Google Cloud プロジェクトと Device Access プロジェクトが作成されたら、SDM API 用に、サポートされている Google Nest デバイスで Google アカウントを承認できます。
アカウントをリンクする
構造とデバイスを表示するには、PCM を使用して Google アカウントをDevice Access プロジェクトにリンクする必要があります。PCM を使用すると、 user は developerが構造とデバイスデータにアクセスできるように権限を付与できます。
このガイドでは、 user と developerの両方として機能します。
ウェブブラウザで次のリンクを開き、次の値を置き換えます。
- project-id は、 Device Access Project ID に置き換えます。
- oauth2-client-id は、Google Cloud 認証情報の OAuth2 クライアント ID に置き換えます。
https://nestservices.google.com/partnerconnections/project-id/auth?
redirect_uri=https://www.google.com& access_type=offline& prompt=consent& client_id=oauth2-client-id& response_type=code& scope=https://www.googleapis.com/auth/sdm.service - 最近複数のアカウントで Google にログインした場合は、Google アカウントのリストが表示された [アカウントを選択] 画面が表示されることがあります。ある場合は、承認するデバイスに関連付けられている Google アカウントを選択します。 Device Access
- [Google Nest の権限] 画面は PCM 自体です。ここでは、構造とデバイスの権限を付与できます。家(ステップ 1)と、その家にある SDM API でサポートされているデバイス(ステップ 2)の権限をオンにして、[次へ] をクリックします。
- [Choose an account to continue to Project Name] 画面(Project Name は Google Cloud プロジェクトの名前)で、SDM API に対して承認する Google アカウントを選択します。以前に使用したものと同じ Google アカウントを使用します。
- アカウントを選択すると、Google はこのアプリを検証していませんという警告画面が表示されることがあります。その場合は、続行するには [詳細] オプションをクリックし、[プロジェクト名 に移動(安全でない)] をクリックします。詳しくは、このアプリは Google で確認されていませんをご覧ください。
- [プロジェクト名 に権限を付与] 画面で、[許可] をクリックして、プロジェクトに Google アカウントへのアクセス権を付与します。
- [選択内容を確認] 画面で、付与する権限がオンになっていることを確認し、[許可] をクリックして確定します。
https://www.google.com にリダイレクトされます。認証コードは URL の
codeパラメータとして返されます。このパラメータの形式は次のとおりです。https://www.google.com?code=authorization-code&
scope=https://www.googleapis.com/auth/sdm.service - 認証コードをコピーします。
アクセス トークンを取得する
認証コードを使用してアクセス トークンを取得します。このトークンは、SDM API の呼び出しに使用できます。
ターミナルを開き、次の
curlコマンドを実行します。- oauth2-client-id と oauth2-client-secret は、Google Cloud 認証情報の OAuth2 クライアント ID とクライアント シークレットに置き換えます。
- authorization-code は、前の手順で受け取ったコードに置き換えます。
curl -L -X POST 'https://www.googleapis.com/oauth2/v4/token?client_id=oauth2-client-id& client_secret=oauth2-client-secret& code=authorization-code& grant_type=authorization_code& redirect_uri=https://www.google.com' Google OAuth は、アクセス トークンと更新トークンの 2 つのトークンを返します。
{
デバイスリスト呼び出しを行う
新しいアクセス トークンを使用して最初の devices.list 呼び出しを行うまで、承認は完了しません。この最初の呼び出しにより、承認プロセスが完了し、Pub/Sub サブスクリプションがすでに設定されている場合はイベントが有効になります。
curl を使用して、devices エンドポイントに対して次の呼び出しを行います。
curl -X GET 'https://smartdevicemanagement.googleapis.com/v1/enterprises/project-id/devices' \
-H 'Content-Type: application/json' \
-H 'Authorization: Bearer access-token'呼び出しが成功すると、 Device Accessプロジェクトにリンクされているデバイスのリストが返されます。各デバイスには、使用可能なトレイトの独自のリストがあります。
{
"devices": [
{
"name": "enterprises/project-id/devices/device-id",
"type": "sdm.devices.types.device-type",
"traits": { ... },
"parentRelations": [
{
"parent": "enterprises/project-id/structures/structure-id/rooms/room-id",
"displayName": "device-room-name"
}
]
}
]
}更新トークンの使用方法
Google OAuth から返される expires_in パラメータに記載されているように、SDM API のアクセス トークンの有効期間は 1 時間のみです。アクセス トークンの有効期限が切れた場合は、更新トークンを使用して新しいトークンを取得します。
このコマンドはアクセス トークンのコマンドに似ていますが、使用する grant_type が異なります。
ターミナルを開き、次の
curlコマンドを実行します。- oauth2-client-id と oauth2-client-secret は、Google Cloud 認証情報の OAuth2 クライアント ID とクライアント シークレットに置き換えます。
- refresh-token は、アクセス トークンを最初に取得したときに受け取ったコードに置き換えます。
curl -L -X POST 'https://www.googleapis.com/oauth2/v4/token?client_id=oauth2-client-id& client_secret=oauth2-client-secret& refresh_token=refresh-token& grant_type=refresh_token' Google OAuth から新しいアクセス トークンが返されます。
{
トラブルシューティング
Google OAuth の詳細については、OAuth 2.0 を使用した Google API へのアクセスをご覧ください。
更新トークンが期限切れになる
クライアント ID が承認されていない場合、更新トークンは 7 日後に機能しなくなる可能性があります。7 日間のトークンの有効期限は、商用または Sandbox の承認とは関係ありません。トークンの有効期間を延長するには、サービス アカウントまたはユーザー アカウントの OAuth 2.0 クライアント ID を承認し、本番環境に導入する必要があります。詳細については、更新トークンの有効期限をご覧ください。
アクセスが拒否されました
Google Cloud で OAuth 同意画面を設定し、ユーザータイプが外部の場合、アプリのテストユーザーとしてリストにない Google アカウントでアカウント リンクを試みると、「アクセスが拒否されました」というエラーが表示されます。Google アカウントは、OAuth 同意画面の [テストユーザー] セクションに追加してください。
パートナー コネクション マネージャー(PCM)エラー
PCM へのアクセス時に発生したエラーについては、Partner Connections Manager(PCM)エラー リファレンスをご覧ください。
このアプリは Google で確認されていません
SDM API は制限付きスコープを使用します。つまり、認可中にこのスコープを使用するアプリは、OAuth API の確認が完了しない限り、「未確認」になります。個人で使用する場合は、OAuth API の確認は必要ありません。 Device Access
承認プロセス中に「Google はこのアプリを検証していません」という画面が表示されることがあります。これは、Google Cloud の OAuth 同意画面で sdm.service スコープが構成されていない場合に表示されます。この画面をバイパスするには、[詳細設定] オプションをクリックし、[プロジェクト名(安全ではない)に移動] をクリックします。
詳しくは、未確認のアプリ画面をご覧ください。
クライアントが無効です
アクセス トークンまたは更新トークンを取得しようとしたときに、OAuth 2.0 クライアント シークレットが正しくないと、「無効なクライアント」エラーが発生します。アクセス トークンと更新トークンの呼び出しで使用している client_secret 値が、Google Cloud 認証情報ページに表示されている OAuth 2.0 クライアント ID の値であることを確認します。
無効なリクエストです。必須のスコープがありません
PCM で権限を付与した後、「必須パラメータが不足しています: scope」という「無効なリクエスト」エラーが発生することがあります。認可呼び出しで使用している scope 値が、Google Cloud 認証情報ページで確認できる OAuth 2.0 クライアントに設定した値と一致していることを確認します。
リダイレクト URI の不一致
認証を行うと、「Redirect uri mismatch(リダイレクト URI の不一致)」というエラーが発生することがあります。認可呼び出しで使用している redirect_uri 値が、Google Cloud 認証情報ページで確認できる OAuth 2.0 クライアントに設定した値と一致していることを確認します。
アカウントの権限を変更する
プロジェクトに付与された権限を変更するか、完全に切断するには、PCM に移動します。 Device Access
https://nestservices.google.com/partnerconnections
このページには、アカウントに接続されているすべてのサードパーティ デベロッパー サービス(Device Access プロジェクト)が表示されます。変更する Device Access プロジェクトを選択します。次の画面で、必要に応じて権限を変更します。
承認済みサービスの特定の権限のみを取り消すには、取り消す権限を切り替えて、戻る矢印をクリックして保存します。
承認済みサービスを完全に切断するには、[Google アカウントのリンクを解除] をクリックして、プロジェクトにアカウントに対して付与されているすべての権限とアクセス トークンを取り消します。
PCM に目的のサービスが表示されない場合は、まずデバイスリスト呼び出しを行う必要があります。
クイック リファレンス
このリファレンスを使用して、user を承認し、Google アカウントをリンクする手順をすばやく実装します。
このクイック リファレンスを使用するには、コードサンプルの各プレースホルダ変数を、特定の統合の値に編集し、必要に応じてコピーして貼り付けます。
1 PCM
ウェブブラウザで次のリンクを開き、次の値を置き換えます。
- project-id は、 Device Access Project ID に置き換えます。
- oauth2-client-id は、Google Cloud 認証情報の OAuth2 クライアント ID に置き換えます。
https://nestservices.google.com/partnerconnections/project-id/auth?redirect_uri=https://www.google.com& access_type=offline& prompt=consent& client_id=oauth2-client-id& response_type=code& scope=https://www.googleapis.com/auth/sdm.service
2 認証コード
https://www.google.com にリダイレクトされます。認証コードは URL の code パラメータとして返されます。このパラメータの形式は次のとおりです。
https://www.google.com?code=authorization-code&scope=https://www.googleapis.com/auth/sdm.service
3 アクセス トークン
認証コードを使用してアクセス トークンを取得します。このトークンは、SDM API の呼び出しに使用できます。
ターミナルを開き、次の curl コマンドを実行します。
- oauth2-client-id と oauth2-client-secret は、Google Cloud 認証情報の OAuth2 クライアント ID とクライアント シークレットに置き換えます。
- authorization-code は、前の手順で受け取ったコードに置き換えます。
Google OAuth は、アクセス トークンと更新トークンの 2 つのトークンを返します。
リクエスト
curl -L -X POST 'https://www.googleapis.com/oauth2/v4/token?client_id=oauth2-client-id&client_secret=oauth2-client-secret&code=authorization-code&grant_type=authorization_code&redirect_uri=https://www.google.com' レスポンス
{
"access_token": "access-token",
"expires_in": 3599,
"refresh_token": "refresh-token",
"scope": "https://www.googleapis.com/auth/sdm.service",
"token_type": "Bearer"
}4 API 呼び出し
新しいアクセス トークンを使用して最初の devices.list 呼び出しを行うまで、承認は完了しません。この最初の呼び出しにより、承認プロセスが完了し、Pub/Sub サブスクリプションがすでに設定されている場合はイベントが有効になります。
指定されたスコープにリストされている API 呼び出しのいずれかを使用して、認可を完了する必要があります。
sdm.service
デバイス
詳しくは、devices.list API リファレンスをご覧ください。
curl -X GET 'https://smartdevicemanagement.googleapis.com/v1/enterprises/project-id/devices' \
-H 'Content-Type: application/json' \
-H 'Authorization: Bearer access-token'5 更新トークン
Google OAuth から返される expires_in パラメータに記載されているように、SDM API のアクセス トークンの有効期間は 1 時間のみです。アクセス トークンの有効期限が切れた場合は、更新トークンを使用して新しいトークンを取得します。
ターミナルを開き、次の curl コマンドを実行します。
- oauth2-client-id と oauth2-client-secret は、Google Cloud 認証情報の OAuth2 クライアント ID とクライアント シークレットに置き換えます。
- refresh-token は、アクセス トークンを最初に取得したときに受け取ったコードに置き換えます。
Google OAuth から新しいアクセス トークンが返されます。
リクエスト
curl -L -X POST 'https://www.googleapis.com/oauth2/v4/token?client_id=oauth2-client-id&client_secret=oauth2-client-secret&refresh_token=refresh-token&grant_type=refresh_token' レスポンス
{
"access_token": "new-access-token",
"expires_in": 3599,
"scope": "https://www.googleapis.com/auth/sdm.service",
"token_type": "Bearer"
}