יצירת פרטי כניסה לגישה

פרטי הכניסה משמשים לקבלת אסימון גישה משרתי ההרשאות של Google, כדי שהאפליקציה תוכל לקרוא לממשקי ה-API של Google Workspace. במדריך הזה נסביר איך לבחור ולהגדיר את פרטי הכניסה שנדרשים לאפליקציה.

להגדרות של המונחים שמופיעים בדף הזה, ראו סקירה כללית על אימות והרשאות.

בחירת פרטי הכניסה שמתאימים לך

פרטי הכניסה הנדרשים תלויים בסוג הנתונים, בפלטפורמה ובמתודולוגיית הגישה של האפליקציה. יש שלושה סוגים של פרטי כניסה:

תרחיש לדוגמה שיטת אימות מידע על שיטת האימות הזו
גישה לנתונים הזמינים לציבור באופן אנונימי באפליקציה שלך. מפתחות API לפני שמשתמשים בשיטת האימות הזו, צריך לוודא שממשק ה-API שבו רוצים להשתמש תומך במפתחות API.
לגשת לנתוני משתמשים, כמו כתובת אימייל או גיל. מזהה לקוח OAuth כדי לעשות את זה, האפליקציה צריכה לבקש הסכמה מהמשתמש הזה ולקבל אותה.
גישה לנתונים ששייכים לאפליקציה שלכם או גישה למשאבים מטעם משתמשי Google Workspace או Cloud Identity באמצעות הענקת גישה ברמת הדומיין חשבון שירות כשאפליקציה מבצעת אימות כחשבון שירות, יש לה גישה לכל המשאבים שחשבון השירות מורשה לגשת אליהם.

פרטי הכניסה של מפתח API

מפתח API הוא מחרוזת ארוכה שמכילה אותיות רישיות וקטנות, מספרים, קווים תחתונים ומקפים, כמו AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. שיטת האימות הזו משמשת לגישה אנונימית לנתונים שזמינים באופן ציבורי, כמו קבצים של Google Workspace ששותפו באמצעות הגדרת השיתוף 'כל אחד באינטרנט באמצעות הקישור הזה'. תוכלו לקרוא פרטים נוספים במאמר שימוש במפתחות API.

כך יוצרים מפתח API:

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create credentials > API key.
  3. מפתח ה-API החדש מוצג.
    • לוחצים על סמל ההעתקה כדי להעתיק את מפתח ה-API ולהשתמש בו בקוד של האפליקציה. אפשר למצוא את מפתח ה-API גם בקטע API Keys (מפתחות API) של פרטי הכניסה לפרויקט.
    • לוחצים על Restrict key כדי לעדכן הגדרות מתקדמות ולהגביל את השימוש במפתח ה-API. פרטים נוספים זמינים במאמר החלת הגבלות על מפתחות API.

פרטי כניסה למזהה הלקוח ב-OAuth

כדי לאמת משתמשי קצה ולגשת לנתוני המשתמשים באפליקציה, צריך ליצור מזהה לקוח אחד או יותר של OAuth 2.0. מזהה הלקוח משמש לזיהוי אפליקציה יחידה לשרתי OAuth של Google. אם האפליקציה פועלת בכמה פלטפורמות, צריך ליצור מזהה לקוח נפרד לכל פלטפורמה.

לקבלת הוראות ספציפיות ליצירת מזהה לקוח OAuth, בחרו את סוג האפליקציה:

אפליקציית אינטרנט

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לוחצים על Application type (סוג האפליקציה) > Web application (אפליקציית אינטרנט).
  4. בשדה שם, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. מוסיפים מזהי URI מורשים שקשורים לאפליקציה:
    • אפליקציות בצד הלקוח (JavaScript) – בקטע מקורות JavaScript מורשים, לוחצים על הוספת URI. לאחר מכן מזינים URI שישמש לבקשות דפדפן. מזהה את הדומיינים שמהם האפליקציה שלך יכולה לשלוח בקשות API לשרת OAuth 2.0.
    • אפליקציות בצד השרת (Java, Python ועוד) – בקטע Authorized redirect URIs (אפליקציות בצד השרת, Java, Python ועוד) – לוחצים על Add URI (הוספת URI). לאחר מכן מזינים URI של נקודת קצה שאליה שרת OAuth 2.0 יכול לשלוח תגובות.
  6. לוחצים על Create. מופיע המסך של לקוח OAuth שנוצר, ומוצגים בו מזהה הלקוח וסוד הלקוח החדשים.

    יש לציין את מזהה הלקוח. סודות לקוח לא משמשים לאפליקציות אינטרנט.

  7. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו מופיעים בקטע מזהי לקוח ב-OAuth 2.0.

Android

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לחץ על סוג האפליקציה > Android.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'שם החבילה', מזינים את שם החבילה מהקובץ AndroidManifest.xml.
  6. בשדה 'טביעת אצבע לאישור SHA-1', מזינים את טביעת האצבע לאישור SHA-1 שנוצרה.
  7. לוחצים על Create. מופיע מסך הלקוח שנוצר באמצעות לקוח OAuth, ומוצג בו מזהה הלקוח החדש.
  8. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו מופיעים בקטע 'מזהי לקוח ב-OAuth 2.0'.

iOS

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לוחצים על סוג האפליקציה > iOS.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה חבילה', מזינים את מזהה החבילה כפי שמופיע בקובץ Info.plist של האפליקציה.
  6. אופציונלי: אם האפליקציה מופיעה ב-Apple App Store, מזינים את המזהה שלה ב-App Store.
  7. אופציונלי: בשדה 'מזהה צוות' מזינים את המחרוזת הייחודית בת 10 תווים שנוצרה על ידי Apple ומוקצית לצוות שלכם.
  8. לוחצים על Create. מופיע המסך של לקוח OAuth שנוצר, ומוצגים בו מזהה הלקוח וסוד הלקוח החדשים.
  9. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו מופיעים בקטע 'מזהי לקוח ב-OAuth 2.0'.

אפליקציית Chrome

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לחץ על סוג האפליקציה > אפליקציית Chrome.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה אפליקציה', מזינים את מחרוזת המזהה הייחודית של האפליקציה, באורך 32 תווים. ערך המזהה מופיע בכתובת ה-URL של האפליקציה בחנות האינטרנט של Chrome ובמרכז השליטה למפתחים של חנות האינטרנט של Chrome.
  6. לוחצים על Create. מופיע המסך של לקוח OAuth שנוצר, ומוצגים בו מזהה הלקוח וסוד הלקוח החדשים.
  7. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו מופיעים בקטע 'מזהי לקוח ב-OAuth 2.0'.

אפליקציה לשולחן העבודה

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לוחצים על סוג האפליקציה > אפליקציה למחשב.
  4. בשדה שם, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. לוחצים על Create. מופיע המסך של לקוח OAuth שנוצר, ומוצגים בו מזהה הלקוח וסוד הלקוח החדשים.
  6. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו מופיעים בקטע מזהי לקוח ב-OAuth 2.0.

טלוויזיות והתקני קלט מוגבלים

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לוחצים על סוג האפליקציה > טלוויזיות והתקני קלט מוגבלים.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. לוחצים על Create. מופיע המסך של לקוח OAuth שנוצר, ומוצגים בו מזהה הלקוח וסוד הלקוח החדשים.
  6. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו מופיעים בקטע 'מזהי לקוח ב-OAuth 2.0'.

Universal Windows Platform (UWP)‎

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לוחצים על סוג האפליקציה > Universal Windows Platform (UWP).
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה חנות', מזינים את ערך מזהה Microsoft Store הייחודי של האפליקציה שלכם, בן 12 התווים. המזהה הזה נמצא בכתובת ה-URL של האפליקציה ב-Microsoft Store ובמרכז השותפים.
  6. לוחצים על Create. מופיע המסך של לקוח OAuth שנוצר, ומוצגים בו מזהה הלקוח וסוד הלקוח החדשים.
  7. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו מופיעים בקטע 'מזהי לקוח ב-OAuth 2.0'.

פרטי כניסה לחשבון שירות

חשבון שירות הוא סוג מיוחד של חשבון, שאפליקציה (ולא אדם) משתמשת בו. אתם יכולים להשתמש בחשבון שירות כדי לגשת לנתונים או לבצע פעולות באמצעות החשבון הרובוטי, או כדי לגשת לנתונים מטעם משתמשי Google Workspace או Cloud Identity. למידע נוסף ראו את המאמר הסבר על חשבונות שירות.

יצירה של חשבון שירות.

מסוף Google Cloud

  1. במסוף Google Cloud, נכנסים לתפריט > IAM & Admin > חשבונות שירות.

    כניסה לדף Service Accounts

  2. לוחצים על Create service account.
  3. ממלאים את פרטי חשבון השירות ולוחצים על Create and continue.
  4. אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים של הפרויקט ב-Google Cloud. לפרטים נוספים, אפשר לעיין במאמר בנושא הענקה, שינוי וביטול של הרשאות גישה למשאבים.
  5. לוחצים על Continue.
  6. אופציונלי: אפשר להזין משתמשים או קבוצות שיוכלו לנהל ולבצע פעולות באמצעות חשבון השירות הזה. פרטים נוספים זמינים במאמר ניהול התחזות לחשבון שירות.
  7. לוחצים על סיום. רושמים בצד את כתובת האימייל של חשבון השירות.

CLI של gcloud

  1. יוצרים את חשבון השירות:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים של הפרויקט ב-Google Cloud. לפרטים נוספים, אפשר לעיין במאמר בנושא הענקה, שינוי וביטול של הרשאות גישה למשאבים.

הקצאת תפקיד לחשבון שירות

עליכם להקצות לחשבון שירות תפקיד מוגדר מראש או תפקיד בהתאמה אישית על ידי חשבון סופר-אדמין.

  1. במסוף Google Admin, נכנסים לתפריט > חשבון > תפקידי אדמין.

    כניסה לתפקידי אדמין

  2. מעבירים את העכבר מעל התפקיד שרוצים להקצות ולוחצים על הקצאת אדמין.

  3. לוחצים על הקצאת חשבונות שירות.

  4. מזינים את כתובת האימייל של חשבון השירות.

  5. לוחצים על הוספה > הקצאת תפקיד.

יצירת פרטי כניסה לחשבון שירות

פרטי הכניסה צריכים להיות בפורמט של זוג מפתחות ציבורי/פרטי. הקוד שלך משתמש בפרטי הכניסה האלה כדי לאשר פעולות של חשבון שירות באפליקציה.

כדי לקבל את פרטי הכניסה לחשבון השירות:

  1. במסוף Google Cloud, נכנסים לתפריט > IAM & Admin > חשבונות שירות.

    כניסה לדף Service Accounts

  2. בוחרים את חשבון השירות.
  3. לוחצים על מפתחות > הוספת מפתח > יצירת מפתח חדש.
  4. בוחרים באפשרות JSON ולוחצים על יצירה.

    זוג המפתחות הציבורי/הפרטי החדש נוצר והורדה למחשב כקובץ חדש. שומרים את קובץ ה-JSON שהורדתם בשם credentials.json בספריית העבודה. הקובץ הזה הוא העותק היחיד של המפתח הזה. למידע נוסף על אחסון המפתח באופן מאובטח, כדאי לעיין במאמר ניהול מפתחות של חשבונות שירות.

  5. לוחצים על Close.

אופציונלי: הגדרה של הענקת גישה ברמת הדומיין לחשבון שירות

כדי להפעיל ממשקי API מטעם משתמשים בארגון ב-Google Workspace, חשבון השירות שלכם צריך לקבל הענקת סמכויות ברמת הדומיין במסוף Admin ב-Google Workspace מחשבון סופר-אדמין. למידע נוסף, ראו האצלת סמכות ברמת הדומיין לחשבון שירות.

כדי להגדיר הענקת הרשאות גישה ברמת הדומיין לחשבון שירות:

  1. במסוף Google Cloud, נכנסים לתפריט > IAM & Admin > חשבונות שירות.

    כניסה לדף Service Accounts

  2. בוחרים את חשבון השירות.
  3. לוחצים על הצגת הגדרות מתקדמות.
  4. בקטע 'הענקת גישה ברמת הדומיין', מאתרים את 'מספר הלקוח' של חשבון השירות. צריך ללחוץ על 'העתקה' כדי להעתיק את הערך של מזהה הלקוח ללוח.
  5. אם יש לכם הרשאת סופר-אדמין בחשבון Google Workspace הרלוונטי, לוחצים על הצגת מסוף Admin ב-Google Workspace, ואז נכנסים באמצעות חשבון משתמש של סופר-אדמין וממשיכים לבצע את השלבים הבאים.

    אם אין לך הרשאת סופר-אדמין בחשבון Google Workspace הרלוונטי, צריך לפנות לסופר-אדמין בחשבון הזה ולשלוח לו את מספר הלקוח ואת הרשימה של היקפי ההרשאות של OAuth, כדי שהוא יוכל לבצע את השלבים הבאים במסוף Admin.

    1. במסוף Google Admin, נכנסים לתפריט > אבטחה > שליטה בגישה ובנתונים > בקרות API.

      לדף אמצעי הבקרה ל-API

    2. לוחצים על ניהול הענקת גישה ברמת הדומיין.
    3. לוחצים על הוספת חדש.
    4. בשדה Client ID (מזהה לקוח), מדביקים את מזהה הלקוח שהעתקתם קודם לכן.
    5. בשדה 'היקפי OAuth', מזינים רשימה מופרדת בפסיקים של היקפי ההרשאות שנדרשים על ידי האפליקציה. זו אותה קבוצת היקפים שהגדרתם כשהגדרתם את מסך ההסכמה של OAuth.
    6. לוחצים על Authorize.

השלב הבא

הכול מוכן, אפשר לפתח ב-Google Workspace! כדאי לעיין ברשימת המוצרים למפתחים של Google Workspace ובהוראות לקבלת עזרה.