Account di servizio

Questa guida illustra come accedere all'API Google Ads con gli account di servizio.

Un account di servizio è un account che appartiene alla tua app anziché a un singolo utente finale. Gli account di servizio consentono le interazioni server-to-server tra un'app web e un servizio Google. La tua app chiama le API di Google per conto dell'account di servizio, quindi gli utenti non sono direttamente coinvolti.

Gli account di servizio utilizzano un flusso OAuth2 che non richiede l'autorizzazione umana, utilizzando invece un file chiave a cui può accedere solo la tua app.

L'utilizzo di account di servizio offre due vantaggi principali:

  • L'autorizzazione per l'accesso all'API di Google viene eseguita come passaggio di configurazione, evitando così le complicazioni associate ad altri flussi OAuth2 che richiedono interazioni con l'utente.
  • Il flusso di asserzione OAuth2 consente alla tua app di rubare l'identità di altri utenti, se necessario.

Prerequisiti

  • Un dominio Google Workspace di tua proprietà, ad esempio mydomain.com o mybusiness.com.
  • Un token sviluppatore dell'API Google Ads e, facoltativamente, un account di prova.
  • La libreria client per la lingua che utilizzi.
  • Un progetto della console API di Google che è stato configurato per l'API Google Ads.
  • Un utente Google Ads con le autorizzazioni relative all'account Google Ads a cui vuoi accedere. Google Ads non supporta l'uso di account di servizio senza furto d'identità.

Configurazione dell'accesso all'account di servizio

Poiché il furto d'identità degli utenti è controllato solo a livello di dominio, per utilizzare gli account di servizio e il flusso di asserzioni con Google OAuth2 è necessario che il tuo dominio sia registrato in Google Workspace. La tua app e i suoi utenti possono quindi assumere l'identità di qualsiasi utente nel dominio.

  1. Inizia creando un account di servizio e le credenziali.

    Scarica la chiave dell'account di servizio in formato JSON e prendi nota dell'ID account di servizio.

  2. Condividi l'ID account di servizio e l'ambito dell'API Google Ads (https://www.googleapis.com/auth/adwords) con l'amministratore di dominio.

    Richiedi all'amministratore di dominio di delegare l'autorità a livello di dominio al tuo account di servizio.

  3. Se sei l'amministratore di dominio, segui le istruzioni del Centro assistenza.

Ora puoi utilizzare l'account di servizio per accedere al tuo account Google Ads con il flusso di asserzioni OAuth2.

Configurazione della libreria client

Seleziona la tua lingua di seguito per istruzioni su come configurare la libreria client.

Java

Flusso dell'account di servizio OAuth.

.NET

Flusso dell'account di servizio OAuth.

Python

Flusso dell'account di servizio OAuth.

PHP

Flusso dell'account di servizio OAuth.

Ruby

Flusso dell'account di servizio OAuth.

Perl

Flusso dell'account di servizio OAuth.

Problemi di sicurezza

Poiché l'account di servizio ha il controllo della delega a livello di dominio per il tuo dominio Google Workspace, è importante proteggere il file della chiave che consente a un account di servizio di accedere ai servizi Google per i quali è autorizzato. Questo è particolarmente vero poiché quell'account di servizio ha la capacità di impersonare qualsiasi utente nel dominio.

Un'altra buona prassi è consentire agli account di servizio di accedere solo al set minimo di API richiesto. Questa è una misura preventiva per limitare la quantità di dati a cui un utente malintenzionato può accedere se il file della chiave dell'account di servizio viene compromesso.