Autorisierung

API-Aufrufe an die Reseller API der Zero-Touch-Registrierung müssen autorisiert werden. Eine erforderliche Autorisierung schützt die Daten Ihrer Organisation. So autorisieren Sie Aufrufe der Zero-Touch-Registrierungs-API:

1. Erstellen Sie ein Dienstkonto, um die APIs aufzurufen.
2. Speichern Sie die JSON-Schlüsseldatei, um die API-Aufrufe zu autorisieren.
3. Aktivieren Sie die API, um sie dem Dienstkonto zur Verfügung zu stellen.
4. Verknüpfen Sie das Dienstkonto, um API-Aufrufe im Namen Ihrer Organisation auszuführen.

Folgen Sie der Anleitung unten, um die Aufgaben zu erledigen.

Schritt 1: Dienstkonto erstellen

Ein Dienstkonto, manchmal auch als Robot-Konto bezeichnet, ist ein Google-Konto, das Anwendungen anstelle von Nutzern darstellt. Ihre App ruft APIs im Namen des Dienstkontos auf, sodass Nutzer nicht direkt beteiligt sind. Da Ihre Anwendung Google APIs verwendet, richten Sie den Zugriff mit der Google API Console ein.

API-Konsolenprojekt erstellen

Es wird empfohlen, ein neues API Console-Projekt und ein neues Dienstkonto für Ihre Anwendung zu erstellen. Dies erleichtert die zukünftige Verwaltung des Zugriffs, das Verwalten von Ressourcen und das Korrigieren verlorener Schlüssel. Führen Sie die folgenden Schritte aus, um ein neues Projekt in der Google API Console zu erstellen:

1. Rufen Sie die API Console auf.
2. Wählen Sie in der Projektliste Projekt erstellen aus.
3. Geben Sie einen Namen ein, der Ihre App und die Zero-Touch-Registrierung beschreibt.
4. Geben Sie eine Projekt-ID an oder übernehmen Sie die Standardeinstellung.
5. Klicken Sie auf Erstellen.

Weitere Informationen finden Sie im Dokument Google Cloud Platform-Projekte in der Console verwalten.

Neue Dienstanmeldedaten hinzufügen

Führen Sie die folgenden Schritte in der API Console aus, um Ihrem Projekt neue Anmeldedaten und ein Dienstkonto hinzuzufügen.

1. Öffne die Seite Dienstkonten. Wähle ein Projekt aus, wenn du dazu aufgefordert wirst.
2. Klicke auf add Dienstkonto erstellen und gib einen Namen und eine Beschreibung für das Dienstkonto ein. Du kannst die standardmäßige Dienstkonto-ID verwenden oder eine andere eindeutige ID auswählen. Wenn du fertig bist, klicke auf Erstellen.
3. Für den folgenden Abschnitt Dienstkontoberechtigungen (optional) sind keine Maßnahmen erforderlich. Klicke auf Weiter.
4. Scrolle auf dem Bildschirm Nutzern Zugriff auf dieses Dienstkonto erteilen nach unten zum Abschnitt Schlüssel erstellen. Klicke auf add Schlüssel erstellen.
5. Wählen Sie in der angezeigten Seitenleiste das Format für Ihren Schlüssel aus. Empfohlen wird JSON.
6. Klicken Sie auf Erstellen. Dein neues öffentliches/privates Schlüsselpaar wird generiert und auf deinen Computer heruntergeladen. Dies ist die einzige Kopie dieses Schlüssels. Informationen dazu, wie du den Schlüssel sicher speicherst, findest du unter Dienstkontoschlüssel verwalten.
7. Klicke im Dialogfeld Privater Schlüssel auf deinem Computer gespeichert auf Schließen und dann auf Fertig, um zur Tabelle deiner Dienstkonten zurückzukehren.

Kopieren Sie die E-Mail-Adresse des Dienstkontos und halten Sie sie bereit. Sie benötigen ihn später, wenn Sie das Dienstkonto mit Ihrer Organisation verknüpfen.

Schritt 2: JSON-Schlüsseldatei speichern

Die API Console generiert ein neues privates Schlüsselpaar, mit dem API-Aufrufe über Ihr Dienstkonto authentifiziert werden. Der private Schlüssel befindet sich in der JSON-Schlüsseldatei, die Sie herunterladen.

Sie sollten den Schlüssel privat halten. Fügen Sie ihn daher nicht in den Quellcode Ihrer App ein. Wenn Sie die Schlüsseldatei verlieren, müssen Sie ein neues Schlüsselpaar generieren.

Weitere Informationen zum sicheren Speichern von Schlüsseldateien finden Sie unter Best Practices für die sichere Verwendung von API-Schlüsseln.

Schritt 3: API aktivieren

Damit deine App die API verwenden kann, musst du sie aktivieren. Wenn Sie eine API aktivieren, wird sie mit dem aktuellen API-Konsolenprojekt verknüpft und Monitoringseiten werden in Ihrer Konsole hinzugefügt.

So aktivieren Sie die API in Ihrer API Console:

1. Klicken Sie auf APIs und Dienste > Bibliothek.
2. Suchen Sie über das Suchfeld nach der Android Device Provisioning Partner API.
3. Klicken Sie auf Android Device Provisioning Partner API.
4. Klicken Sie auf Aktivieren.

Nach einer kurzen Verzögerung wird der API-Status aktiviert. Wenn die Android Device Provisioning Partner API nicht angezeigt wird, überprüfen Sie, ob die Organisation für die Zero-Touch-Registrierung eingerichtet ist. Achte darauf, dass du für die Zero-Touch-Registrierung und die Google API Console dasselbe Google-Konto verwendest. Bitten Sie Ihren Google Platform Solutions-Berater, zu überprüfen, ob Ihr Google-Konto Zugriff auf die API hat.

Schritt 4: Dienstkonto verknüpfen

Wenn Sie das Dienstkonto mit dem Konto für die Zero-Touch-Registrierung Ihrer Organisation verknüpfen, wird das Dienstkonto autorisiert, API-Aufrufe im Namen Ihrer Organisation auszuführen. So verknüpfen Sie Ihr Dienstkonto:

1. Öffnen Sie das Zero-Touch-Registrierungsportal. Eventuell musst du dich anmelden.
2. Klicken Sie auf settings_ethernet Dienstkonten.
3. Klicken Sie auf add Dienstkonto verknüpfen.
4. Geben Sie unter E-Mail-Adresse die Adresse des von Ihnen erstellten Dienstkontos ein.
5. Klicken Sie auf Dienstkonto verknüpfen, um das Dienstkonto mit Ihrem Konto für die Zero-Touch-Registrierung zu verwenden.

Wenn du die E-Mail-Adresse des von dir erstellten Dienstkontos nicht findest, kopiere sie von einer der folgenden Stellen:

• Die E-Mail-Adresse des Dienstkontos auf der Seite Dienstkonten in der Google API Console.
• Das Attribut client_email in der JSON-Schlüsseldatei

Ihr Dienstkonto kann jetzt Aufrufe im Namen der Organisation an die Reseller API senden.

API testen

Prüfen Sie anhand der Schritte unter Erste Schritte, ob Ihr API-Zugriff funktioniert.

Autorisierungsbereiche

Verwenden Sie den API-Autorisierungsbereich https://www.googleapis.com/auth/androidworkprovisioning in Ihrer App, um ein OAuth 2.0-Zugriffstoken anzufordern.

Ein Bereichsparameter steuert die Ressourcen und Vorgänge, die durch ein Zugriffstoken zugelassen werden. Zugriffstokens sind nur für den Satz von Vorgängen und Ressourcen gültig, die im Bereich der Tokenanfrage beschrieben sind. Die API deckt alle Methoden und Ressourcen mit dem oben beschriebenen Bereich für die Zero-Touch-Registrierung ab.

Ein Beispiel für den Zero-Touch-Registrierungsbereich, der mit der Google API-Clientbibliothek verwendet wird, finden Sie unter Jetzt starten. Weitere Informationen zur Verwendung von Google API-Bereichen finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.