Le credenziali vengono utilizzate per ottenere un token di accesso dai server di autorizzazione di Google in modo che la tua app possa chiamare le API Google Workspace. Questa guida descrive come scegliere e configurare le credenziali necessarie per la tua app.
Per le definizioni dei termini presenti in questa pagina, consulta la Panoramica di autenticazione e autorizzazione.
Scegli le credenziali di accesso più adatte a te
Le credenziali richieste dipendono dal tipo di dati, dalla piattaforma e dalla metodologia di accesso della tua app. Sono disponibili tre tipi di credenziali:
| Caso d'uso | Metodo di autenticazione | Informazioni su questo metodo di autenticazione |
|---|---|---|
| Accedi ai dati disponibili pubblicamente in forma anonima nella tua app. | Chiavi API | Prima di utilizzare questo metodo di autenticazione, controlla che l'API che vuoi utilizzare supporti le chiavi API. |
| Accedere ai dati utente, ad esempio l'indirizzo email o l'età. | ID client OAuth | Richiede che la tua app richieda e riceva il consenso dell'utente. |
| Accedi ai dati appartenenti alla tua applicazione o alle risorse per conto degli utenti di Google Workspace o Cloud Identity tramite la delega a livello di dominio. | Service account | Quando un'app si autentica come account di servizio, ha accesso a tutte le risorse a cui l'account di servizio ha l'autorizzazione di accesso. |
Credenziali della chiave API
Una chiave API è una stringa lunga contenente lettere maiuscole e minuscole, numeri, trattini bassi e trattini, ad esempio AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Questo metodo di autenticazione viene utilizzato per accedere in forma anonima ai dati disponibili pubblicamente, ad esempio i file di Google Workspace condivisi utilizzando l'impostazione di condivisione "Chiunque su internet con questo link". Per maggiori dettagli, consulta
Utilizzare le chiavi API.
Per creare una chiave API:
- Nella console Google Cloud, vai a Menu > API e servizi > Credenziali.
- Fai clic su Crea credenziali > Chiave API.
- Viene visualizzata la nuova chiave API.
- Fai clic su Copia per copiare la chiave API da utilizzare nel codice dell'app. La chiave API è disponibile anche nella sezione "Chiavi API" delle credenziali del progetto.
- Fai clic su Limita chiave per aggiornare le impostazioni avanzate e limitare l'utilizzo della chiave API. Per maggiori dettagli, vedi Applicare limitazioni alle chiavi API.
Credenziali ID client OAuth
Per autenticare gli utenti finali e accedere ai dati utente nella tua app, devi creare uno o più ID client OAuth 2.0. L'ID client viene utilizzato per identificare una singola app nei server OAuth di Google. Se l'app viene eseguita su più piattaforme, devi creare un ID client separato per ogni piattaforma.Scegli il tipo di applicazione per istruzioni specifiche su come creare un ID client OAuth:
Applicazione web
- Nella console Google Cloud, vai a Menu > > Client.
- Fai clic su Crea cliente.
- Fai clic su Tipo di applicazione > Applicazione web.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Aggiungi gli URI autorizzati relativi alla tua app:
- App lato client (JavaScript): in Origini JavaScript autorizzate, fai clic su Aggiungi URI. Poi, inserisci un URI da utilizzare per le richieste del browser. In questo modo vengono identificati i domini da cui la tua applicazione può inviare richieste API al server OAuth 2.0.
- App lato server (Java, Python e altre): in URI di reindirizzamento autorizzati, fai clic su Aggiungi URI. Poi, inserisci un URI dell'endpoint a cui il server OAuth 2.0 può inviare risposte.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in ID client OAuth 2.0.
Prendi nota dell'ID client. I client secret non vengono utilizzati per le applicazioni web.
Android
- Nella console Google Cloud, vai a Menu > > Client.
- Fai clic su Crea cliente.
- Fai clic su Tipo di applicazione > Android.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Nel campo "Nome pacchetto", inserisci il nome del pacchetto dal file
AndroidManifest.xml. - Nel campo "Impronta certificato SHA-1", inserisci l'impronta del certificato SHA-1 generata.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
iOS
- Nella console Google Cloud, vai a Menu > > Client.
- Fai clic su Crea cliente.
- Fai clic su Tipo di applicazione > iOS.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Nel campo "ID bundle", inserisci l'identificatore bundle elencato nel file
Info.plistdell'app. - (Facoltativo) Se la tua app è presente nell'Apple App Store, inserisci l'ID App Store.
- (Facoltativo) Nel campo "ID team", inserisci la stringa univoca di 10 caratteri generata da Apple e assegnata al tuo team.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Estensione di Chrome
- Nella console Google Cloud, vai a Menu > > Client.
- Fai clic su Crea cliente.
- Fai clic su Tipo di applicazione > Estensione di Chrome.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Nel campo "ID articolo", inserisci la stringa ID univoca di 32 caratteri della tua app. Puoi trovare questo valore ID nell'URL del Chrome Web Store della tua app e nella Dashboard per sviluppatori del Chrome Web Store.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Applicazione desktop
- Nella console Google Cloud, vai a Menu > > Client.
- Fai clic su Crea cliente.
- Fai clic su Tipo di applicazione > App desktop.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
TV e dispositivi a input limitato
- Nella console Google Cloud, vai a Menu > > Client.
- Fai clic su Crea cliente.
- Fai clic su Tipo di applicazione > TV e dispositivi di input con limitazioni.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Universal Windows Platform (UWP)
- Nella console Google Cloud, vai a Menu > > Client.
- Fai clic su Crea cliente.
- Fai clic su Tipo di applicazione > Universal Windows Platform (UWP).
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Google Cloud.
- Nel campo "ID store", inserisci il valore dell'ID Microsoft Store univoco di 12 caratteri della tua app. Puoi trovare questo ID nell'URL del Microsoft Store della tua app e in Partner Center.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Credenziali dell'account di servizio
Un account di servizio è un tipo speciale di account utilizzato da un'applicazione anziché da una persona. Puoi utilizzare un account di servizio per accedere ai dati o eseguire azioni tramite l'account del robot oppure per accedere ai dati per conto degli utenti di Google Workspace o Cloud Identity. Per ulteriori informazioni, consulta Informazioni sugli account di servizio.Crea un account di servizio
Console Google Cloud
- Nella console Google Cloud, vai a Menu > IAM e amministrazione > Account di servizio.
- Fai clic su Crea account di servizio.
- Inserisci i dettagli dell'account di servizio e poi fai clic su Crea e continua.
- (Facoltativo) Assegna i ruoli all'account di servizio per concedere l'accesso alle risorse del tuo progetto Google Cloud. Per ulteriori dettagli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
- Fai clic su Continua.
- (Facoltativo) Inserisci gli utenti o i gruppi che possono gestire ed eseguire azioni con questo account di servizio. Per maggiori dettagli, vedi Gestire l'impersonificazione degli account di servizio.
- Fai clic su Fine. Prendi nota dell'indirizzo email dell'account di servizio.
Interfaccia a riga di comando gcloud
- Crea l'account di servizio:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - (Facoltativo) Assegna i ruoli all'account di servizio per concedere l'accesso alle risorse del tuo progetto Google Cloud. Per ulteriori dettagli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Assegnare un ruolo a un account di servizio
Devi assegnare un ruolo predefinito o personalizzato a un account di servizio da un account super amministratore.
Nella Console di amministrazione Google, vai a Menu > Account > Ruoli amministratore.
Posiziona il puntatore del mouse sul ruolo che vuoi assegnare e fai clic su Assegna amministratore.
Fai clic su Assegna account di servizio.
Inserisci l'indirizzo email dell'account di servizio.
Fai clic su Aggiungi > Assegna ruolo.
Creare le credenziali di un account di servizio
Devi ottenere le credenziali sotto forma di una coppia di chiavi pubblica/privata. Queste credenziali vengono utilizzate dal codice per autorizzare le azioni dell'account di servizio all'interno dell'app.Per ottenere le credenziali per il tuo account di servizio:
- Nella console Google Cloud, vai a Menu > IAM e amministrazione > Account di servizio.
- Seleziona il tuo account di servizio.
- Fai clic su Chiavi > Aggiungi chiave > Crea nuova chiave.
- Seleziona JSON, quindi fai clic su Crea.
La nuova coppia di chiavi pubblica/privata viene generata e scaricata sul tuo computer come nuovo file. Salva il file JSON scaricato come
credentials.jsonnella directory di lavoro. Questo file è l'unica copia di questa chiave. Per informazioni su come memorizzare la chiave in modo sicuro, consulta la sezione Gestire le chiavi degli account di servizio. - Fai clic su Chiudi.
(Facoltativo) Configura la delega a livello di dominio per un account di servizio
Per chiamare le API per conto degli utenti di un'organizzazione Google Workspace, al tuo account di servizio deve essere concessa la delega dell'autorità a livello di dominio nella Console di amministrazione Google Workspace da un account super amministratore. Per maggiori informazioni, vedi Delegare l'autorità a livello di dominio a un account di servizio.Per configurare la delega dell'autorità a livello di dominio per un account di servizio:
- Nella console Google Cloud, vai a Menu > IAM e amministrazione > Account di servizio.
- Seleziona il tuo account di servizio.
- Fai clic su Mostra impostazioni avanzate.
- Nella sezione "Delegation a livello di dominio", trova l'"ID client" del tuo account di servizio. Fai clic su Copia per copiare il valore dell'ID client negli appunti.
Se disponi dell'accesso come super amministratore all'account Google Workspace pertinente, fai clic su Visualizza la Console di amministrazione Google Workspace, poi accedi con un account utente super amministratore e continua a seguire questi passaggi.
Se non disponi dell'accesso come super amministratore all'account Google Workspace pertinente, contatta un super amministratore di quell'account e inviagli l'ID cliente e l'elenco degli ambiti OAuth del tuo account servizio in modo che possa completare i passaggi che seguono nella Console di amministrazione.
- Nella Console di amministrazione Google, vai a Menu > Sicurezza > Accesso e controllo dei dati > Controlli API.
- Fai clic su Gestisci delega a livello di dominio.
- Fai clic su Aggiungi nuova.
- Nel campo "ID client", incolla l'ID client copiato in precedenza.
- Nel campo "Ambiti OAuth", inserisci un elenco delimitato da virgole degli ambiti richiesti dalla tua applicazione. Si tratta dello stesso insieme di ambiti definito durante la configurazione della schermata per il consenso OAuth.
- Fai clic su Autorizza.
Passaggio successivo
Ora puoi iniziare a sviluppare su Google Workspace. Consulta l'elenco dei prodotti per sviluppatori di Google Workspace e scopri come ricevere assistenza.