Создать учетные данные для доступа

Учетные данные используются для получения токена доступа от серверов авторизации Google, чтобы ваше приложение могло вызывать API Google Workspace. В этом руководстве описано, как выбрать и настроить учетные данные, необходимые вашему приложению.

Определения терминов, встречающихся на этой странице, см. в разделе « Обзор аутентификации и авторизации» .

Выберите подходящие для вас учетные данные доступа.

Необходимые учетные данные зависят от типа данных, платформы и метода доступа вашего приложения. Доступны три типа учетных данных:

Вариант использования Метод аутентификации Об этом методе аутентификации
Получайте анонимный доступ к общедоступным данным в своем приложении. API-ключи Перед использованием этого метода аутентификации убедитесь, что используемый вами API поддерживает ключи API.
Получите доступ к данным пользователя, таким как его адрес электронной почты или возраст. Идентификатор клиента OAuth Для этого вашему приложению необходимо запросить и получить согласие пользователя.
Получайте доступ к данным, принадлежащим вашему приложению, или к ресурсам от имени пользователей Google Workspace или Cloud Identity посредством делегирования полномочий в масштабе всего домена. Служебный аккаунт Когда приложение проходит аутентификацию в качестве служебной учетной записи, оно получает доступ ко всем ресурсам, к которым у этой учетной записи есть разрешение на доступ.

Учетные данные ключа API

Ключ API представляет собой длинную строку, содержащую заглавные и строчные буквы, цифры, подчеркивания и дефисы, например, AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe . Этот метод аутентификации используется для анонимного доступа к общедоступным данным, таким как файлы Google Workspace, предоставленные с помощью параметра общего доступа «Любой пользователь в Интернете по этой ссылке». Более подробную информацию см. в разделе «Использование ключей API ».

Для создания ключа API:

  1. В консоли Google Cloud перейдите в > API и сервисы > Учетные данные .

    Перейдите в раздел «Учетные данные».

  2. Нажмите «Создать учетные данные» > «Ключ API» .
  3. Ваш новый API-ключ отображен.
    • Нажмите «Копировать , чтобы скопировать свой API-ключ для использования в коде вашего приложения. API-ключ также можно найти в разделе «API-ключи» в учетных данных вашего проекта.
    • Для предотвращения несанкционированного использования мы рекомендуем ограничить места и типы API, для которых можно использовать ключ API. Более подробную информацию см. в разделе «Добавление ограничений API» .

Учетные данные клиента OAuth

Для аутентификации конечных пользователей и доступа к пользовательским данным в вашем приложении необходимо создать один или несколько идентификаторов клиента OAuth 2.0. Идентификатор клиента используется для идентификации отдельного приложения на серверах OAuth Google. Если ваше приложение работает на нескольких платформах, необходимо создать отдельный идентификатор клиента для каждой платформы.

Выберите тип вашего приложения , чтобы получить подробные инструкции по созданию идентификатора клиента OAuth:

Веб-приложение

  1. В консоли Google Cloud перейдите в >Google Auth platform > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Выберите «Тип приложения» > «Веб-приложение» .
  4. В поле «Имя» введите имя для учетных данных. Это имя отображается только в консоли Google Cloud.
  5. Добавьте авторизованные URI, связанные с вашим приложением:
    • Клиентские приложения (JavaScript) – В разделе «Авторизованные источники JavaScript» нажмите «Добавить URI» . Затем введите URI, который будет использоваться для запросов браузера. Это определяет домены, с которых ваше приложение может отправлять API-запросы на сервер OAuth 2.0.
    • Для серверных приложений (Java, Python и другие) — в разделе «Авторизованные URI перенаправления» нажмите «Добавить URI» . Затем введите URI конечной точки, на которую сервер OAuth 2.0 сможет отправлять ответы.
  6. Нажмите «Создать» .

    Вновь созданные учетные данные отображаются в разделе «Идентификаторы клиентов OAuth 2.0» .

    Обратите внимание на идентификатор клиента (Client ID). Секретные ключи клиента не используются в веб-приложениях.

Android

  1. В консоли Google Cloud перейдите в >Google Auth platform > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите «Тип приложения» > «Android» .
  4. В поле «Имя» введите имя для учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле "Имя пакета" введите имя пакета из файла AndroidManifest.xml .
  6. В поле "Отпечаток сертификата SHA-1" введите сгенерированный отпечаток сертификата SHA-1 .
  7. Нажмите «Создать» .

    Вновь созданные учетные данные отображаются в разделе "Идентификаторы клиентов OAuth 2.0".

iOS

  1. В консоли Google Cloud перейдите в >Google Auth platform > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите «Тип приложения» > «iOS» .
  4. В поле «Имя» введите имя для учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле "Идентификатор пакета" введите идентификатор пакета, указанный в файле Info.plist приложения.
  6. Необязательно: если ваше приложение отображается в Apple App Store, введите идентификатор приложения в App Store.
  7. Необязательно: в поле «Идентификатор команды» введите уникальную 10-символьную строку, сгенерированную Apple и присвоенную вашей команде.
  8. Нажмите «Создать» .

    Вновь созданные учетные данные отображаются в разделе "Идентификаторы клиентов OAuth 2.0".

Расширение Chrome

  1. В консоли Google Cloud перейдите в >Google Auth platform > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите «Тип приложения» > «Расширение Chrome» .
  4. В поле «Имя» введите имя для учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле «Идентификатор элемента» введите уникальный 32-символьный идентификатор вашего приложения. Этот идентификатор можно найти в URL-адресе вашего приложения в Chrome Web Store и в панели разработчика Chrome Web Store .
  6. Нажмите «Создать» .

    Вновь созданные учетные данные отображаются в разделе "Идентификаторы клиентов OAuth 2.0".

Настольное приложение

  1. В консоли Google Cloud перейдите в >Google Auth platform > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Выберите «Тип приложения» > «Настольное приложение» .
  4. В поле «Имя» введите имя для учетных данных. Это имя отображается только в консоли Google Cloud.
  5. Нажмите «Создать» .

    Вновь созданные учетные данные отображаются в разделе "Идентификаторы клиентов OAuth 2.0".

Телевизоры и устройства с ограниченным набором входных сигналов

  1. В консоли Google Cloud перейдите в >Google Auth platform > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите «Тип приложения» > «Телевизоры и устройства ввода с ограниченным набором параметров» .
  4. В поле «Имя» введите имя для учетных данных. Это имя отображается только в консоли Google Cloud.
  5. Нажмите «Создать» .

    Вновь созданные учетные данные отображаются в разделе "Идентификаторы клиентов OAuth 2.0".

Универсальная платформа Windows (UWP)

  1. В консоли Google Cloud перейдите в >Google Auth platform > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Щелкните Тип приложения > Универсальная платформа Windows (UWP) .
  4. В поле «Имя» введите имя для учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле «Идентификатор магазина» введите уникальный 12-символьный идентификатор вашего приложения в Microsoft Store. Этот идентификатор можно найти в URL-адресе вашего приложения в Microsoft Store и в Центре партнеров .
  6. Нажмите «Создать» .

    Вновь созданные учетные данные отображаются в разделе "Идентификаторы клиентов OAuth 2.0".

Учетные данные служебной учетной записи

Служебная учетная запись — это особый тип учетной записи, используемый приложением, а не человеком. Вы можете использовать служебную учетную запись для доступа к данным или выполнения действий от имени учетной записи робота, а также для доступа к данным от имени пользователей Google Workspace или Cloud Identity. Для получения дополнительной информации см. раздел «Понимание служебных учетных записей» .

Создайте учетную запись службы

Консоль Google Cloud

  1. В консоли Google Cloud перейдите в > IAM и администрирование > Учетные записи служб .

    Перейдите в раздел «Учетные записи служб».

  2. Нажмите «Создать учетную запись службы» .
  3. Заполните данные учетной записи службы, затем нажмите «Создать и продолжить» .
  4. Необязательно: назначьте роли вашей учетной записи службы, чтобы предоставить доступ к ресурсам вашего проекта Google Cloud. Для получения более подробной информации см. раздел «Предоставление, изменение и отзыв доступа к ресурсам» .
  5. Нажмите «Продолжить» .
  6. Необязательно: укажите пользователей или группы, которые могут управлять этой учетной записью службы и выполнять с ней действия. Дополнительные сведения см. в разделе «Управление имитацией учетной записи службы» .
  7. Нажмите «Готово» . Запишите адрес электронной почты учетной записи службы.

gcloud CLI

  1. Создайте учетную запись службы: 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --display-name="SERVICE_ACCOUNT_NAME"
  2. Необязательно: назначьте роли вашей учетной записи службы, чтобы предоставить доступ к ресурсам вашего проекта Google Cloud. Для получения более подробной информации см. раздел «Предоставление, изменение и отзыв доступа к ресурсам» .

Назначить роль учетной записи службы

Для назначения учетной записи службы предварительно созданной или пользовательской роли необходимо использовать учетную запись суперадминистратора.

  1. В консоли администратора Google перейдите в > Аккаунт > Роли администратора .

    Перейдите в раздел «Административные роли».

  2. Укажите роль, которую хотите назначить, и нажмите «Назначить администратора» .

  3. Нажмите «Назначить учетные записи служб» .

  4. Введите адрес электронной почты учетной записи службы.

  5. Нажмите «Добавить» > «Назначить роль» .

Создайте учетные данные для служебной учетной записи.

Вам необходимо получить учетные данные в виде пары открытого/закрытого ключей. Эти учетные данные используются вашим кодом для авторизации действий учетной записи службы внутри вашего приложения.

Чтобы получить учетные данные для вашей служебной учетной записи:

  1. В консоли Google Cloud перейдите в > IAM и администрирование > Учетные записи служб .

    Перейдите в раздел «Учетные записи служб».

  2. Выберите свой сервисный аккаунт.
  3. Нажмите «Клавиши» > «Добавить клавишу» > «Создать новую клавишу» .
  4. Выберите JSON , затем нажмите «Создать» .

    Ваша новая пара открытого/закрытого ключей будет сгенерирована и загружена на ваш компьютер в виде нового файла. Сохраните загруженный JSON-файл как credentials.json в вашей рабочей директории. Этот файл является единственной копией данного ключа. Информацию о том, как безопасно хранить ключ, см. в разделе «Управление ключами учетных записей служб» .

  5. Нажмите «Закрыть» .

Необязательно: Настройте делегирование полномочий для учетной записи службы в масштабе всего домена.

Для вызова API от имени пользователей в организации Google Workspace вашей учетной записи службы необходимо предоставить полномочия на уровне домена в консоли администратора Google Workspace от учетной записи суперадминистратора. Дополнительную информацию см. в разделе «Делегирование полномочий на уровне домена учетной записи службы» .

Для настройки делегирования полномочий в масштабах всего домена для учетной записи службы:

  1. В консоли Google Cloud перейдите в > IAM и администрирование > Учетные записи служб .

    Перейдите в раздел «Учетные записи служб».

  2. Выберите свой сервисный аккаунт.
  3. Нажмите «Показать дополнительные настройки» .
  4. В разделе «Делегирование в масштабе домена» найдите «Идентификатор клиента» вашей учетной записи службы. Нажмите «Копировать », чтобы скопировать значение идентификатора клиента в буфер обмена.

  5. Если у вас есть права суперадминистратора для соответствующей учетной записи Google Workspace, нажмите «Просмотреть консоль администратора Google Workspace» , затем войдите в систему, используя учетную запись суперадминистратора, и продолжите выполнение следующих шагов.

    Если у вас нет прав суперадминистратора для соответствующей учетной записи Google Workspace, свяжитесь с суперадминистратором этой учетной записи и отправьте ему идентификатор клиента (Client ID) вашей служебной учетной записи и список областей действия OAuth (OAuth Scopes), чтобы он мог выполнить следующие шаги в консоли администратора.

    1. В консоли администратора Google перейдите в > Безопасность > Доступ и контроль данных > Управление API .

      Перейдите к элементам управления API

    2. Нажмите «Управление делегированием в масштабе домена» .
    3. Нажмите «Добавить новый» .
    4. В поле "Идентификатор клиента" вставьте ранее скопированный идентификатор клиента.
    5. В поле "Области действия OAuth" введите список областей действия, разделенных запятыми, которые необходимы для вашего приложения. Это тот же набор областей действия, который вы определили при настройке экрана согласия OAuth.
    6. Нажмите «Авторизовать» .

Следующий шаг

Вы готовы к разработке на Google Workspace! Ознакомьтесь со списком продуктов Google Workspace для разработчиков и информацией о том, как получить помощь .