Autorizzazione

Le chiamate API all'API della registrazione zero-touch richiedono l'autorizzazione. Richiedere l'autorizzazione protegge i dati dell'organizzazione. Per autorizzare le chiamate all'API di registrazione zero-touch, devi completare le seguenti attività:

  1. Crea un account di servizio per chiamare le API.
  2. Archivia il file della chiave JSON per autorizzare le chiamate API.
  3. Abilita l'API per renderla disponibile all'account di servizio.
  4. Collegare l'account di servizio per effettuare chiamate API per conto della tua organizzazione.

Segui le istruzioni riportate di seguito per completare le attività.

Passaggio 1: crea un account di servizio

Un account di servizio, talvolta chiamato account robot, è un Account Google che rappresenta le applicazioni anziché gli utenti. L'app chiama le API per conto dell'account di servizio, in modo che gli utenti non siano coinvolti direttamente. La tua app utilizza le API di Google, usa la console API di Google per configurare l'accesso.

Crea un progetto nella console API

È buona norma creare un nuovo progetto della console API e un nuovo account di servizio per l'app. In questo modo, la gestione dell'accesso, la gestione delle risorse e la correzione delle chiavi perdute in futuro saranno più semplici. Per creare un nuovo progetto nella console API di Google, segui questi passaggi:

  1. Vai alla Console API.
  2. Dall'elenco dei progetti, seleziona Crea un progetto.
  3. Inserisci un nome che descriva la tua app e la registrazione zero-touch.
  4. Specifica un ID progetto o accetta il valore predefinito.
  5. Fai clic su Crea.

Per saperne di più, leggi il documento della piattaforma Google Cloud Gestire i progetti nella console.

Aggiungi nuove credenziali di servizio

Per aggiungere nuove credenziali e un account di servizio al progetto, segui i passaggi riportati di seguito nella console API.

  1. Apri la pagina Account di servizio. Se richiesto, seleziona un progetto.
  2. Fai clic su Crea account di servizio, quindi inserisci un nome e una descrizione per l'account di servizio. Puoi utilizzare l'ID account di servizio predefinito o sceglierne un altro univoco. Al termine, fai clic su Crea.
  3. La sezione Autorizzazioni dell'account di servizio (facoltativo) che segue non è obbligatoria. Fai clic su Continua.
  4. Nella schermata Concedi agli utenti l'accesso a questo account di servizio, scorri verso il basso fino alla sezione Crea chiave. Fai clic su Crea chiave.
  5. Nel riquadro laterale che viene visualizzato, seleziona il formato della chiave: si consiglia di utilizzare JSON.
  6. Fai clic su Crea. Viene generata e scaricata sul tuo computer una nuova coppia di chiavi pubblica/privata, che sarà l'unica copia esistente. Per informazioni su come archiviare le chiavi in modo sicuro, consulta la sezione Gestire le chiavi degli account di servizio.
  7. Fai clic su Chiudi nella finestra di dialogo Chiave privata salvata nel computer, poi fai clic su Fine per tornare alla tabella degli account di servizio.

Copia l'indirizzo email dell'account di servizio e tienilo a portata di mano. Ti servirà in un secondo momento, quando colleghi l'account di servizio alla tua organizzazione.

Passaggio 2: archivia il file della chiave JSON

La console API genera una nuova coppia di chiavi private utilizzata per autenticare le chiamate API effettuate utilizzando il tuo account di servizio. La chiave privata si trova nel file della chiave JSON scaricato.

Dovresti mantenere la chiave privata, quindi non includerla nel codice sorgente della tua app. Se perdi il file della chiave, devi generare una nuova coppia di chiavi.

Per scoprire di più sull'archiviazione sicura del file della chiave, leggi le best practice per l'utilizzo sicuro delle chiavi API.

Passaggio 3: abilita l'API

Prima che la tua app possa utilizzare l'API, devi abilitarla. L'abilitazione di un'API la associa al progetto API Console corrente e aggiunge le pagine di monitoraggio nella console.

Per abilitare l'API, segui i passaggi seguenti nella tua API Console:

  1. Fai clic su API e servizi > Libreria.
  2. Utilizza il campo di ricerca per trovare l'API Android Device Provisioning Partner.
  3. Fai clic su API Android Device Provisioning Partner.
  4. Fai clic su Abilita.

Dopo un breve ritardo, lo stato dell'API diventa Attivato. Se non vedi l'API Android Device Provisioning Partner, controlla l'onboarding della tua organizzazione nella registrazione zero-touch. Assicurati di utilizzare lo stesso Account Google per la registrazione zero-touch e la console API di Google. Chiedi al tuo consulente per le soluzioni Google Platform di verificare che il tuo Account Google abbia accesso all'API.

Se colleghi l'account di servizio all'account di registrazione zero-touch della tua organizzazione, autorizzi l'account di servizio a effettuare chiamate API per conto della tua organizzazione. Per collegare l'account di servizio:

  1. Apri il portale della registrazione zero-touch. Potresti dover eseguire l'accesso.
  2. Fai clic su Account di servizio.
  3. Fai clic su Collega account di servizio.
  4. Imposta Indirizzo email sull'indirizzo dell'account di servizio che hai creato.
  5. Fai clic su Collega account di servizio per utilizzare l'account di servizio con il tuo account di registrazione zero-touch.

Se non riesci a trovare l'indirizzo email dell'account di servizio che hai creato, copialo da una delle seguenti posizioni:

  • L'indirizzo email dell'account di servizio dalla pagina Account di servizio nella console API di Google.
  • Il campo della proprietà client_email nel file della chiave JSON.

Ora il tuo account di servizio può effettuare chiamate all'API Reseller per conto della tua organizzazione.

Prova l'API

Verifica il funzionamento dell'accesso all'API seguendo i passaggi descritti in Inizia.

Ambiti di autorizzazione

Utilizza l'ambito di autorizzazione dell'API https://www.googleapis.com/auth/androidworkprovisioning nella tua app per richiedere un token di accesso OAuth 2.0.

Un parametro di ambito controlla l'insieme di risorse e operazioni a cui un token di accesso consente le chiamate. I token di accesso sono validi solo per l'insieme di operazioni e risorse descritte nell'ambito della richiesta di token. L'API copre tutti i metodi e le risorse con il singolo ambito della registrazione zero-touch mostrato sopra.

Per un esempio dell'ambito della registrazione zero-touch utilizzato con la libreria client delle API di Google, consulta la guida introduttiva. Per scoprire di più sull'utilizzo degli ambiti delle API di Google, leggi Utilizzare OAuth 2.0 per accedere alle API di Google.