יצירת פרטי כניסה לגישה

פרטי הכניסה משמשים לקבלת אסימון גישה משרתי ההרשאות של Google, כדי שהאפליקציה תוכל לבצע קריאה לממשקי Google Workspace API. במדריך הזה מוסבר איך לבחור ולהגדיר את פרטי הכניסה הנדרשים לאפליקציה.

להגדרות של המונחים שמופיעים בדף הזה, ראו סקירה כללית על אימות והרשאה.

צריך לבחור את פרטי הכניסה שמתאימים לך

פרטי הכניסה הנדרשים משתנים בהתאם לסוג הנתונים, לפלטפורמה ולשיטת הגישה של האפליקציה. יש שלושה סוגים של פרטי כניסה:

תרחיש לדוגמה שיטת אימות מידע על שיטת האימות הזו
גישה אנונימית לנתונים שזמינים לכולם באפליקציה. מפתחות API חשוב לוודא שממשק ה-API שבו רוצים להשתמש תומך במפתחות API, לפני שמשתמשים בשיטת האימות הזו.
גישה לנתוני משתמשים, כמו כתובת האימייל או הגיל שלהם. מזהה לקוח ב-OAuth האפליקציה צריכה לבקש הסכמה מהמשתמש ולקבל את הסכמתו.
לגשת לנתונים ששייכים לאפליקציה שלכם, או לגשת למשאבים בשם משתמשי Google Workspace או Cloud Identity באמצעות הענקת גישה ברמת הדומיין. חשבון שירות כשאפליקציה מבצעת אימות כחשבון שירות, יש לה גישה לכל המשאבים שחשבון השירות מורשה לגשת אליהם.

פרטי הכניסה של מפתח ה-API

מפתח API הוא מחרוזת ארוכה שמכילה אותיות רישיות וקטנות, מספרים, קווים תחתונים ומקפים, למשל AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. שיטת האימות הזו משמשת לגישה אנונימית לנתונים שזמינים לכולם, כמו קבצים ב-Google Workspace ששותפו באמצעות ההגדרה 'כל מי שיש לו את הקישור הזה'. מידע נוסף זמין במאמר שימוש במפתחות API.

כך יוצרים מפתח API:

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create credentials (יצירת פרטי כניסה) > API key (מפתח API).
  3. מפתח ה-API החדש מוצג.
    • צריך ללחוץ על 'העתקה' כדי להעתיק את מפתח ה-API לשימוש בקוד האפליקציה. תוכלו למצוא את מפתח ה-API גם בקטע API Keys (מפתחות API) בפרטי הכניסה של הפרויקט.
    • לוחצים על Restrict key כדי לעדכן את ההגדרות המתקדמות ולהגביל את השימוש במפתח ה-API. פרטים נוספים זמינים במאמר החלת הגבלות על מפתחות API.

פרטי הכניסה של מזהה הלקוח ב-OAuth

כדי לאמת משתמשי קצה ולגשת לנתוני המשתמשים באפליקציה, צריך ליצור מזהה לקוח אחד או יותר ב-OAuth 2.0. מזהה לקוח משמש לזיהוי אפליקציה אחת בשרתי OAuth של Google. אם האפליקציה פועלת בכמה פלטפורמות, צריך ליצור מזהה לקוח נפרד לכל פלטפורמה.

בוחרים את סוג האפליקציה כדי לקבל הוראות ספציפיות ליצירת מזהה לקוח ב-OAuth:

אפליקציית אינטרנט

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על יצירת פרטי כניסה > מזהה לקוח OAuth.
  3. לוחצים על Application type > Web application.
  4. בשדה Name, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. מוסיפים מזהי URI מורשים שקשורים לאפליקציה:
    • אפליקציות בצד הלקוח (JavaScript) – בקטע מקורות JavaScript מורשים, לוחצים על הוספת URI. לאחר מכן, מזינים URI שישמש לבקשות דפדפן. הנתון הזה מזהה את הדומיינים שמהם האפליקציה יכולה לשלוח בקשות API לשרת OAuth 2.0.
    • אפליקציות בצד השרת (Java, Python ועוד) – בקטע מזהי URI מורשים של הפניות אוטומטיות, לוחצים על הוספת URI. לאחר מכן, מזינים URI של נקודת קצה שאליה שרת OAuth 2.0 יכול לשלוח תשובות.
  6. לוחצים על יצירה. יופיע המסך 'לקוח OAuth נוצר', שבו יוצגו מזהה הלקוח וסוד הלקוח החדשים.

    שימו לב למזהה הלקוח. באפליקציות אינטרנט אי אפשר להשתמש בסודות של לקוחות.

  7. לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע מזהי לקוח OAuth 2.0.

Android

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
  3. לוחצים על Application type (סוג האפליקציה) > Android.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה Package name מזינים את שם החבילה מקובץ AndroidManifest.xml.
  6. בשדה 'טביעת אצבע לאישור SHA-1' מזינים את טביעת האצבע לאישור SHA-1 שנוצרה.
  7. לוחצים על יצירה. יופיע המסך שנוצר על ידי לקוח OAuth ומוצג בו מזהה הלקוח החדש.
  8. לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.

iOS

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
  3. לוחצים על Application type (סוג אפליקציה) > iOS.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה החבילה', מזינים את מזהה החבילה כפי שרשום בקובץ Info.plist של האפליקציה.
  6. אופציונלי: אם האפליקציה מופיעה ב-Apple App Store, מזינים את מזהה App Store.
  7. אם רוצים, בשדה 'מזהה צוות' מזינים את המחרוזת הייחודית בת 10 התווים שנוצרה על ידי Apple והוקצה לצוות שלכם.
  8. לוחצים על יצירה. המסך 'לקוח OAuth נוצר' מופיע, שבו מוצגים מזהה הלקוח החדש וסוד הלקוח.
  9. לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.

אפליקציית Chrome

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
  3. לוחצים על Application type (סוג האפליקציה) > Chrome app (אפליקציית Chrome).
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה אפליקציה', מזינים את מחרוזת המזהה הייחודית של האפליקציה בת 32 תווים. אפשר למצוא את ערך המזהה הזה בכתובת ה-URL של האפליקציה בחנות האינטרנט של Chrome ובמרכז השליטה למפתחים של חנות האינטרנט של Chrome.
  6. לוחצים על יצירה. יופיע המסך שנוצר על ידי לקוח OAuth ומוצג בו מזהה הלקוח החדש וסוד הלקוח שלכם.
  7. לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.

אפליקציה לשולחן העבודה

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
  3. לוחצים על Application type (סוג האפליקציה) > Desktop app (אפליקציה למחשב).
  4. בשדה Name, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. לוחצים על יצירה. יופיע המסך שנוצר על ידי לקוח OAuth ומוצג בו מזהה הלקוח החדש וסוד הלקוח שלכם.
  6. לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע מזהי לקוח OAuth 2.0.

טלוויזיות והתקני קלט עם הגבלות

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create Credentials > OAuth client ID.
  3. לוחצים על סוג האפליקציה > טלוויזיות ומכשירי קלט מוגבלים.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. לוחצים על יצירה. יופיע המסך שנוצר על ידי לקוח OAuth ומוצג בו מזהה הלקוח החדש וסוד הלקוח שלכם.
  6. לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.

Universal Windows Platform (UWP)‎

  1. במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
  3. לוחצים על סוג האפליקציה > Universal Windows Platform‏ (UWP).
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה חנות', מזינים את הערך הייחודי של מזהה Microsoft Store של האפליקציה, שמכיל 12 תווים. המזהה הזה מופיע בכתובת ה-URL של האפליקציה ב-Microsoft Store ובמרכז השותפים.
  6. לוחצים על יצירה. המסך 'לקוח OAuth נוצר' מופיע, שבו מוצגים מזהה הלקוח החדש וסוד הלקוח.
  7. לוחצים על אישור. פרטי הכניסה החדשים שנוצרו יופיעו בקטע 'מזהי לקוחות של OAuth 2.0'.

פרטי כניסה לחשבון שירות

חשבון שירות הוא סוג מיוחד של חשבון, שמשמש אפליקציה ולא אדם. אפשר להשתמש בחשבון שירות כדי לגשת לנתונים או לבצע פעולות באמצעות חשבון הרובוט, או כדי לגשת לנתונים בשם משתמשי Google Workspace או Cloud Identity. מידע נוסף זמין במאמר הסבר על חשבונות שירות.

יצירה של חשבון שירות

מסוף Google Cloud

  1. במסוף Google Cloud, נכנסים לתפריט > IAM & Admin > חשבונות שירות.

    לדף Service accounts

  2. לוחצים על Create service account.
  3. ממלאים את פרטי חשבון השירות ולוחצים על Create and continue (יצירה והמשך).
  4. אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים של הפרויקט ב-Google Cloud. פרטים נוספים זמינים במאמר הענקה, שינוי וביטול גישה למשאבים.
  5. לוחצים על המשך.
  6. אופציונלי: מזינים משתמשים או קבוצות שיכולים לנהל את חשבון השירות הזה ולבצע בו פעולות. פרטים נוספים זמינים במאמר ניהול התחזות לחשבון שירות.
  7. לוחצים על סיום. כותבים את כתובת האימייל של חשבון השירות.

CLI של gcloud

  1. יוצרים את חשבון השירות:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים של הפרויקט ב-Google Cloud. פרטים נוספים זמינים במאמר הענקה, שינוי וביטול גישה למשאבים.

הקצאת תפקיד לחשבון שירות

צריך להקצות לחשבון שירות תפקיד מוגדר מראש או תפקיד מותאם אישית באמצעות חשבון סופר-אדמין.

  1. במסוף Google Admin, נכנסים לתפריט > חשבון > תפקידי אדמין.

    מעבר לדף Admin roles

  2. מציבים את סמן העכבר על התפקיד שרוצים להקצות ולוחצים על הקצאת אדמין.

  3. לוחצים על הקצאת חשבונות שירות.

  4. מזינים את כתובת האימייל של חשבון השירות.

  5. לוחצים על הוספה > הקצאת תפקיד.

יצירת פרטי כניסה לחשבון שירות

עליכם לקבל את פרטי הכניסה בצורת זוג מפתחות ציבורי/פרטי. הקוד שלכם משתמש בפרטי הכניסה האלה כדי לאשר פעולות של חשבון השירות באפליקציה.

כדי לקבל פרטי כניסה לחשבון השירות:

  1. במסוף Google Cloud, עוברים לתפריט > IAM & Admin > Service Accounts.

    לדף Service accounts

  2. בוחרים את חשבון השירות.
  3. לוחצים על מפתחות > הוספת מפתח > יצירת מפתח חדש.
  4. בוחרים באפשרות JSON ולאחר מכן לוחצים על יצירה.

    זוג המפתחות הציבורי/הפרטי החדש נוצר ומוריד למחשב כקובץ חדש. שומרים את קובץ ה-JSON שהורדתם בתור credentials.json בספריית העבודה. הקובץ הזה הוא העותק היחיד של המפתח. מידע נוסף על אחסון המפתח באופן מאובטח זמין במאמר ניהול מפתחות של חשבונות שירות.

  5. לוחצים על סגירה.

אופציונלי: מגדירים לחשבון שירות הענקת גישה ברמת הדומיין

כדי לבצע קריאות ל-API בשם משתמשים בארגון ב-Google Workspace, צריך להעניק לחשבון השירות הרשאת גישה ברמת הדומיין במסוף Admin ב-Google Workspace באמצעות חשבון סופר-אדמין. אפשר לקרוא מידע נוסף במאמר הענקת הרשאה ברמת הדומיין לחשבון שירות.

כדי להגדיר הענקת גישה ברמת הדומיין לחשבון שירות:

  1. במסוף Google Cloud, עוברים לתפריט > IAM & Admin > Service Accounts.

    לדף Service accounts

  2. בוחרים את חשבון השירות.
  3. לוחצים על הצגת הגדרות מתקדמות.
  4. בקטע 'הענקת גישה ברמת הדומיין', מחפשים את 'מזהה הלקוח' של חשבון השירות. לוחצים על סמל ההעתקה כדי להעתיק את הערך של מזהה הלקוח ללוח.
  5. אם יש לכם הרשאת סופר-אדמין בחשבון Google Workspace הרלוונטי, לוחצים על View Google Workspace Admin Console (הצגת מסוף Admin ב-Google Workspace), נכנסים באמצעות חשבון משתמש עם הרשאת סופר-אדמין וממשיכים לפי השלבים הבאים.

    אם אין לכם הרשאת סופר-אדמין בחשבון Google Workspace הרלוונטי, עליכם לפנות לסופר-אדמין של החשבון הזה ולשלוח לו את מזהה הלקוח של חשבון השירות ואת רשימת היקפי הרשאות ה-OAuth, כדי שהוא יוכל לבצע את השלבים הבאים במסוף Admin.

    1. במסוף Google Admin, נכנסים לתפריט > אבטחה > שליטה בגישה ובנתונים > אמצעי בקרה ל-API.

      למעבר אל 'אמצעי בקרה ל-API'

    2. לוחצים על ניהול הענקת גישה ברמת הדומיין.
    3. לוחצים על הוספת חדש.
    4. בשדה 'מזהה לקוח', מדביקים את מזהה הלקוח שהעתקתם קודם.
    5. בשדה 'היקפי הרשאות OAuth', מזינים רשימה מופרדת בפסיקים של היקפי ההרשאות שנדרשים לאפליקציה. זו אותה קבוצת היקפים שהגדרת כשהגדרת את מסך ההסכמה ל-OAuth.
    6. לוחצים על Authorize.

השלב הבא

עכשיו אתם מוכנים לפתח ב-Google Workspace! כדאי לעיין ברשימה של מוצרי Google Workspace למפתחים ובדרכים לקבלת עזרה.