Tạo thông tin xác thực truy cập

Thông tin đăng nhập được dùng để lấy mã truy cập từ máy chủ uỷ quyền của Google để ứng dụng có thể gọi các API Google Workspace. Hướng dẫn này mô tả cách chọn và thiết lập thông tin xác thực mà ứng dụng của bạn cần.

Để biết định nghĩa của các thuật ngữ có trên trang này, hãy xem bài viết Tổng quan về hoạt động xác thực và uỷ quyền.

Chọn thông tin xác thực quyền truy cập phù hợp với bạn

Thông tin xác thực bắt buộc phụ thuộc vào loại dữ liệu, nền tảng và phương pháp truy cập của ứng dụng. Hiện có 3 loại thông tin xác thực:

Trường hợp sử dụng Phương pháp xác thực Giới thiệu về phương pháp xác thực này
Truy cập ẩn danh dữ liệu công khai có sẵn trong ứng dụng của bạn. Khoá API Hãy kiểm tra để đảm bảo API bạn muốn dùng có hỗ trợ khoá API trước khi dùng phương thức xác thực này.
Truy cập vào dữ liệu người dùng, chẳng hạn như địa chỉ email hoặc tuổi của họ. Mã ứng dụng OAuth Ứng dụng phải yêu cầu và nhận được sự đồng ý của người dùng.
Truy cập dữ liệu thuộc về ứng dụng của chính bạn hoặc truy cập vào tài nguyên thay mặt cho người dùng Google Workspace hoặc Cloud Identity thông qua uỷ quyền trên toàn miền. Tài khoản dịch vụ Khi xác thực dưới dạng tài khoản dịch vụ, một ứng dụng sẽ có quyền truy cập vào tất cả tài nguyên mà tài khoản dịch vụ có quyền truy cập.

Thông tin xác thực khoá API

Khoá API là một chuỗi dài chứa chữ cái viết hoa và viết thường, số, dấu gạch dưới và dấu gạch nối, chẳng hạn như AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Phương thức xác thực này dùng để truy cập ẩn danh vào dữ liệu công khai, chẳng hạn như các tệp trên Google Workspace được chia sẻ bằng chế độ cài đặt chia sẻ "Bất kỳ ai trên Internet có đường liên kết này". Để biết thêm thông tin chi tiết, hãy xem bài viết Sử dụng khoá API.

Cách tạo khoá API:

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Create credentials (Tạo thông tin xác thực) > API key (Khoá API).
  3. Khoá API mới của bạn sẽ xuất hiện.
    • Nhấp vào biểu tượng Sao chép để sao chép khoá API nhằm sử dụng trong mã của ứng dụng. Bạn cũng có thể tìm thấy khoá API trong phần "Khoá API" trong thông tin xác thực của dự án.
    • Nhấp vào Restrict key (Hạn chế khoá) để cập nhật chế độ cài đặt nâng cao và hạn chế việc sử dụng khoá API. Để biết thêm thông tin chi tiết, hãy xem phần Áp dụng các hạn chế đối với khoá API.

Thông tin đăng nhập mã ứng dụng OAuth

Để xác thực người dùng cuối và truy cập vào dữ liệu người dùng trong ứng dụng, bạn cần tạo một hoặc nhiều Mã ứng dụng khách OAuth 2.0. Mã ứng dụng khách được dùng để xác định một ứng dụng cho các máy chủ OAuth của Google. Nếu ứng dụng của bạn chạy trên nhiều nền tảng, bạn phải tạo một mã ứng dụng khách riêng cho từng nền tảng.

Chọn loại ứng dụng để xem hướng dẫn cụ thể về cách tạo mã ứng dụng khách OAuth:

Ứng dụng web

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
  3. Nhấp vào Application type (Loại ứng dụng) > Web application (Ứng dụng web).
  4. Trong trường Tên, nhập tên cho thông tin đăng nhập. Tên này chỉ hiển thị trong bảng điều khiển Google Cloud.
  5. Thêm URI được uỷ quyền liên quan đến ứng dụng của bạn:
    • Ứng dụng phía máy khách (JavaScript) – Trong phần Nguồn gốc JavaScript được cho phép, hãy nhấp vào Thêm URI. Sau đó, nhập URI để sử dụng cho các yêu cầu của trình duyệt. Mã này xác định các miền mà ứng dụng của bạn có thể gửi yêu cầu API đến máy chủ OAuth 2.0.
    • Ứng dụng phía máy chủ (Java, Python, v.v.) – Trong phần URI chuyển hướng được uỷ quyền, hãy nhấp vào Thêm URI. Sau đó, hãy nhập URI điểm cuối mà máy chủ OAuth 2.0 có thể gửi phản hồi.
  6. Nhấp vào Tạo. Màn hình ứng dụng OAuth đã tạo sẽ xuất hiện, cho thấy Mã ứng dụng khách và Mật khẩu ứng dụng khách mới.

    Ghi lại Mã ứng dụng khách. Mật khẩu ứng dụng khách không được dùng cho các ứng dụng web.

  7. Nhấp vào OK. Thông tin đăng nhập mới tạo sẽ xuất hiện trong phần Mã ứng dụng OAuth 2.0.

Android

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
  3. Nhấp vào Application type (Loại ứng dụng) > Android.
  4. Trong trường "Tên", nhập tên cho thông tin xác thực. Tên này chỉ hiển thị trong bảng điều khiển Google Cloud.
  5. Trong trường "Package name" (Tên gói), hãy nhập tên gói trong tệp AndroidManifest.xml của bạn.
  6. Trong trường "Dấu vân tay chứng chỉ SHA-1", hãy nhập vân tay số cho chứng chỉ SHA-1 đã tạo.
  7. Nhấp vào Tạo. Màn hình ứng dụng OAuth đã tạo sẽ xuất hiện, cho thấy Mã ứng dụng mới của bạn.
  8. Nhấp vào OK. Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

iOS

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
  3. Nhấp vào Application type (Loại ứng dụng) > iOS.
  4. Trong trường "Tên", nhập tên cho thông tin xác thực. Tên này chỉ hiển thị trong bảng điều khiển Google Cloud.
  5. Trong trường "Bundle ID", hãy nhập giá trị nhận dạng gói như trong tệp Info.plist của ứng dụng.
  6. Không bắt buộc: Nếu ứng dụng của bạn xuất hiện trong Apple App Store, hãy nhập mã App Store.
  7. Không bắt buộc: Trong trường "Mã nhóm", hãy nhập chuỗi duy nhất gồm 10 ký tự do Apple tạo và được chỉ định cho nhóm của bạn.
  8. Nhấp vào Tạo. Màn hình ứng dụng OAuth đã tạo sẽ xuất hiện, cho thấy Mã ứng dụng khách và Mật khẩu ứng dụng khách mới.
  9. Nhấp vào OK. Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Ứng dụng Chrome

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
  3. Nhấp vào Loại ứng dụng > Ứng dụng Chrome.
  4. Trong trường "Tên", nhập tên cho thông tin xác thực. Tên này chỉ hiển thị trong bảng điều khiển Google Cloud.
  5. Trong trường "Mã ứng dụng", hãy nhập chuỗi mã nhận dạng duy nhất gồm 32 ký tự của ứng dụng. Bạn có thể tìm thấy giá trị mã này trong URL Cửa hàng Chrome trực tuyến của ứng dụng và trong Trang tổng quan dành cho nhà phát triển Cửa hàng Chrome trực tuyến.
  6. Nhấp vào Tạo. Màn hình ứng dụng OAuth đã tạo sẽ xuất hiện, cho thấy Mã ứng dụng khách và Mật khẩu ứng dụng khách mới.
  7. Nhấp vào OK. Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Ứng dụng dành cho máy tính

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
  3. Nhấp vào Loại ứng dụng > Ứng dụng cho máy tính.
  4. Trong trường Tên, nhập tên cho thông tin đăng nhập. Tên này chỉ hiển thị trong bảng điều khiển Google Cloud.
  5. Nhấp vào Tạo. Màn hình ứng dụng OAuth đã tạo sẽ xuất hiện, cho thấy Mã ứng dụng khách và Mật khẩu ứng dụng khách mới.
  6. Nhấp vào OK. Thông tin xác thực mới tạo sẽ xuất hiện trong phần Mã ứng dụng OAuth 2.0.

TV và thiết bị đầu vào giới hạn

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
  3. Nhấp vào Loại ứng dụng > TV và Thiết bị đầu vào giới hạn.
  4. Trong trường "Tên", nhập tên cho thông tin xác thực. Tên này chỉ hiển thị trong bảng điều khiển Google Cloud.
  5. Nhấp vào Tạo. Màn hình ứng dụng OAuth đã tạo sẽ xuất hiện, cho thấy Mã ứng dụng khách và Mật khẩu ứng dụng khách mới.
  6. Nhấp vào OK. Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Universal Windows Platform (UWP)

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > API và dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin xác thực

  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
  3. Nhấp vào Application type > Universal Windows Platform (UWP) (Loại ứng dụng > Loại ứng dụng > Universal Windows Platform (UWP)).
  4. Trong trường "Tên", nhập tên cho thông tin xác thực. Tên này chỉ hiển thị trong bảng điều khiển Google Cloud.
  5. Trong trường "Mã cửa hàng", hãy nhập giá trị mã cửa hàng trên Microsoft gồm 12 ký tự duy nhất cho ứng dụng của bạn. Bạn có thể tìm thấy mã này trong URL Microsoft Store của ứng dụng và trong Trung tâm đối tác.
  6. Nhấp vào Tạo. Màn hình ứng dụng OAuth đã tạo sẽ xuất hiện, cho thấy Mã ứng dụng khách và Mật khẩu ứng dụng khách mới.
  7. Nhấp vào OK. Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Thông tin đăng nhập tài khoản dịch vụ

Tài khoản dịch vụ là một loại tài khoản đặc biệt được ứng dụng sử dụng chứ không phải cá nhân. Bạn có thể sử dụng tài khoản dịch vụ để truy cập vào dữ liệu hoặc thực hiện các thao tác bằng tài khoản robot, hoặc để truy cập vào dữ liệu thay mặt cho người dùng Google Workspace hoặc Cloud Identity. Để biết thêm thông tin, hãy xem bài viết Tìm hiểu về tài khoản dịch vụ.

Tạo một tài khoản dịch vụ

Bảng điều khiển Google Cloud

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > IAM và Quản trị viên > Tài khoản dịch vụ.

    Chuyển đến trang Tài khoản dịch vụ

  2. Nhấp vào Tạo tài khoản dịch vụ.
  3. Điền thông tin chi tiết về tài khoản dịch vụ, sau đó nhấp vào Tạo và tiếp tục.
  4. Không bắt buộc: Chỉ định vai trò cho tài khoản dịch vụ để cấp quyền truy cập vào các tài nguyên trong dự án Google Cloud của bạn. Để biết thêm thông tin, hãy tham khảo bài viết Cấp, thay đổi và thu hồi quyền truy cập vào tài nguyên.
  5. Nhấp vào Tiếp tục.
  6. Không bắt buộc: Nhập những người dùng hoặc nhóm có thể quản lý và thực hiện hành động bằng tài khoản dịch vụ này. Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Quản lý mạo danh tài khoản dịch vụ.
  7. Nhấp vào Xong. Ghi lại địa chỉ email cho tài khoản dịch vụ.

Giao diện dòng lệnh (CLI) của gcloud

  1. Tạo tài khoản dịch vụ:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. Không bắt buộc: Chỉ định vai trò cho tài khoản dịch vụ để cấp quyền truy cập vào các tài nguyên trong dự án Google Cloud của bạn. Để biết thêm thông tin, hãy tham khảo bài viết Cấp, thay đổi và thu hồi quyền truy cập vào tài nguyên.

Chỉ định vai trò cho tài khoản dịch vụ

Bạn phải chỉ định vai trò tạo sẵn hoặc tuỳ chỉnh cho một tài khoản dịch vụ bằng tài khoản quản trị viên cấp cao.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn > Tài khoản > Vai trò quản trị.

    Chuyển đến mục Vai trò quản trị

  2. Trỏ vào vai trò mà bạn muốn chỉ định, sau đó nhấp vào Chỉ định quản trị viên.

  3. Nhấp vào Chỉ định tài khoản dịch vụ.

  4. Nhập địa chỉ email của tài khoản dịch vụ.

  5. Nhấp vào Thêm > Chỉ định vai trò.

Tạo thông tin xác thực cho tài khoản dịch vụ

Bạn cần lấy thông tin đăng nhập dưới dạng một cặp khoá công khai/riêng tư. Mã của bạn sử dụng những thông tin xác thực này để cho phép các hành động trong tài khoản dịch vụ trong ứng dụng.

Cách lấy thông tin đăng nhập cho tài khoản dịch vụ:

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > IAM và Quản trị viên > Tài khoản dịch vụ.

    Chuyển đến trang Tài khoản dịch vụ

  2. Chọn tài khoản dịch vụ của bạn.
  3. Nhấp vào Khoá > Thêm khoá > Tạo khoá mới.
  4. Chọn JSON rồi nhấp vào Tạo.

    Cặp khoá công khai/riêng tư mới sẽ được tạo và tải xuống máy của bạn dưới dạng một tệp mới. Lưu tệp JSON đã tải xuống dưới dạng credentials.json trong thư mục đang làm việc. Tệp này là bản sao duy nhất của khoá này. Để biết thông tin về cách lưu trữ an toàn khoá của bạn, hãy xem bài viết Quản lý khoá tài khoản dịch vụ.

  5. Nhấp vào Close (Đóng).

Không bắt buộc: Thiết lập tính năng uỷ quyền trên toàn miền cho một tài khoản dịch vụ

Để thay mặt người dùng trong một tổ chức Google Workspace gọi API, tài khoản dịch vụ của bạn cần được một tài khoản quản trị viên cấp cao cấp quyền uỷ quyền trên toàn miền trong Bảng điều khiển dành cho quản trị viên Google Workspace. Để biết thêm thông tin, xem phần Uỷ quyền trên toàn miền cho một tài khoản dịch vụ.

Cách thiết lập tính năng uỷ quyền trên toàn miền cho một tài khoản dịch vụ:

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > IAM và Quản trị viên > Tài khoản dịch vụ.

    Chuyển đến trang Tài khoản dịch vụ

  2. Chọn tài khoản dịch vụ của bạn.
  3. Nhấp vào Hiển thị các tuỳ chọn cài đặt nâng cao.
  4. Trong phần "Uỷ quyền trên toàn miền", hãy tìm "Mã khách hàng" của tài khoản dịch vụ. Nhấp vào biểu tượng Sao chép để sao chép giá trị mã ứng dụng khách vào bảng nhớ tạm.
  5. Nếu bạn có quyền quản trị viên cấp cao đối với tài khoản Google Workspace liên quan, hãy nhấp vào phần Xem Bảng điều khiển dành cho quản trị viên Google Workspace, sau đó đăng nhập bằng tài khoản người dùng quản trị viên cấp cao rồi tiếp tục làm theo các bước sau.

    Nếu bạn không có quyền quản trị viên cấp cao đối với tài khoản Google Workspace có liên quan, hãy liên hệ với một quản trị viên cấp cao của tài khoản đó và gửi cho họ mã ứng dụng khách của tài khoản dịch vụ cũng như danh sách Phạm vi OAuth để họ có thể hoàn tất các bước sau trong Bảng điều khiển dành cho quản trị viên.

    1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn > Bảo mật > Truy cập và kiểm soát dữ liệu > Các tuỳ chọn kiểm soát API.

      Chuyển đến các chế độ kiểm soát API

    2. Nhấp vào Quản lý uỷ quyền trên toàn miền.
    3. Nhấp vào Thêm mới.
    4. Trong trường "Mã ứng dụng khách", hãy dán mã ứng dụng khách mà bạn đã sao chép trước đó.
    5. Trong trường "Phạm vi OAuth", hãy nhập danh sách các phạm vi được phân tách bằng dấu phẩy mà ứng dụng của bạn yêu cầu. Đây cũng là nhóm phạm vi mà bạn đã xác định khi định cấu hình màn hình xin phép bằng OAuth.
    6. Nhấp vào Uỷ quyền.

Bước tiếp theo

Bạn đã sẵn sàng phát triển ứng dụng trên Google Workspace! Xem danh sách các sản phẩm dành cho nhà phát triển của Google Workspacecách tìm sự trợ giúp.