuoi accedere. Google Ads non supporta l'utilizzo di account di servizio senza furto d'identità.

Configurazione dell'accesso all'account di servizio

Poiché il furto d'identità degli utenti è controllato solo a livello di dominio, per utilizzare gli account di servizio e il flusso di asserzioni con Google OAuth2 è necessario che il tuo dominio sia registrato in Google Workspace. La tua app e i suoi utenti possono quindi simulare l'identità di qualsiasi utente del dominio.

  1. Per iniziare, crea un account di servizio e le credenziali.

    Scarica la chiave dell'account di servizio in formato JSON e prendi nota dell'ID dell'account di servizio.

  2. Condividi l'ID account di servizio e l'ambito dell'API Google Ads (https://www.googleapis.com/auth/adwords) con il tuo amministratore di dominio.

    Richiedi all'amministratore di dominio di delegare l'autorità a livello di dominio al tuo account di servizio.

  3. Se sei l'amministratore di dominio, segui le istruzioni del Centro assistenza.

Ora puoi utilizzare l'account di servizio per accedere al tuo account Google Ads con il flusso di asserzione OAuth2.

Configurazione della libreria client

Seleziona la tua lingua di seguito per istruzioni su come configurare la libreria client.

Java

Flusso dell'account di servizio OAuth.

.NET

Flusso dell'account di servizio OAuth.

Python

Flusso dell'account di servizio OAuth.

PHP

Flusso dell'account di servizio OAuth.

Ruby

Flusso dell'account di servizio OAuth.

Perl

Flusso dell'account di servizio OAuth.

Problemi di sicurezza

Poiché l'account di servizio dispone del controllo della delega a livello di dominio per il tuo dominio Google Workspace, è importante proteggere il file della chiave che consente a un account di servizio di accedere ai servizi Google per i quali è autorizzato. Ciò vale soprattutto perché l'account di servizio può impersonare qualsiasi utente nel dominio.

Un'altra buona prassi è consentire agli account di servizio di accedere solo all'insieme minimo richiesto di API. Si tratta di una misura preventiva per limitare la quantità di dati a cui un utente malintenzionato può accedere se il file di chiavi dell'account di servizio viene compromesso.