授權

傳送至零接觸註冊機制 API 的 API 呼叫需要授權。要求授權可以保護貴機構的資料。如要授權零接觸註冊 API，您必須完成以下工作：

1. 建立服務帳戶以呼叫 API。
2. 儲存 JSON 金鑰檔案以授權 API 呼叫。
3. 啟用 API，將其提供給服務帳戶。
4. 連結服務帳戶，以便代表貴機構發出 API 呼叫。

請根據下方操作說明完成工作。

步驟 1：建立服務帳戶

服務帳戶 (有時稱為機器人帳戶) 是 Google 帳戶，而非應用程式。您的應用程式會代表服務帳戶呼叫 API，因此使用者不會直接參與測試。您的應用程式使用 Google API，因此請使用 Google API 控制台設定存取權。

建立 API 控制台專案

建議您為應用程式建立新的 API 控制台專案和服務帳戶。如此一來，在日後管理存取權、管理資源及修正遺失金鑰會更加方便。首先，請按照下列步驟在 Google API 控制台中建立新專案：

1. 前往 API 控制台。
2. 在專案清單中選取「Create a project」(建立專案)。
3. 輸入用來描述應用程式和零接觸註冊機制的名稱。
4. 指定專案 ID 或接受預設值。
5. 按一下「建立」。

詳情請參閱 Google Cloud Platform 的「透過控制台管理專案」文件。

新增服務憑證

如要為專案新增憑證和服務帳戶，請在 API 控制台中按照以下步驟操作。

1. 開啟「服務帳戶」頁面。如果出現系統提示，請選取您要使用的專案。
2. 按一下 [add 建立服務帳戶]，然後輸入服務帳戶的名稱和說明。您可以使用預設的服務帳戶 ID，也可以自行選擇其他不重複的名稱。完成後，請按一下 [建立]。
3. 系統會隨即顯示「服務帳戶權限」部分，不過您不一定要設定這些權限。請按一下 [繼續]。
4. 在「將這個服務帳戶的存取權授予使用者」畫面中，向下捲動至「建立金鑰」部分。按一下 [add 建立金鑰]。
5. 在隨即顯示的側邊面板中選取金鑰格式；建議您選擇 [JSON]。
6. 按一下 [建立]，接著，系統就會為您產生一對新的公開/私密金鑰，並下載至您的電腦中；這是金鑰的唯一副本，如要瞭解安全儲存的方式，請參閱管理服務帳戶金鑰。
7. 在 [已將私密金鑰儲存至您的電腦中] 對話方塊中按一下 [關閉]，然後再按一下 [完成]，即可返回您的服務帳戶表格。

複製服務帳戶的電子郵件地址，並做好準備。稍後將服務帳戶連結至貴機構時會用到。

步驟 2：儲存 JSON 金鑰檔案

API 控制台會產生新的私密金鑰組，用於驗證透過服務帳戶發出的 API 呼叫。私密金鑰位於您下載的 JSON 金鑰檔案中。

金鑰應保持不公開，因此請勿加入應用程式的原始碼中。如果您遺失金鑰檔案，就必須產生新的金鑰組。

如要進一步瞭解如何安全儲存金鑰檔案，請參閱「安全地使用 API 金鑰的最佳做法」。

步驟 3：啟用 API

您必須先啟用 API，應用程式才能使用。啟用 API 後，系統會將該 API 與目前的 API 控制台專案建立關聯，並在您的控制台中新增監控頁面。

如要啟用 API，請在 API 控制台中執行下列步驟：

1. 按一下「APIs & Services」(API 和服務) >「Library」(程式庫)。
2. 使用搜尋欄位找出 Android Device Provisioning Partner API。
3. 按一下 [Android Device Provisioning Partner API]。
4. 按一下「啟用」。

不久之後，API 狀態就會變更為「已啟用」。如果沒有看到「Android Device Provisioning Partner API」，請檢查貴機構是否已加入零接觸註冊機制。請確認您在零接觸註冊機制和 Google API 控制台使用同一個 Google 帳戶。請洽詢您的 Google 平台解決方案顧問，確認您的 Google 帳戶有權存取該 API。

步驟 4：連結服務帳戶

將服務帳戶連結至貴機構的零接觸註冊機制帳戶，即可授權服務帳戶代表貴機構發出 API 呼叫。請按照下列步驟連結服務帳戶：

1. 開啟零接觸註冊機制入口網站。您可能需要登入。
2. 按一下 settings_ethernet「Service Accounts」(服務帳戶)。
3. 按一下「連結服務帳戶」add。
4. 將「電子郵件地址」設為您建立的服務帳戶地址。
5. 按一下 [Link service account] (連結服務帳戶)，透過您的零接觸註冊機制帳戶使用服務帳戶。

如果找不到您建立的服務帳戶的電子郵件地址，請複製下列其中一個位置：

• Google API 控制台的服務帳戶頁面中的服務帳戶電子郵件地址。
• JSON 金鑰檔案中的 client_email 屬性欄位。

您的服務帳戶現在可以代表貴機構呼叫 Reseller API。

試用 API

按照「開始使用」一文中的步驟，測試 API 存取權是否運作正常。

授權範圍

在應用程式中使用 API 授權範圍 https://www.googleapis.com/auth/androidworkprovisioning 要求 OAuth 2.0 存取權杖。

範圍參數可控管存取權杖允許呼叫的資源和作業。存取權杖僅適用於權杖要求範圍內所述的操作和資源組合。API 涵蓋上述單一零接觸註冊範圍的所有方法和資源。

如需 Google API 用戶端程式庫使用的零接觸註冊範圍範例，請參閱開始使用。如要進一步瞭解如何使用 Google API 範圍，請參閱使用 OAuth 2.0 存取 Google API。