Criar credenciais de acesso

As credenciais são usadas para receber um token de acesso dos servidores de autorização do Google para que o app possa chamar as APIs do Google Workspace. Este guia descreve como escolher e configurar as credenciais necessárias para o app.

Para definições de termos encontrados nesta página, consulte Visão geral da autenticação e autorização.

Escolha a credencial de acesso certa para você

As credenciais necessárias dependem do tipo de dados, plataforma e metodologia de acesso do app. Há três tipos de credenciais disponíveis:

Caso de uso	Método de autenticação	Sobre este método de autenticação
Acesse dados disponíveis publicamente de forma anônima no seu app.	Chaves de API	Verifique se a API que você quer usar é compatível com chaves de API antes de usar esse método de autenticação.
Acessar dados do usuário, como o endereço de e-mail ou a idade.	ID do cliente OAuth	Requer que o app solicite e receba o consentimento do usuário.
Acesse dados que pertencem ao seu próprio aplicativo ou acesse recursos em nome de usuários do Google Workspace ou do Cloud Identity usando a delegação em todo o domínio.	Conta de serviço	Quando um app é autenticado como uma conta de serviço, ele tem acesso a todos os recursos que a conta de serviço tem permissão para acessar.

Credenciais da chave de API

Uma chave de API é uma string longa que contém letras maiúsculas e minúsculas, números, sublinhados e hifens, como AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Esse método de autenticação é usado para acessar de maneira anônima dados disponíveis publicamente, como arquivos do Google Workspace compartilhados com a configuração de compartilhamento "Qualquer pessoa na Internet com este link". Para mais detalhes, consulte Como usar chaves de API.

Para criar uma chave de API, siga estas etapas:

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > Chave de API.
3. Sua nova chave de API vai aparecer.
   • Clique em Copiar content_copy para copiar a chave de API e usá-la no código do app. A chave de API também pode ser encontrada na seção "Chaves de API" das credenciais do projeto.
   • Clique em Restringir chave para atualizar as configurações avançadas e limitar o uso da sua chave de API. Para mais detalhes, consulte Como aplicar restrições de chave de API.

Credenciais do ID do cliente OAuth

Para autenticar usuários finais e acessar dados do usuário no app, crie um ou mais IDs do cliente OAuth 2.0. Um ID do cliente é usado para identificar um único app nos servidores OAuth do Google. Se o app for executado em várias plataformas, crie um ID do cliente separado para cada plataforma.

Escolha seu tipo de aplicativo para ver instruções específicas sobre como criar um ID do cliente OAuth:

Aplicativo da Web

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > ID do cliente OAuth.
3. Clique em Tipo de aplicativo > Aplicativo da Web.
4. No campo Nome, digite um nome para a credencial. Esse nome é mostrado apenas no console do Google Cloud.
5. Adicione URIs autorizados relacionados ao seu app:
   • Apps do lado do cliente (JavaScript): em Origens JavaScript autorizadas, clique em Adicionar URI. Em seguida, insira um URI para usar nas solicitações do navegador. Isso identifica os domínios de onde o aplicativo pode enviar solicitações de API para o servidor OAuth 2.0.
   • Apps do servidor (Java, Python e mais): em URIs de redirecionamento autorizados, clique em Adicionar URI. Em seguida, insira um URI de endpoint para o qual o servidor OAuth 2.0 pode enviar respostas.
6. Clique em Criar. A tela do cliente OAuth criado aparece, mostrando o novo ID e a chave secreta do cliente.

   Anote o ID do cliente. As chaves secretas do cliente não são usadas para aplicativos da Web.

7. Clique em OK. A credencial recém-criada aparece em IDs de cliente do OAuth 2.0.

Android

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > ID do cliente OAuth.
3. Clique em Tipo de aplicativo > Android.
4. No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no console do Google Cloud.
5. No campo "Nome do pacote", insira o nome do pacote do arquivo AndroidManifest.xml.
6. No campo "Impressão digital do certificado SHA-1", digite sua impressão digital do certificado SHA-1 gerada.
7. Clique em Criar. A tela criada pelo cliente OAuth vai aparecer, mostrando o novo ID do cliente.
8. Clique em OK. A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".

iOS

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > ID do cliente OAuth.
3. Clique em Tipo de aplicativo > iOS.
4. No campo "Nome", digite um nome para a credencial. Esse nome é mostrado apenas no console do Google Cloud.
5. No campo "ID do pacote", insira o identificador do pacote conforme listado no arquivo Info.plist do app.
6. Opcional: se o app aparecer na App Store da Apple, insira o ID da App Store.
7. Opcional: no campo "ID da equipe", insira a string exclusiva de 10 caracteres gerada pela Apple e atribuída à sua equipe.
8. Clique em Criar. A tela criada pelo cliente OAuth será exibida, mostrando o novo ID e a chave secreta do cliente.
9. Clique em OK. A credencial recém-criada aparece em "IDs de cliente OAuth 2.0".

App do Chrome

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > ID do cliente OAuth.
3. Clique em Tipo de aplicativo > App do Chrome.
4. No campo "Nome", digite um nome para a credencial. Esse nome é mostrado apenas no console do Google Cloud.
5. No campo "ID do aplicativo", insira a string de ID exclusiva de 32 caracteres do seu aplicativo. Você pode encontrar esse valor de ID no URL do app na Chrome Web Store e no Painel de controle do desenvolvedor da Chrome Web Store.
6. Clique em Criar. A tela do cliente OAuth criado aparece, mostrando o novo ID e a chave secreta do cliente.
7. Clique em OK. A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".

App para computador

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > ID do cliente OAuth.
3. Clique em Tipo de aplicativo > App para computador.
4. No campo Nome, digite um nome para a credencial. Esse nome é mostrado apenas no console do Google Cloud.
5. Clique em Criar. A tela do cliente OAuth criado aparece, mostrando o novo ID e a chave secreta do cliente.
6. Clique em OK. A credencial recém-criada aparece em IDs do cliente OAuth 2.0.

TVs e dispositivos de entrada limitada

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > ID do cliente OAuth.
3. Clique em Tipo de app > TVs e dispositivos de entrada limitados.
4. No campo "Nome", digite um nome para a credencial. Esse nome é mostrado apenas no console do Google Cloud.
5. Clique em Criar. A tela do cliente OAuth criado aparece, mostrando o novo ID e a chave secreta do cliente.
6. Clique em OK. A credencial recém-criada aparece em "IDs de cliente OAuth 2.0".

Plataforma Universal do Windows (UWP)

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > ID do cliente OAuth.
3. Clique em Tipo de app > Universal Windows Platform (UWP).
4. No campo "Nome", digite um nome para a credencial. Esse nome é mostrado apenas no console do Google Cloud.
5. No campo "ID da loja", insira o valor exclusivo do ID da Microsoft Store com 12 caracteres. Você pode encontrar esse ID no URL da Microsoft Store do app e no Centro de parceiros.
6. Clique em Criar. A tela do cliente OAuth criado aparece, mostrando o novo ID e a chave secreta do cliente.
7. Clique em OK. A credencial recém-criada aparece em "IDs de cliente OAuth 2.0".

Credenciais da conta de serviço

Uma conta de serviço é um tipo especial de conta usada por um aplicativo, não por uma pessoa. É possível usar uma conta de serviço para acessar dados ou executar ações pela conta robô, ou para acessar dados em nome dos usuários do Google Workspace ou do Cloud Identity. Para mais informações, consulte as Noções básicas sobre contas de serviço.

Criar uma conta de serviço

Console do Google Cloud

1. No console do Google Cloud, acesse Menu menu > IAM e administrador > Contas de serviço.

   Acessar a página "Contas de serviço"

2. Clique em Criar conta de serviço.
3. Preencha os detalhes da conta de serviço e clique em Criar e continuar.
4. Opcional: atribua papéis à sua conta de serviço para conceder acesso aos recursos do projeto do Google Cloud. Para mais detalhes, consulte Como conceder, alterar e revogar o acesso a recursos.
5. Clique em Continuar.
6. Opcional: insira usuários ou grupos que podem gerenciar e realizar ações com essa conta de serviço. Para mais detalhes, consulte Como gerenciar a representação da conta de serviço.
7. Clique em Concluído. Anote o endereço de e-mail da conta de serviço.

CLI da gcloud

1. Crie a conta de serviço:

   gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
     --display-name="SERVICE_ACCOUNT_NAME"

2. Opcional: atribua funções à sua conta de serviço para conceder acesso aos recursos do projeto do Google Cloud. Para mais detalhes, consulte Como conceder, alterar e revogar o acesso a recursos.

Atribuir um papel a uma conta de serviço

É necessário atribuir uma função predefinida ou personalizada a uma conta de serviço por uma conta de superadministrador.

1. No Google Admin Console, acesse Menu menu> Conta > Funções de administrador.

   Acessar "Funções do administrador"

2. Aponte para a função que você quer atribuir e clique em Atribuir administrador.

3. Clique em Atribuir contas de serviço.

4. Insira o endereço de e-mail da conta de serviço.

5. Clique em Adicionar > Atribuir função.

Criar credenciais para uma conta de serviço

Você precisa obter credenciais na forma de um par de chaves públicas/privadas. Essas credenciais são usadas pelo código para autorizar ações da conta de serviço no app.

Para receber credenciais para sua conta de serviço:

1. No console do Google Cloud, acesse Menu menu > IAM e administrador > Contas de serviço.

   Acessar a página "Contas de serviço"

2. Selecione sua conta de serviço.
3. Clique em Chaves > Adicionar chave > Criar nova chave.
4. Selecione JSON e clique em Criar.

   Seu novo par de chave pública/privada é gerado e transferido por download para sua máquina como um novo arquivo. Salve o arquivo JSON baixado como credentials.json no seu diretório de trabalho. Esse arquivo é a única cópia dessa chave. Para saber como armazenar sua chave com segurança, consulte Como gerenciar chaves de conta de serviço.

5. Clique em Fechar.

Opcional: configurar a delegação em todo o domínio para uma conta de serviço

Para chamar APIs em nome dos usuários em uma organização do Google Workspace, sua conta de serviço precisa receber a delegação de autoridade em todo o domínio no Admin Console do Google Workspace por uma conta de superadministrador. Para mais informações, consulte Como delegar autoridade em todo o domínio a uma conta de serviço.

Para configurar a delegação de autoridade em todo o domínio para uma conta de serviço:

1. No console do Google Cloud, acesse Menu menu > IAM e administrador > Contas de serviço.

   Acessar a página "Contas de serviço"

2. Selecione sua conta de serviço.
3. Clique em Mostrar configurações avançadas.
4. Em "Delegação em todo o domínio", encontre o "ID do cliente" da sua conta de serviço. Clique em Copiar content_copy para copiar o valor do ID do cliente para a área de transferência.

5. Se você tiver acesso de superadministrador à conta do Google Workspace relevante, clique em Acessar o Admin Console do Google Workspace, faça login usando uma conta de usuário superadministrador e continue seguindo estas etapas.

   Se você não tiver acesso de superadministrador à conta do Google Workspace relevante, entre em contato com um superadministrador dessa conta e envie o ID do cliente e a lista de escopos do OAuth da sua conta de serviço para que ele possa concluir as etapas a seguir no Admin Console.

1. No Google Admin Console, acesse Menu menu > Segurança > Acesso e controle de dados > Controles de API.

   Acessar os controles da API

2. Clique em Gerenciar a delegação em todo o domínio.
3. Clique em Adicionar novo.
4. No campo "ID do cliente", cole o ID do cliente que você copiou anteriormente.
5. No campo "Escopos do OAuth", insira uma lista separada por vírgulas dos escopos exigidos pelo aplicativo. Esse é o mesmo conjunto de escopos que você definiu ao configurar a tela de consentimento do OAuth.
6. Clique em Autorizar.

Próxima etapa

Você já pode desenvolver no Google Workspace. Confira a lista de produtos para desenvolvedores do Google Workspace e como encontrar ajuda.