Tài khoản dịch vụ

Hướng dẫn này trình bày cách truy cập vào API Google Ads bằng tài khoản dịch vụ.

Tài khoản dịch vụ là tài khoản thuộc về ứng dụng của bạn thay vì của một người dùng cuối riêng lẻ. Tài khoản dịch vụ cho phép hoạt động tương tác từ máy chủ đến máy chủ giữa ứng dụng web và dịch vụ của Google. Ứng dụng của bạn gọi API của Google thay mặt cho tài khoản dịch vụ, vì vậy, người dùng không tham gia trực tiếp.

Tài khoản dịch vụ sử dụng quy trình OAuth2 mà không cần có sự cho phép của con người, thay vào đó, chỉ ứng dụng của bạn mới có thể truy cập.

Việc sử dụng tài khoản dịch vụ mang lại hai lợi ích chính:

• Việc uỷ quyền truy cập API Google được thực hiện như một bước định cấu hình, nhờ đó tránh được các chức năng liên quan đến các luồng OAuth2 khác đòi hỏi người dùng phải tương tác.
• Quy trình xác nhận OAuth2 cho phép ứng dụng của bạn mạo danh người dùng khác nếu cần.

Điều kiện tiên quyết

• Miền Google Workspace mà bạn sở hữu, chẳng hạn như mydomain.com hoặc mybusiness.com.
• Mã của nhà phát triển API Google Ads và tài khoản thử nghiệm (không bắt buộc).
• Thư viện ứng dụng cho ngôn ngữ bạn đang dùng.
• Một dự án Google API Console đã được định cấu hình cho API Google Ads.
• Người dùng Google Ads có quyền đối với tài khoản Google Ads mà bạn muốn truy cập. Google Ads không hỗ trợ sử dụng tài khoản dịch vụ nếu không mạo danh.

Thiết lập quyền truy cập vào tài khoản dịch vụ

Vì hành vi mạo danh người dùng chỉ được kiểm soát ở cấp miền, nên việc sử dụng tài khoản dịch vụ và quy trình xác nhận bằng Google OAuth2 yêu cầu bạn phải đăng ký miền riêng với Google Workspace. Sau đó, ứng dụng của bạn và người dùng ứng dụng có thể mạo danh bất kỳ người dùng nào trong miền.

1. Bắt đầu bằng cách tạo tài khoản dịch vụ và thông tin đăng nhập.

   Tải khoá tài khoản dịch vụ xuống ở định dạng JSON và ghi lại mã tài khoản dịch vụ.

2. Chia sẻ mã tài khoản dịch vụ và phạm vi API Google Ads (https://www.googleapis.com/auth/adwords) với quản trị viên miền của bạn.

   Yêu cầu quản trị viên miền uỷ quyền quyền trên toàn miền cho tài khoản dịch vụ của bạn.

3. Nếu bạn là quản trị viên miền, hãy hoàn thành hướng dẫn trong trung tâm trợ giúp.

Giờ đây, bạn có thể sử dụng tài khoản dịch vụ để truy cập vào tài khoản Google Ads của mình bằng quy trình xác nhận OAuth2.

Cấu hình thư viện ứng dụng

Chọn ngôn ngữ của bạn bên dưới để xem hướng dẫn định cấu hình thư viện ứng dụng.

Các mối lo ngại về bảo mật

Vì tài khoản dịch vụ có chế độ uỷ quyền cấp miền cho miền Google Workspace của bạn, nên bạn phải bảo vệ tệp khoá để cho phép một tài khoản dịch vụ truy cập vào các dịch vụ của Google mà tài khoản đó được uỷ quyền. Điều này đặc biệt đúng vì tài khoản dịch vụ đó có khả năng mạo danh bất kỳ người dùng nào trong miền.

Một phương pháp hay khác là chỉ cho phép tài khoản dịch vụ truy cập vào bộ API tối thiểu bắt buộc. Đây là biện pháp ưu tiên nhằm giới hạn lượng dữ liệu mà kẻ tấn công có thể truy cập nếu tệp khoá của tài khoản dịch vụ bị xâm phạm.