Flusso di lavoro di autenticazione di un singolo utente

Analogamente al flusso di lavoro dell'account di servizio, il flusso di autenticazione di un singolo utente utilizza le funzionalità di autorizzazione e gestione degli utenti offerte dall'interfaccia utente di Google Ads per concedere all'app l'accesso a tutti gli account necessari. Questo flusso di lavoro di autenticazione prevede due passaggi:

• Concedi a un singolo utente l'accesso a tutti gli account Google Ads che devono essere gestiti dall'app.
• L'utente autorizza la tua app a gestire i suoi account Google Ads per suo conto, concedendo così all'app l'accesso a tutti gli account Google Ads.

Poiché è coinvolto un solo utente, puoi utilizzare strumenti come l'interfaccia a riga di comando gcloud o l'esempio di codice GenerateUserCredential anziché creare il tuo flusso di autenticazione utente OAuth 2.0.

Un caso d'uso correlato per questo flusso di lavoro si verifica quando è possibile accedere ai tuoi account tramite un numero limitato di accessi utente (ad es. 3-4 utenti), pertanto lo sforzo di sviluppo per creare un flusso di lavoro di autenticazione utente OAuth non è giustificato rispetto allo sforzo per ottenere l'autorizzazione per 3-4 utenti utilizzando uno strumento da riga di comando come gcloud CLI.

Svantaggi

Rispetto al flusso dell'account di servizio, questo flusso presenta alcuni svantaggi:

1. Il flusso di lavoro di autenticazione utente richiede la creazione di un ID client e un secret OAuth 2.0 in Google Cloud Console, il che richiede più passaggi di configurazione rispetto alla creazione di un service account e di una chiave.
2. La tua app potrebbe dover essere sottoposta a un ulteriore processo di verifica delle app Google Cloud.
3. Se l'utente autorizzato lascia il team o l'azienda, la tua app potrebbe smettere di funzionare se rimuovi l'utente dai tuoi account o disattivi il suo account. I service account non sono collegati a singoli utenti, quindi questo rischio viene evitato.
4. L'utente che autorizza l'account Google Ads deve adottare ulteriori precauzioni, come l'attivazione dell'autenticazione a due fattori, per proteggere il proprio Account Google da compromissioni dovute a sicurezza scarsa, malware o phishing. I service account sono meno vulnerabili a questo problema in quanto alcune di queste modalità di attacco non si applicano direttamente.

Genera credenziali

1. Segui le istruzioni per configurare una schermata per il consenso OAuth per la tua applicazione e aggiungi https://www.googleapis.com/auth/adwords come ambito OAuth 2.0.

2. Crea un ID client e un client secret seguendo le istruzioni. Dopo aver creato il client OAuth 2.0, scarica il file JSON del client facendo prima clic sull'icona Scarica client OAuth e poi sul pulsante SCARICA JSON nella schermata successiva. Salva il file come credentials.json.

3. Identifica un account utente che abbia accesso a tutti gli account Google Ads che vuoi gestire utilizzando la tua app. Se ci sono account con accesso mancante, segui le istruzioni per concedere l'accesso necessario.

4. Scarica e installa gcloud CLI. Una volta installato, verifica che lo strumento funzioni correttamente eseguendo il comando gcloud version da un prompt della riga di comando. L'output potrebbe essere simile al seguente.

   :~$ gcloud version
   Google Cloud SDK 492.0.0
   alpha 2024.09.06
   beta 2024.09.06
   bq 2.1.8
   bundled-python3-unix 3.11.9
   core 2024.09.06
   enterprise-certificate-proxy 0.3.2
   gcloud-crc32c 1.0.0
   gsutil 5.30

5. Genera un token di aggiornamento OAuth 2.0 eseguendo lo strumento gcloud CLI:

   gcloud auth application-default 
   
     login --scopes=https://www.googleapis.com/auth/adwords,https://www.googleapis.com/auth/cloud-platform 
   
     --client-id-file=<path_to_credentials.json>

   Il file credentials.json è del passaggio precedente.

6. Il comando gcloud apre una finestra di accesso all'account Google in una nuova finestra del browser e ti guida attraverso i passaggi di autenticazione OAuth 2.0. Assicurati di accedere come l'utente selezionato nei passaggi precedenti. Se la tua app non è verificata, potresti visualizzare una schermata di avviso. In questi casi, puoi fare clic sul link Mostra avanzate e sull'opzione Vai a PROJECT_NAME (non verificato).

   

7. Dopo aver verificato gli ambiti, fai clic sul pulsante Continua per concedere l'autorizzazione. Il browser passa a https://cloud.google.com/sdk/auth_success, indicando che l'autenticazione è andata a buon fine. Nella pagina viene visualizzato il seguente messaggio:

   Authorization code granted. Close this tab.

   Il comando gcloud stampa il seguente messaggio:

   Credentials saved to file: [/****/.config/gcloud/application_default_credentials.json]

   Ora apri il file application_default_credentials.json. I suoi contenuti dovrebbero essere simili ai seguenti:

   {
   "account": "",
   "client_id": "******.apps.googleusercontent.com",
   "client_secret": "******",
   "refresh_token": "******",
   "type": "authorized_user",
   "universe_domain": "googleapis.com"
   }
   

Configurazione della libreria client

Seleziona la scheda corrispondente al tuo linguaggio di programmazione per istruzioni su come configurare la libreria client.

api.googleads.clientId=INSERT_CLIENT_ID_HERE
api.googleads.clientSecret=INSERT_CLIENT_SECRET_HERE
api.googleads.refreshToken=INSERT_REFRESH_TOKEN_HERE
api.googleads.loginCustomerId=INSERT_LOGIN_CUSTOMER_ID_HERE

GoogleAdsConfig config = new GoogleAdsConfig()
{
    OAuth2Mode = OAuth2Flow.APPLICATION,
    OAuth2ClientId = "INSERT_OAUTH2_CLIENT_ID",
    OAuth2ClientSecret = "INSERT_OAUTH2_CLIENT_SECRET",
    OAuth2RefreshToken = "INSERT_OAUTH2_REFRESH_TOKEN",
    ...
};
GoogleAdsClient client = new GoogleAdsClient(config);

client_id: INSERT_OAUTH2_CLIENT_ID_HERE
client_secret: INSERT_OAUTH2_CLIENT_SECRET_HERE
refresh_token: INSERT_REFRESH_TOKEN_HERE
login_customer_id: INSERT_LOGIN_CUSTOMER_ID_HERE

[GOOGLE_ADS]
loginCustomerId = "INSERT_LOGIN_CUSTOMER_ID_HERE"

[OAUTH2]
clientId = "INSERT_OAUTH2_CLIENT_ID_HERE"
clientSecret = "INSERT_OAUTH2_CLIENT_SECRET_HERE"
refreshToken = "INSERT_OAUTH2_REFRESH_TOKEN_HERE"

  Google::Ads::GoogleAds::Config.new do |c|
     c.client_id = 'INSERT_CLIENT_ID_HERE'
     c.client_secret = 'INSERT_CLIENT_SECRET_HERE'
     c.refresh_token = 'INSERT_REFRESH_TOKEN_HERE'
     c.developer_token = 'INSERT_DEVELOPER_TOKEN_HERE'
     c.login_customer_id = 'INSERT_LOGIN_CUSTOMER_ID_HERE'
  end

 clientId=INSERT_OAUTH2_CLIENT_ID_HERE
 clientSecret=INSERT_OAUTH2_CLIENT_SECRET_HERE
 refreshToken=INSERT_OAUTH2_REFRESH_TOKEN_HERE
 loginCustomerId=INSERT_LOGIN_CUSTOMER_ID_HERE
 

curl \
  --data "grant_type=refresh_token" \
  --data "client_id=CLIENT_ID" \
  --data "client_secret=CLIENT_SECRET" \
  --data "refresh_token=REFRESH_TOKEN" \
  https://www.googleapis.com/oauth2/v3/token

curl -i -X POST https://googleads.googleapis.com/v21/customers/CUSTOMER_ID/googleAds:searchStream \
   -H "Content-Type: application/json" \
   -H "Authorization: Bearer ACCESS_TOKEN" \
   -H "developer-token: DEVELOPER_TOKEN" \
   -H "login-customer-id: LOGIN_CUSTOMER_ID" \
   --data-binary "@query.json"

{
  "query": "SELECT campaign.id, campaign.name, campaign.network_settings.target_content_network FROM campaign ORDER BY campaign.id"
}