Tài khoản dịch vụ

Hướng dẫn này thảo luận cách truy cập vào API Google Ads bằng tài khoản dịch vụ.

Tài khoản dịch vụ là tài khoản thuộc về ứng dụng của bạn chứ không phải của một người dùng cuối cá nhân. Tài khoản dịch vụ cho phép các hoạt động tương tác từ máy chủ đến máy chủ giữa một ứng dụng web và một dịch vụ của Google. Ứng dụng của bạn gọi các API của Google thay mặt cho tài khoản dịch vụ, do đó, người dùng sẽ không trực tiếp tham gia.

Tài khoản dịch vụ triển khai luồng OAuth2 không yêu cầu sự cho phép của con người mà thay vào đó, sử dụng tệp khoá mà chỉ ứng dụng của bạn mới có thể truy cập.

Việc sử dụng tài khoản dịch vụ mang lại hai lợi ích chính:

  • Việc uỷ quyền truy cập vào API Google được thực hiện ở dạng một bước định cấu hình, do đó, giúp tránh các chức năng liên quan đến các luồng OAuth2 khác đòi hỏi phải tương tác của người dùng.
  • Quy trình xác nhận OAuth2 cho phép ứng dụng của bạn mạo danh người dùng khác nếu cần.

Điều kiện tiên quyết

  • Miền Google Workspace mà bạn sở hữu, chẳng hạn như mydomain.com hoặc mybusiness.com.
  • Mã của nhà phát triển API Google Ads và một tài khoản thử nghiệm (không bắt buộc).
  • Thư viện ứng dụng cho ngôn ngữ bạn đang sử dụng.
  • Một dự án trên Bảng điều khiển API của Google đã được định cấu hình cho API Google Ads.
  • Người dùng Google Ads có quyền đối với tài khoản Google Ads mà bạn muốn truy cập. Google Ads không hỗ trợ sử dụng tài khoản dịch vụ không có hành vi mạo danh.

Thiết lập quyền truy cập vào tài khoản dịch vụ

Vì hành vi mạo danh người dùng chỉ được kiểm soát ở cấp miền, nên việc sử dụng tài khoản dịch vụ và quy trình xác nhận trong Google OAuth2 yêu cầu bạn phải đăng ký miền riêng với Google Workspace. Khi đó, ứng dụng của bạn và người dùng ứng dụng có thể mạo danh bất kỳ người dùng nào trong miền.

  1. Hãy bắt đầu bằng cách tạo tài khoản dịch vụ và thông tin đăng nhập.

    Tải khoá tài khoản dịch vụ xuống ở định dạng JSON và ghi lại mã tài khoản dịch vụ.

  2. Hãy chia sẻ mã tài khoản dịch vụ và phạm vi của API Google Ads (https://www.googleapis.com/auth/adwords) với quản trị viên miền của bạn.

    Yêu cầu quản trị viên miền uỷ quyền trên toàn miền cho tài khoản dịch vụ của bạn.

  3. Nếu bạn là quản trị viên miền, hãy hoàn thành hướng dẫn trong trung tâm trợ giúp.

Bạn hiện có thể sử dụng tài khoản dịch vụ để truy cập vào tài khoản Google Ads của mình bằng quy trình xác nhận OAuth2.

Cấu hình thư viện ứng dụng

Chọn ngôn ngữ của bạn bên dưới để xem hướng dẫn định cấu hình thư viện ứng dụng.

Các mối lo ngại về bảo mật

Vì tài khoản dịch vụ có quyền kiểm soát uỷ quyền ở cấp miền cho miền Google Workspace của bạn, nên bạn cần phải bảo vệ tệp khoá để cho phép tài khoản dịch vụ truy cập vào những dịch vụ của Google mà tài khoản đó được cấp quyền. Điều này đặc biệt đúng vì tài khoản dịch vụ đó có khả năng mạo danh bất kỳ người dùng nào trong miền.

Một phương pháp hay khác là chỉ cho phép tài khoản dịch vụ truy cập vào bộ API tối thiểu bắt buộc. Đây là biện pháp giành quyền trước nhằm hạn chế lượng dữ liệu mà kẻ tấn công có thể truy cập nếu tệp khoá của tài khoản dịch vụ bị xâm phạm.