Dienstkonten

In diesem Leitfaden wird erläutert, wie Sie mithilfe von Dienstkonten auf die Google Ads API zugreifen.

Ein Dienstkonto ist ein Konto, das zu Ihrer Anwendung und nicht zu einem bestimmten Endnutzer gehört. Dienstkonten ermöglichen Server-zu-Server-Interaktionen zwischen einer Webanwendung und einem Google-Dienst. Ihre Anwendung ruft Google APIs im Namen des Dienstkontos auf, sodass Nutzer nicht direkt beteiligt sind.

Dienstkonten verwenden einen OAuth2-Ablauf, für den keine Autorisierung durch einen Nutzer erforderlich ist. Stattdessen wird eine Schlüsseldatei verwendet, auf die nur Ihre Anwendung zugreifen kann.

Dienstkonten haben zwei wesentliche Vorteile:

  • Die Autorisierung für den Google API-Zugriff erfolgt als Konfigurationsschritt. Dadurch werden die Komplikationen vermieden, die mit anderen OAuth2-Abläufen verbunden sind, die Nutzerinteraktionen erfordern.
  • Beim OAuth2-Assertion-Ablauf kann Ihre App bei Bedarf die Identität anderer Nutzer übernehmen.

Voraussetzungen

  • Eine Google Workspace-Domain, deren Inhaber Sie sind, z. B. mydomain.com oder mybusiness.com.
  • Google Ads API-Entwickler-Token und optional ein Testkonto
  • Clientbibliothek für die verwendete Sprache
  • Ein Google API Console-Projekt, das für die Google Ads API konfiguriert wurde
  • Sie sind Google Ads-Nutzer mit Berechtigungen für das Google Ads-Konto, auf das Sie zugreifen möchten. In Google Ads wird die Verwendung von Dienstkonten ohne Identitätsübernahme nicht unterstützt.

Dienstkontozugriff einrichten

Da die Identitätsübernahme von Nutzern nur auf Domainebene gesteuert wird, muss Ihre eigene Domain bei Google Workspace registriert sein, damit Sie Dienstkonten und den Assertion-Workflow mit Google OAuth2 verwenden können. Ihre Anwendung und ihre Nutzer können dann die Identität eines beliebigen Nutzers in der Domain annehmen.

  1. Erstellen Sie zuerst ein Dienstkonto und Anmeldedaten.

    Laden Sie den Dienstkontoschlüssel im JSON-Format herunter und notieren Sie sich die Dienstkonto-ID.

  2. Teilen Sie die Dienstkonto-ID und den Google Ads API-Bereich (https://www.googleapis.com/auth/adwords) mit Ihrem Domainadministrator.

    Bitten Sie den Domainadministrator, domainweite Berechtigungen an Ihr Dienstkonto zu delegieren.

  3. Wenn Sie der Domainadministrator sind, folgen Sie der Anleitung in der Hilfe.

Sie können das Dienstkonto jetzt verwenden, um mit dem OAuth2-Assertion-Workflow auf Ihr Google Ads-Konto zuzugreifen.

Konfiguration der Clientbibliothek

Wählen Sie unten die zu Ihrer Programmiersprache passende Anleitung aus, um Ihre Clientbibliothek zu konfigurieren.

Sicherheitsbedenken

Da das Dienstkonto die Delegierung auf Domainebene für Ihre Google Workspace-Domain hat, ist es wichtig, die Schlüsseldatei zu schützen, mit der ein Dienstkonto auf die Google-Dienste zugreifen kann, für die es autorisiert ist. Dies gilt insbesondere, da mit diesem Dienstkonto die Identität jedes Nutzers in der Domain übernommen werden kann.

Außerdem empfiehlt es sich, Dienstkonten nur den Zugriff auf den erforderlichen Mindestsatz von APIs zu gestatten. Dies ist eine vorbeugende Maßnahme, um die Datenmenge zu begrenzen, auf die ein Angreifer zugreifen kann, wenn die Schlüsseldatei des Dienstkontos manipuliert wurde.