Le credenziali vengono utilizzate per ottenere un token di accesso dai server di autorizzazione di Google in modo che l'app possa chiamare le API di Google Workspace. Questo documento descrive come scegliere e configurare le credenziali di cui la tua app ha bisogno.
Scegli le credenziali di accesso più adatte a te
Le credenziali richieste dipendono dal tipo di dati, dalla piattaforma e dalla metodologia di accesso della tua app. Sono disponibili tre tipi di credenziali:
| Caso d'uso | Metodo di autenticazione | Informazioni su questo metodo di autenticazione |
|---|---|---|
| Accedi ai dati disponibili pubblicamente in modo anonimo nella tua app. | Chiavi API | Prima di utilizzare questo metodo di autenticazione, verifica che l'API che vuoi utilizzare supporti le chiavi API. |
| Accedi ai dati utente, ad esempio indirizzo email o età. | ID client OAuth | Richiede che l'app richieda e riceva il consenso dell'utente. |
| Accedi ai dati di proprietà della tua app, a documenti condivisi specifici (ad esempio Fogli Google) o alle risorse di Google Workspace per conto degli utenti tramite la delega a livello di dominio. | Service account | Quando un'app esegue l'autenticazione come service account, ha accesso a tutte le risorse a cui il service account ha l'autorizzazione ad accedere. |
Per le definizioni dei termini presenti in questa pagina, consulta la panoramica sull'autenticazione e autorizzazione.
Credenziali della chiave API
Una chiave API è una stringa lunga contenente lettere maiuscole e minuscole, numeri, trattini bassi e trattini, ad esempio AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Questo metodo di autenticazione viene utilizzato per accedere in modo anonimo ai dati disponibili pubblicamente, ad esempio i file di Google Workspace condivisi utilizzando l'impostazione di condivisione "Chiunque su internet con questo link". Per maggiori dettagli, consulta Gestire le chiavi
API.
Per creare una chiave API:
- Nella console Google Cloud, vai a Menu > API e servizi > Credenziali.
- Fai clic su Crea credenziali > Chiave API.
- Viene visualizzata la nuova chiave API.
- Fai clic su Copia per copiare la chiave API da utilizzare in your app's code. La chiave API è disponibile anche nella sezione "Chiavi API" delle credenziali del progetto.
- Per impedire l'uso non autorizzato, ti consigliamo di limitare dove e per quali API può essere utilizzata la chiave API. Per maggiori dettagli, consulta Aggiungere limitazioni API.
Credenziali dell'ID client OAuth
Per autenticare gli utenti finali e accedere ai dati utente nella tua app, devi creare uno o più ID client OAuth 2.0. L'ID client viene utilizzato per identificare una singola app nei server OAuth di Google. Se l'app viene eseguita su più piattaforme, devi creare un ID client separato per ogni piattaforma.Scegli il tuo tipo di applicazione per istruzioni specifiche su come creare un ID client OAuth:
Applicazione web
- Nella console Google Cloud, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Applicazione web.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Aggiungi gli URI autorizzati relativi alla tua app:
- App lato client (JavaScript): in Origini JavaScript autorizzate, fai clic su Aggiungi URI. Poi, inserisci un URI da utilizzare per le richieste del browser. In questo modo vengono identificati i domini da cui l'applicazione può inviare richieste API al server OAuth 2.0.
- App lato server (Java, Python e altro): in URI di reindirizzamento autorizzati, fai clic su Aggiungi URI. Poi, inserisci un URI dell'endpoint a cui il server OAuth 2.0 può inviare le risposte.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in ID client OAuth 2.0.
Tieni presente che i secret client non vengono utilizzati per le applicazioni web.
Android
- Nella console Google Cloud, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Android.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Nel campo Nome pacchetto, inserisci il nome del pacchetto dal file
AndroidManifest.xml. - Nel campo Impronta digitale certificato SHA-1, inserisci la tua impronta digitale del certificato SHA-1 generata.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
iOS
- Nella console Google Cloud, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > iOS.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Nel campo ID pacchetto, inserisci l'identificatore pacchetto elencato nel file
Info.plistdell'app. - (Facoltativo) Se la tua app è disponibile nell'Apple App Store, inserisci l'ID App Store.
- (Facoltativo) Nel campo ID team, inserisci la stringa univoca composta da 10 caratteri generata da Apple e assegnata al tuo team.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Estensione di Chrome
- Nella console Google Cloud, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Estensione di Chrome.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Nel campo ID articolo, inserisci la stringa ID univoca composta da 32 caratteri della tua app. Puoi trovare questo valore ID nell'URL del Chrome Web Store della tua app e nella Dashboard per sviluppatori del Chrome Web Store.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Applicazione desktop
- Nella console Google Cloud, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Applicazione desktop.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
TV e dispositivi a input limitato
- Nella console Google Cloud, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > TV e dispositivi a input limitato.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Credenziali del service account
Un service account è un tipo speciale di account utilizzato da un'applicazione, anziché da una persona. Puoi utilizzare un service account per accedere ai dati o eseguire azioni tramite l'account robot oppure per accedere ai dati per conto degli utenti di Google Workspace o Cloud Identity. Per saperne di più, consulta la panoramica sui service account.Tieni presente che i ruoli Identity and Access Management (IAM) configurati nella console Google Cloud non concedono l'accesso agli asset di Google Workspace (ad esempio Fogli o Gmail). Per concedere a un service account l'accesso alle risorse di Google Workspace, puoi utilizzare quanto segue:
| Se la tua app deve... | Dove configurarla... |
|---|---|
| Accedere a file specifici (ad esempio un foglio Google) | Condividere direttamente un file o una cartella con l'indirizzo email del service account |
| Eseguire l'amministrazione del dominio (ad esempio creare utenti di Google Workspace) | Assegnare ruoli amministrativi direttamente al service account |
| Accedere ai dati utente nel dominio (ad esempio leggere gli eventi di Gmail o Google Calendar di qualsiasi utente) | Autorizzare il service account a utilizzare la delega a livello di dominio |
Crea un service account
Puoi creare un service account utilizzando la console Google Cloud o lo strumento a riga di comando gcloud.
Console Google Cloud
-
Nella console Google Cloud, vai a Menu
> IAM e amministrazione
> Service account.
I passaggi rimanenti vengono visualizzati nella console Google Cloud.
- Seleziona un progetto cloud Google.
- Fai clic su Crea service account.
- Inserisci il nome di un service account da visualizzare nella console Google Cloud.
- Se non vuoi impostare i controlli dell'accesso, fai clic su Fine per completare la creazione del service account. Per impostare i controlli dell'accesso ora, fai clic su Crea e continua e vai al passaggio successivo.
- (Facoltativo) Assegna ruoli al tuo service account per concedere l'accesso alle risorse del progetto Google Cloud oltre alle risorse di Google Workspace. Per maggiori dettagli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
- Fai clic su Continua.
- (Facoltativo) Inserisci utenti o gruppi che possono gestire ed eseguire azioni con questo service account. Per maggiori dettagli, consulta Simulazione dell'identità dei service account.
- Fai clic su Fine per completare la creazione del service account.
Prendi nota dell'indirizzo email del service account.
gcloud CLI
- Crea l'account di servizio:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - (Facoltativo) Assegna ruoli al tuo service account per concedere l'accesso alle risorse del progetto Google Cloud oltre alle risorse di Google Workspace. Per maggiori dettagli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Accedi direttamente ai file di Google Workspace con un service account
Se la tua app deve solo leggere o scrivere file specifici (ad esempio un foglio Google o una cartella di Google Drive), non devi assegnare ruoli amministrativi o configurare la delega a livello di dominio. In alternativa, puoi condividere direttamente i singoli file con l'indirizzo email del service account utilizzando l'interfaccia utente standard. Puoi trattare l'indirizzo email del service account come un account utente nelle impostazioni di condivisione del documento senza richiedere privilegi di amministratore.
Per concedere l'accesso:
- Copia l'indirizzo email del tuo service account. Ad esempio,
my-service-account@my-project.iam.gserviceaccount.com. - Apri il documento di Fogli o la cartella di Drive a cui vuoi accedere.
- Fai clic su Condividi.
- Aggiungi l'indirizzo email del service account e assegna il livello di accesso appropriato (ad esempio Editor o Visualizzatore).
- Deseleziona Notifica persone (poiché i service account non hanno caselle di posta in arrivo, non riceveranno l'email di invito, ma l'autorizzazione viene comunque concessa).
- Fai clic su Condividi.
Crea una chiave del service account
Devi ottenere le credenziali sotto forma di coppia di chiavi pubblica/privata. Queste credenziali vengono utilizzate dal codice per autorizzare le azioni del service account all'interno dell'app.Per creare una chiave del service account:
-
Nella console Google Cloud, vai a Menu
> IAM e amministrazione
> Service account.
I passaggi rimanenti vengono visualizzati nella console Google Cloud.
- Seleziona un progetto cloud Google.
- Fai clic sull'indirizzo email del service account per cui vuoi creare una chiave.
- Fai clic sulla scheda Chiavi.
- Fai clic sul menu a discesa Aggiungi chiave, quindi seleziona Crea nuova chiave.
- In Tipo di chiave , seleziona JSON e fai clic su Crea.
Una nuova coppia di chiavi pubblica/privata viene generata e scaricata sul tuo computer come file di chiave del service account. Salva il file JSON scaricato come
credentials.jsonnella directory di lavoro. Questo file è l'unica copia di questa chiave. Una volta scaricato, il file della chiave non potrà essere scaricato di nuovo. Per informazioni su come archiviare la chiave in modo sicuro, consulta Best practice per la gestione delle chiavi dei service account.
Assegna un ruolo di amministratore di Google Workspace a un service account
Puoi assegnare qualsiasi ruolo predefinito o personalizzato di Google Workspace a un service account, ad eccezione del ruolo di super amministratore.
Nella Console di amministrazione Google, vai a Menu > Account > Ruoli amministrativi.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
I passaggi rimanenti vengono visualizzati nella Console di amministrazione Google.
Posiziona il puntatore del mouse sul ruolo che vuoi assegnare, fai clic sul
Actionsmenu a discesa e seleziona Assegna amministratore.Fai clic su Assegna account di servizio.
Inserisci l'indirizzo email del service account.
Fai clic su Aggiungi > Assegna ruolo.
(Facoltativo) Configura la delega a livello di dominio per un service account
Utilizza la delega a livello di dominio quando la tua applicazione deve accedere ai dati di Google Workspace per conto di più singoli utenti della tua organizzazione (ad esempio inviare email utilizzando l'API Gmail) senza richiedere il consenso dell'utente singolo. Per chiamare le API per conto degli utenti di un'organizzazione Google Workspace, concedi al tuo service account la delega dell'autorità a livello di dominio nella Console di amministrazione Google utilizzando un account super amministratore. Per saperne di più, consulta Delegare l'autorità a livello di dominio al service account.Per configurare la delega dell'autorità a livello di dominio per un service account:
- Nella console Google Cloud, vai a Menu > IAM e amministrazione > Service account.
- Seleziona un progetto cloud Google.
- Fai clic sull'indirizzo email del service account per cui vuoi configurare la delega a livello di dominio.
- Fai clic su Mostra impostazioni avanzate.
- In "Delega a livello di dominio", trova l'"ID client" del tuo service account.
- Fai clic su Copia per copiare il valore dell'ID client negli appunti.
Se hai accesso come super amministratore all'account Google Workspace pertinente, fai clic su Visualizza Console di amministrazione Google Workspace, accedi con il tuo account utente super amministratore e continua a seguire questi passaggi.
Se non hai accesso come super amministratore all'account Google Workspace pertinente, contatta un super amministratore dell'account. Inviagli l'ID client del tuo service account e un elenco degli ambiti OAuth richiesti dalla tua app in modo che possa completare i seguenti passaggi nella Console di amministrazione Google.
- Nella Console di amministrazione Google, vai a Menu > Sicurezza > Accesso e controllo dei dati > Controlli API.
- Fai clic su Gestisci delega a livello di dominio.
- Fai clic su Aggiungi nuovo.
- Nel campo ID client, incolla l'ID client che hai copiato in precedenza.
- Nel campo Ambiti OAuth, inserisci un elenco di ambiti richiesti dalla tua app separati da virgole. Si tratta dello stesso insieme di ambiti che hai definito durante la configurazione della schermata per il consenso OAuth.
- Fai clic su Autorizza.
Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Per saperne di più, consulta Controllare l'accesso all'API con la delega a livello di dominio.
Passaggio successivo
È tutto pronto per sviluppare su Google Workspace. Consulta l'elenco dei prodotti per sviluppatori di Google Workspace e scopri come trovare assistenza.