As credenciais são usadas para receber um token de acesso dos servidores de autorização do Google, para que seu app possa chamar as APIs do Google Workspace. Este guia descreve como escolher e configurar as credenciais necessárias para seu app.
Para definições de termos encontrados nesta página, consulte Visão geral da autenticação e autorização.
Escolha a credencial de acesso ideal para você
As credenciais necessárias dependem do tipo de dados, da plataforma e da metodologia de acesso do aplicativo. Há três tipos de credenciais disponíveis:
| Caso de uso | Método de autenticação | Sobre este método de autenticação |
|---|---|---|
| Acesse dados disponíveis anonimamente no app. | Chaves de API | Verifique se a API que você quer usar é compatível com chaves antes de usar esse método de autenticação. |
| Acessar dados do usuário, como o endereço de e-mail ou a idade. | ID do cliente OAuth | Requer que seu app solicite e receba consentimento do usuário. |
| Acesse dados do seu próprio aplicativo ou acesse recursos em nome dos usuários do Google Workspace ou do Cloud Identity usando a delegação em todo o domínio. | Conta de serviço | Quando um app é autenticado como uma conta de serviço, ele tem acesso a todos os recursos que a conta de serviço tem permissão para acessar. |
Credenciais da chave de API
Uma chave de API é uma string longa que contém letras maiúsculas e minúsculas, números, sublinhados e hifens, como AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Esse método de autenticação é usado para acessar de forma anônima dados disponíveis publicamente, como arquivos do Google Workspace compartilhados usando a configuração de compartilhamento "Qualquer pessoa na Internet com este link". Para mais detalhes, consulte Como usar chaves de API.
Para criar uma chave de API, siga estas etapas:
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > Chave de API.
- Sua nova chave de API será exibida.
- Clique em Copiar para copiar a chave de API e usá-la no código do app. A chave de API também pode ser encontrada na seção "Chaves de API" das credenciais do seu projeto.
- Clique em Restringir chave para atualizar as configurações avançadas e limitar o uso da chave de API. Para mais detalhes, consulte Como aplicar restrições de chave de API.
Credenciais do ID do cliente OAuth
Para autenticar como um usuário final e acessar os dados do usuário no seu aplicativo, você precisa criar um ou mais IDs do cliente do OAuth 2.0. Um ID do cliente é usado para identificar um único app para os servidores OAuth do Google. Se o aplicativo for executado em várias plataformas, será necessário criar um ID do cliente separado para cada uma.Escolha o tipo de aplicativo para instruções específicas sobre como criar um ID do cliente OAuth:
Aplicativo da Web
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > Aplicativo da Web.
- No campo Nome, digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
- Adicione URIs autorizados relacionados ao seu app:
- Apps do lado do cliente (JavaScript): em Origens JavaScript autorizadas, clique em Adicionar URI. Em seguida, insira um URI para usar nas solicitações do navegador. Isso identifica os domínios a partir dos quais seu aplicativo pode enviar solicitações de API para o servidor OAuth 2.0.
- Apps do servidor (Java, Python e mais): em URIs de redirecionamento autorizados, clique em Adicionar URI. Em seguida, insira um URI de ponto de extremidade para o qual o servidor OAuth 2.0 possa enviar respostas.
- Clique em Criar. A tela criada pelo cliente OAuth é exibida, mostrando seu novo ID e chave secreta do cliente.
Anote o ID do cliente. As chaves secretas do cliente não são usadas em aplicativos da Web.
- Clique em OK. A credencial recém-criada aparece em IDs do cliente OAuth 2.0.
Android
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > Android.
- No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
- No campo "Nome do pacote", insira o nome do pacote do arquivo
AndroidManifest.xml. - No campo "Impressão digital do certificado SHA-1", insira sua impressão digital do certificado SHA-1 gerada.
- Clique em Criar. A tela criada pelo cliente OAuth é exibida, mostrando seu novo ID do cliente.
- Clique em OK. A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".
iOS
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > iOS.
- No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
- No campo "ID do pacote", insira o identificador do pacote conforme listado no arquivo
Info.plistdo app. - Opcional: se o aplicativo aparecer na Apple App Store, insira o código da App Store.
- Opcional: no campo "ID da equipe", digite a string de 10 caracteres, gerada pela Apple e atribuída à sua equipe.
- Clique em Criar. A tela criada pelo cliente OAuth é exibida, mostrando seu novo ID e chave secreta do cliente.
- Clique em OK. A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".
App Chrome
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > Aplicativo do Chrome.
- No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
- No campo "ID do aplicativo", insira a string de ID única de 32 caracteres do seu aplicativo. Você encontra esse valor de ID no URL do aplicativo na Chrome Web Store e no Painel de controle do desenvolvedor da Chrome Web Store.
- Clique em Criar. A tela criada pelo cliente OAuth é exibida, mostrando seu novo ID e chave secreta do cliente.
- Clique em OK. A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".
App para computador
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > Aplicativo para computador.
- No campo Nome, digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
- Clique em Criar. A tela criada pelo cliente OAuth é exibida, mostrando seu novo ID e chave secreta do cliente.
- Clique em OK. A credencial recém-criada aparece em IDs do cliente OAuth 2.0.
TVs e dispositivos de entrada limitada
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > TVs e dispositivos de entrada limitada.
- No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
- Clique em Criar. A tela criada pelo cliente OAuth é exibida, mostrando seu novo ID e chave secreta do cliente.
- Clique em OK. A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".
Plataforma Universal do Windows (UWP)
- No Console do Google Cloud, acesse Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > Universal Windows Platform (UWP).
- No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
- No campo "Código da loja", insira o valor exclusivo de 12 caracteres do código da loja do seu aplicativo. Você pode encontrar esse código no URL da Microsoft Store do seu app e na Central de parceiros.
- Clique em Criar. A tela criada pelo cliente OAuth é exibida, mostrando seu novo ID e chave secreta do cliente.
- Clique em OK. A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".
Credenciais da conta de serviço
Uma conta de serviço é um tipo especial de conta usada por um aplicativo, em vez de uma pessoa. É possível usar uma conta de serviço para acessar dados ou executar ações pela conta de robô ou para acessar dados em nome dos usuários do Google Workspace ou do Cloud Identity. Para mais informações, consulte as Noções básicas sobre contas de serviço.Crie uma conta de serviço
- No Console do Google Cloud, acesse Menu > IAM e administrador > Contas de serviço.
- Clique em Criar conta de serviço.
- Preencha os detalhes da conta de serviço e clique em Criar e continuar.
- Opcional: atribua papéis à conta de serviço para conceder acesso aos recursos do projeto do Google Cloud. Para mais detalhes, consulte Como conceder, alterar e revogar o acesso a recursos.
- Clique em Continuar.
- Opcional: digite os usuários ou grupos que podem gerenciar e realizar ações com essa conta de serviço. Para mais detalhes, consulte Como gerenciar a representação de uma conta de serviço.
- Clique em Concluído. Anote o endereço de e-mail da conta de serviço.
Atribuir um papel a uma conta de serviço
Você precisa atribuir um papel pré-criado ou personalizado a uma conta de serviço por uma conta de superadministrador.
No Google Admin Console, acesse Menu > Conta > Funções de administrador.
Aponte para a função que você quer atribuir e clique em Atribuir administrador.
Clique em Atribuir contas de serviço.
Digite o endereço de e-mail da conta de serviço.
Clique em Adicionar > Atribuir função.
Criar credenciais para uma conta de serviço
É preciso ter credenciais na forma de um par de chaves pública/privada. Essas credenciais são usadas pelo código para autorizar ações da conta de serviço no aplicativo.Para receber credenciais para sua conta de serviço:
- No Console do Google Cloud, acesse Menu > IAM e administrador > Contas de serviço.
- Selecione sua conta de serviço.
- Clique em Chaves > Adicionar chave > Criar nova chave.
- Selecione JSON e clique em Criar.
Seu novo par de chave pública/privada é gerado e o download é feito na máquina como um novo arquivo. Esse arquivo é a única cópia da chave. Para mais informações sobre como armazenar a chave com segurança, consulte Como gerenciar chaves da conta de serviço.
- Clique em Fechar.
Opcional: configurar a delegação em todo o domínio para uma conta de serviço
Para chamar APIs em nome de usuários em uma organização do Google Workspace, sua conta de serviço precisa receber a delegação de autoridade em todo o domínio no Admin Console do Google Workspace por uma conta de superadministrador. Para mais informações, consulte Delegar autoridade em todo o domínio para uma conta de serviço.Para configurar a delegação de autoridade em todo o domínio para uma conta de serviço:
- No Console do Google Cloud, acesse Menu > IAM e administrador > Contas de serviço.
- Selecione sua conta de serviço.
- Clique em Mostrar configurações avançadas.
- Em "Delegação em todo o domínio", encontre o "ID do cliente" da sua conta de serviço. Clique em Copiar para copiar o valor do ID do cliente para a área de transferência.
Se você tiver acesso de superadministrador à conta relevante do Google Workspace, clique em Ver o Admin Console do Google Workspace, faça login usando uma conta de usuário de superadministrador e siga estas etapas.
Se você não tiver acesso de superadministrador à conta relevante do Google Workspace, entre em contato com um superadministrador dessa conta e envie o ID do cliente da sua conta de serviço e a lista de escopos do OAuth para que ele conclua as etapas a seguir no Admin Console.
- No Google Admin Console, acesse Menu > Segurança > Controle de acesso e dados > Controles de API.
- Clique em Gerenciar a delegação em todo o domínio.
- clique em Add new;
- No campo "ID do cliente", cole o ID do cliente que você copiou anteriormente.
- No campo "Escopos OAuth", insira uma lista delimitada por vírgulas dos escopos exigidos pelo seu aplicativo. Este é o mesmo conjunto de escopos que você definiu ao configurar a tela de consentimento OAuth.
- Clique em Autorizar.
Próxima etapa
Você já pode desenvolver no Google Workspace. Veja a lista de produtos para desenvolvedores do Google Workspace e como encontrar ajuda.