Diese Seite wurde von der Cloud Translation API übersetzt.

Informationen zur Authentifizierung und Autorisierung

Authentifizierung und Autorisierung sind Verfahren zur Überprüfung der Identität bzw. des Zugriffs auf Ressourcen. In diesem Dokument werden wichtige Begriffe beschrieben, die Sie kennen sollten, bevor Sie die Authentifizierung und Autorisierung in Ihrer Anwendung implementieren.

Bei der Authentifizierung wird angegeben, wer die Anfrage stellt. Die Autorisierung gibt an, auf welche Ressourcen der Antragsteller zugreifen kann und welche Zugriffsebene er hat. Die Authentifizierung ist eine Voraussetzung für die Autorisierung. Damit Sie die Ressourcen ermitteln können, auf die Sie zugreifen möchten, müssen Sie zuerst die Identität des Anfragenden ermitteln. Eine ausführlichere Definition finden Sie im Abschnitt Wichtige Terminologie.

Hier sehen Sie ein vereinfachtes Beispiel für eine Hotelreservierung. Wenn Sie im Hotel ankommen, fordert der Mitarbeiter an der Rezeption Ihren Ausweis auf, um Ihre Reservierung zu bestätigen. Mit Ihrem Ausweis werden Sie im Hotel authentifiziert. An der Rezeption erhalten Sie einen Hotelschlüssel. Mit diesem Schlüssel erhalten Sie Zugriff auf bestimmte Ressourcen im Hotel, z. B. Ihr Hotelzimmer, den Fitnessraum und das Business Center. Der Hotelschlüssel erlaubt Ihnen, auf diese Ressourcen zuzugreifen.

Prozessübersicht

Das folgende Diagramm zeigt die allgemeinen Schritte zur Authentifizierung und Autorisierung für Google Workspace APIs:

**Abbildung 1.** Allgemeine Schritte zur Authentifizierung und Autorisierungsimplementierung

Google Cloud-Projekt und -Anwendung konfigurieren:Während der Entwicklung registrieren Sie die Anwendung in der Google Cloud Console und definieren Autorisierungsbereiche sowie Zugriffsberechtigungen, um die Anwendung mit einem API-Schlüssel, Endnutzer-Anmeldedaten oder Dienstkonto-Anmeldedaten zu authentifizieren.
App für den Zugriff authentifizieren:Wenn Ihre Anwendung ausgeführt wird, werden die registrierten Zugriffsdaten ausgewertet. Wenn sich Ihre App als Endnutzer authentifiziert, wird möglicherweise eine Anmeldeaufforderung angezeigt.
Ressourcen anfordern:Wenn Ihre Anwendung Zugriff auf Google-Ressourcen benötigt, wird Google mithilfe der relevanten Zugriffsbereiche angefordert, die Sie zuvor registriert haben.
Um Nutzereinwilligung bitten:Wenn sich Ihre App als Endnutzer authentifiziert, zeigt Google den OAuth-Zustimmungsbildschirm an, damit der Nutzer entscheiden kann, ob er der App Zugriff auf die angeforderten Daten gewährt.
Genehmigte Anfrage für Ressourcen senden: Wenn der Nutzer den Zugriffsbereichen zustimmt, bündelt Ihre Anwendung die Anmeldedaten und die vom Nutzer genehmigten Zugriffsbereiche in einer Anfrage. Die Anfrage wird an den Google-Autorisierungsserver gesendet, um ein Zugriffstoken abzurufen.
Google gibt ein Zugriffstoken zurück: Das Zugriffstoken enthält eine Liste der gewährten Zugriffsbereiche. Wenn die zurückgegebene Liste von Bereichen stärker eingeschränkt ist als die angeforderten Zugriffsbereiche, deaktiviert Ihre Anwendung alle durch das Token eingeschränkten Features.
Zugriff auf angeforderte Ressourcen: Ihre Anwendung verwendet das Zugriffstoken von Google, um die relevanten APIs aufzurufen und auf die Ressourcen zuzugreifen.
Aktualisierungstoken abrufen (optional): Wenn die Anwendung über die Lebensdauer eines einzelnen Zugriffstokens hinaus Zugriff auf eine Google API benötigt, kann ein Aktualisierungstoken abgerufen werden.
Weitere Ressourcen anfordern: Wenn zusätzlicher Zugriff benötigt wird, fordert der Nutzer den Nutzer auf, neue Zugriffsbereiche zu gewähren. Dies führt zu einer neuen Anfrage zum Abrufen eines Zugriffstokens (Schritte 3–6).

Wichtige Terminologie

Im Folgenden finden Sie eine Liste von Begriffen im Zusammenhang mit Authentifizierung und Autorisierung:

Authentifizierung

Durch ein Hauptkonto, das ein Nutzer oder eine App sein kann, der im Namen eines Nutzers handelt, wird die Person genannt, die dieser Nutzer ist. Beim Schreiben von Google Workspace-Apps sollten Sie mit diesen Authentifizierungstypen vertraut sein:

Nutzerauthentifizierung: Die Authentifizierung eines Nutzers bei deiner App. Die Nutzerauthentifizierung erfolgt in der Regel durch einen Anmeldevorgang, bei dem der Nutzer eine Kombination aus Nutzername und Passwort verwendet, um seine Identität bei der App zu bestätigen. Die Authentifizierung kann über Über Google anmelden in einer App erfolgen.
App-Authentifizierung: Die Authentifizierung einer App, die sich direkt im Namen des Nutzers, der die App ausführt, bei Google-Diensten authentifiziert. Die App-Authentifizierung erfolgt in der Regel mit vordefinierten Anmeldedaten im Code Ihrer App.

Autorisierung

Die Berechtigungen oder die „Berechtigung“ des Hauptkontos, um auf Daten zuzugreifen oder Vorgänge auszuführen. Die Autorisierung erfolgt über einen Code, den Sie in Ihrer App schreiben. Mit diesem Code wird der Nutzer darüber informiert, dass die App in seinem Namen handeln möchte. Sofern verfügbar, werden dabei die eindeutigen Anmeldedaten Ihrer App verwendet, um ein Zugriffstoken von Google für den Datenzugriff oder zum Ausführen von Vorgängen zu erhalten.

Anmeldedaten

Eine Form der Identifizierung, die für die Softwaresicherheit verwendet wird. Bei der Authentifizierung handelt es sich häufig um eine Kombination aus Nutzername und Passwort. Bei der Autorisierung für Google Workspace APIs handelt es sich in der Regel um eine Kennung, z. B. einen eindeutigen geheimen String, der nur zwischen dem App-Entwickler und dem Authentifizierungsserver bekannt ist. Google unterstützt die folgenden Authentifizierungsdaten: API-Schlüssel, OAuth 2.0-Client-ID und Dienstkonten.

API-Schlüssel: Die Anmeldedaten, mit denen der Zugriff auf öffentliche Daten angefordert wird, z. B. Daten, die über die Maps API oder Google Workspace-Dateien bereitgestellt und über die Einstellung „Jeder im Internet mit diesem Link“ in den Freigabeeinstellungen von Google Workspace freigegeben wurden.
OAuth 2-Client-ID: Anmeldedaten, die verwendet werden, um Zugriff auf nutzereigene Daten anzufordern Dies sind die primären Anmeldedaten, die verwendet werden, wenn mit Google Workspace APIs Zugriff auf Daten angefordert wird. Für diese Anmeldedaten ist die Nutzereinwilligung erforderlich.
Clientschlüssel: Eine Zeichenfolge, die nur von Ihrer Anwendung und dem Autorisierungsserver bekannt sein sollte. Der Clientschlüssel schützt die Daten des Nutzers, indem er nur autorisierten Antragstellern Tokens zuweist. Sie sollten den Clientschlüssel nie in Ihre Anwendung aufnehmen.
Dienstkontoschlüssel: Wird von Dienstkonten verwendet, um eine Autorisierung für einen Google-Dienst zu erhalten
Dienstkonto: Anmeldedaten, die für Server-zu-Server-Interaktionen verwendet werden. Dabei kann es sich um eine Anwendung ohne Gesicht handeln, die als Prozess für den Zugriff auf einige Daten oder für bestimmte Vorgänge dient. Dienstkonten werden in der Regel für den Zugriff auf cloudbasierte Daten und Vorgänge verwendet. Wenn sie jedoch mit der domainweiten Delegierung von Befugnissen verwendet werden, können sie für den Zugriff auf Nutzerdaten verwendet werden.

Scope (Bereich)

Ein OAuth 2.0-URI-String, der eine Zugriffsebene auf Ressourcen oder Aktionen definiert, die einer App gewährt werden. Bei Google Workspace enthalten Autorisierungs-URIs den URI der Google Workspace-App, auf welche Daten zugegriffen wird und welche Zugriffsebene verwendet wird. Nutzer Ihrer App können die angeforderten Bereiche überprüfen und auswählen, welcher Zugriff gewährt werden soll. Der Authentifizierungsserver von Google gibt dann in einem Zugriffstoken die zulässigen Bereiche an Ihre Anwendung zurück. Weitere Informationen finden Sie unter Bereiche für Ihre Anwendung auswählen.

Autorisierungsserver

Der Google-Server, um mit einem Zugriffstoken Zugriff auf die angeforderten Daten und Vorgänge einer Anwendung zu gewähren.

Autorisierungscode

Ein Code, der vom Autorisierungsserver gesendet wird, um ein Zugriffstoken abzurufen. Ein Code ist nur erforderlich, wenn Ihr Anwendungstyp eine Webserver-App oder eine installierte Anwendung ist.

Zugriffstoken

Ein Token, das Zugriff auf eine Google Workspace API gewährt. Ein einzelnes Zugriffstoken kann den Zugriff auf mehrere APIs in unterschiedlichen Graden, auch als Bereiche bezeichnet, gewähren. Der Autorisierungscode Ihrer App fordert Zugriffstokens an und verwendet diese zum Aufrufen von Google Workspace APIs.

Ressourcenserver

Der Server, auf dem die API gehostet wird, die Ihre App aufrufen möchte.

OAuth 2.0-Framework

Ein Standard, mit dem Ihre App „sicher delegierten Zugriff“ oder Zugriff auf Daten und Vorgänge im Namen des App-Nutzers gewähren kann. Die Authentifizierungs- und Autorisierungsmechanismen, die Sie in Ihrer App verwenden, stellen Ihre Implementierung des OAuth 2.0-Frameworks dar.

Hauptkonto

Eine Entität, auch als Identität bezeichnet, die Zugriff auf eine Ressource erhalten kann. Google Workspace APIs unterstützen zwei Arten von Hauptkonten: Nutzerkonten und Dienstkonten. Weitere Informationen finden Sie unter Hauptkonten.

Datentyp

Bei der Authentifizierung und Autorisierung bezieht sich der Datentyp auf die Entität, die Eigentümer der Daten ist, auf die die Anwendung zugreifen möchte. Es gibt drei Datentypen:

Urheberrechtsfreie Daten („Public Domain“): Daten, auf die jeder zugreifen kann, z. B. bestimmte Daten von Google Maps Der Zugriff auf diese Daten erfolgt in der Regel über einen API-Schlüssel.
Endnutzerdaten: Daten, die zu einem bestimmten Endnutzer oder einer bestimmten Gruppe gehören, z. B. Google Drive-Dateien eines bestimmten Nutzers. Auf diesen Datentyp wird normalerweise über eine OAuth 2-Client-ID oder ein Dienstkonto zugegriffen.
Cloud-Daten: Daten, die einem Google Cloud-Projekt gehören. Auf diesen Datentyp wird normalerweise ein Dienstkonto zugegriffen.

Nutzereinwilligung

Ein Autorisierungsschritt, der erfordert, dass der Nutzer Ihrer App die App autorisiert, im Namen des Nutzers auf Daten zuzugreifen und Aktionen auszuführen.

Anwendungstyp

Der Typ der App, die Sie erstellen möchten. Wenn Sie Anmeldedaten mit der Google Cloud Console erstellen, werden Sie aufgefordert, Ihren Anwendungstyp auszuwählen. Zu den Anwendungstypen gehören: Webanwendung (JavaScript), Android, Chrome-App, iOS, Fernseher und eingeschränkte Eingabegeräte, Desktop-Apps (auch „installierte App“ genannt) und Universal Windows Platform (UWP).

Dienstkonto

Ein besonderer Google-Kontotyp, der einen nicht menschlichen Nutzer repräsentiert. Er muss sich authentifizieren und für den Zugriff auf Daten autorisiert werden. Ihre Anwendung übernimmt die Identität des Dienstkontos, um Google APIs aufzurufen, damit die Nutzer nicht direkt beteiligt sind. Dienstkonten können nicht für den Zugriff auf Nutzerdaten verwendet werden. Daten, auf die normalerweise über Workspace APIs zugegriffen wird. Ein Dienstkonto kann jedoch auf Nutzerdaten zugreifen, wenn die domainweite Delegierung von Befugnissen implementiert wird. Weitere Informationen finden Sie unter Informationen zu Dienstkonten.

Domainweite Delegierung von Befugnissen

Eine Verwaltungsfunktion, die einer App Zugriff auf Nutzerdaten im Namen von Nutzern in der Google Workspace-Organisation gewähren kann. Mit einer domainweiten Delegierung können Administratoraufgaben für Nutzerdaten ausgeführt werden. Zur Delegierung von Berechtigungen verwenden Google Workspace-Administratoren Dienstkonten mit OAuth 2.0. Aufgrund dieser Funktion können Super Admins die domainweite Delegierung von Befugnissen aktivieren. Weitere Informationen finden Sie unter Domainweite Autorisierung an ein Dienstkonto delegieren.

Weitere Informationen

Konfigurieren Sie den OAuth-Zustimmungsbildschirm der Anwendung, damit Nutzer den Zugriff der App auf ihre Daten nachvollziehen und genehmigen können.