Questa pagina è stata tradotta dall'API Cloud Translation.

Autorizzazione

Le app autorizzano le chiamate all'API del cliente per la registrazione zero-touch tramite OAuth. Questo documento spiega l'autorizzazione dell'API per provider per la gestione della mobilità aziendale (EMM) e sviluppatori IT aziendali. Dopo aver letto questo documento, saprai come autorizzare le richieste API nel tuo app e spiegare i requisiti dell'account agli utenti dell'app.

Guida rapida all'autorizzazione

Per configurare un progetto Google Cloud con l'API di registrazione zero-touch e client secret OAuth, esegui questa procedura guidata.
Crea il codice campione della guida rapida per Java, .NET o Python. Utilizza le librerie client API di Google per supportare altri lingue diverse.

Panoramica

Rapporto tra dispositivo e risorse del cliente

Uno o più amministratori IT sono utenti in un account cliente con registrazione zero-touch.
Gli amministratori IT utilizzano un Account Google per autenticarsi.
Le richieste API passano un token OAuth2 per autorizzare le richieste API per conto di un amministratore IT.

Account cliente

Le configurazioni, i dispositivi e gli utenti (amministratori IT) di un'organizzazione appartengono a un account cliente. Un account cliente è simile a un gruppo e non è un singolo utente. Un rivenditore configura un cliente quando l'organizzazione acquista per la prima volta dispositivi per la registrazione zero-touch. Gli amministratori IT gestiscono altri utenti in la propria organizzazione usando il portale della registrazione zero-touch.

L'API utilizza gli ID cliente numerici per identificare gli account. Devi passare l'ID cliente come parte del percorso dell'URL quando chiami metodi API. La tua app deve ottenere l'accesso l'ID cliente prima di chiamare qualsiasi metodo API.

L'esempio seguente mostra come ottenere gli account cliente per l'utente che autorizza la chiamata API:

Java

AndroidProvisioningPartner.Customers.List accountRequest = service.customers().list();
accountRequest.setPageSize(100);
CustomerListCustomersResponse accountResponse = accountRequest.execute();

List<Company> customers = accountResponse.getCustomers();
if (customers == null || customers.isEmpty()) {
    // No accounts found for the user. Confirm the Google Account
    // that authorizes the request can access the zero-touch portal.
    System.out.println("No zero-touch enrollment account found.");
} else {
    // Print the customers in this page.
    for (Company customer : customers) {
        System.out.format("%s\tcustomers/%d\n",
              customer.getCompanyName(), customer.getCompanyId());
    }
}

.NET

CustomersResource.ListRequest accountRequest = service.Customers.List();
accountRequest.PageSize = 100;
CustomerListCustomersResponse accountResponse = accountRequest.Execute();
IList<Company> customers = accountResponse.Customers ?? new List<Company>();
if (customers.Count == 0)
{
    // No accounts found for the user. Confirm the Google Account
    // that authorizes the request can access the zero-touch portal.
    Console.WriteLine("No zero-touch enrollment account found.");
}
foreach (Company customer in customers)
{
    Console.WriteLine("{0}\tcustomers/{1}",
                      customer.CompanyName,
                      customer.CompanyId);
}

Python

response = service.customers().list(pageSize=100).execute()
if 'customers' not in response:
  # No accounts found for the user. Confirm the Google Account
  # that authorizes the request can access the zero-touch portal.
  print('No zero-touch enrollment account found.')
  response['customers'] = []

for customer in response['customers']:
  print('{0}\tcustomers/{1}'.format(
      customer['companyName'], customer['companyId']))

Nella tua app dovrai navigare nelle pagine dei risultati dell'account perché l'esempio riportato sopra stampa solo i primi 100 account. Per scoprire come fare, consulta Risultati impaginati.

Un'organizzazione di solito ha un account cliente, ma le organizzazioni più grandi potrebbero utilizzare account cliente separati per ogni reparto. Perché un amministratore IT può essere membro di account cliente diversi, la tua app deve aiutare gli utenti a trovare utilizzare nuovi account cliente. Nell'app, etichetta ogni account cliente utilizzando companyName.

Utenti

Gli amministratori IT autorizzano le richieste API inviate dalla tua app per loro conto. A autorizzare le richieste API, l'utente dell'app dovrà:

Associare un Account Google al proprio indirizzo email.
Unisciti a un account cliente utilizzando lo stesso indirizzo email.
Accettare i Termini di servizio (TdS) del cliente per la registrazione zero-touch.

Per aiutare gli utenti della tua app a eseguire la configurazione, riutilizza le nostre indicazioni per gli amministratori IT in Scaricare ha avviato e Associa un Account Google nella tua documentazione.

Gestione utenti

Gli amministratori IT gestiscono gli utenti per i loro account dei clienti nel gruppo zero-touch portale di registrazione. Gli utenti di un account cliente hanno il ruolo di Proprietario o di Amministratore. Entrambi i ruoli hanno lo stesso accesso all'API del cliente, ma Un Proprietario può gestire altri utenti.

Accettazione dei TdS

Prima che gli utenti della tua app possano autorizzare le chiamate API, devono accettare i TdS più recenti. Questo accade quando gli amministratori IT utilizzano per la prima volta la registrazione zero-touch o quando aggiornare i TdS. Quando un utente non ha accettato i TdS più recenti, l'API restituisce un codice di stato HTTP 403 Forbidden e il corpo della risposta contiene un TosError

Il portale chiede automaticamente agli utenti di accettare i TdS più recenti quando accedono in. Per conoscere gli approcci suggeriti che la tua app potrebbe includere, leggi Gestire i Termini di Service nella guida all'integrazione di EMM.

Aggiungi l'autorizzazione all'app

Ogni richiesta che la tua app invia all'API Customer deve includere un token di autorizzazione. Il token, inoltre, identifica l'applicazione per Google. Poiché l'API del cliente accede ai dati utente, l'autorizzazione deve provenire dal proprietario del e i dati di Google Cloud. L'app delega l'autorizzazione API agli amministratori IT utilizzando OAuth 2.0 del protocollo.

Istruzioni

Forniamo guide rapide per Java, .NET e di Python. Se utilizzi una lingua diversa, segui le due i passaggi riportati di seguito per configurare l'autorizzazione dell'app.

Passaggio 1: attiva l'API per la registrazione zero-touch

Usa questo guidata per creare o selezionare un progetto in Google Developers Console e attivare automaticamente l'API. Fai clic su Continua, quindi su Vai alle credenziali.
Fai clic su Annulla in Crea credenziali.
Nella parte superiore della pagina, seleziona la scheda Schermata di consenso OAuth. Seleziona un'opzione Indirizzo email: inserisci un Nome prodotto, se non è già impostato, e fai clic sul pulsante Salva.
Seleziona la scheda Credenziali, quindi fai clic sul pulsante Crea credenziali e seleziona ID client OAuth.
Seleziona un tipo di applicazione in base al tipo di app che stai creando.
Imposta Nome sul nome dell'app.
Fai clic su Crea.
Fai clic su Scarica JSON.
Sposta il file nella directory di lavoro e rinominalo client_secret.json.

Passaggio 2: installa la libreria client

Per installare la libreria client per la tua lingua:

Vai alle librerie client delle API di Google e seleziona la tua lingua. dall'elenco delle lingue supportate.
Segui le indicazioni per installare la libreria client.

Per scoprire di più sull'autorizzazione, leggi l'articolo Utilizzare OAuth 2.0 per accedere alle API di Google.

Ambiti di autorizzazione

Utilizza l'ambito di autorizzazione API https://www.googleapis.com/auth/androidworkzerotouchemm nella tua app per effettuare una richiesta un token di accesso OAuth 2.0.

Un parametro di ambito controlla l'insieme di risorse e operazioni a cui un token di accesso consente le chiamate. I token di accesso sono validi solo per il set di operazioni e le risorse descritte nell'ambito della richiesta di token. L'API copre tutti gli aspetti i metodi e le risorse con l'ambito della registrazione zero-touch singolo mostrato in alto.

Per un esempio dell'ambito della registrazione zero-touch utilizzato con l'API di Google libreria client, consulta le guide rapide per Java, .NET e Python. Per scoprire di più sull'utilizzo degli ambiti delle API di Google, leggi l'articolo Utilizzo OAuth 2.0 per accedere alle API di Google.

Best practice per le chiavi API

Quando utilizzi le chiavi API nelle tue applicazioni, assicurati di mantenerle al sicuro. L'esposizione pubblica delle credenziali può comportare la compromissione dell'account compromesso, il che potrebbe comportare addebiti imprevisti sul tuo account. Per mantenere le tue chiavi API, segui queste best practice:

Non incorporare le chiavi API direttamente nel codice: Le chiavi API incorporate nel codice possono essere accidentalmente esposte al pubblico, ad esempio se dimentichi di rimuoverle dal codice che condividi. Anziché incorporare le chiavi API nelle applicazioni, archiviale in in variabili di ambiente o in file esterni all'origine dell'applicazione albero di Natale.
Non memorizzare le chiavi API nei file all'interno della struttura di origine dell'applicazione: Se archivi le chiavi API nei file, mantieni i file al di fuori struttura del codice sorgente per assicurarti che le chiavi non finiscano nel controllo del codice sorgente di un sistema operativo completo. Ciò è particolarmente importante se utilizzi un codice sorgente pubblico di un sistema di gestione dei dati come GitHub.
Limitare l'utilizzo delle chiavi API solo agli indirizzi IP, agli URL referrer e alle app mobile che ne hanno bisogno: Limitando gli indirizzi IP, gli URL referrer e le app mobile che possono usare ogni chiave, puoi ridurre l'impatto di una chiave API compromessa. Puoi specificare gli host e le app che possono utilizzare ogni chiave dalla console API di Google aprendo la pagina Credenziali e creando una nuova chiave API con le impostazioni che preferisci oppure modificando le impostazioni di una chiave API.
Elimina le chiavi API non necessarie: Per ridurre al minimo l'esposizione agli attacchi, elimina le chiavi API che non ti servono più.
Rigenera periodicamente le chiavi API: Puoi rigenerare le chiavi API dalla console API di Google aprendo la Pagina Credenziali, selezionando una chiave API e facendo clic su Rigenera. per ogni chiave. Poi aggiorna le applicazioni in modo che utilizzino lo standard chiave. Le chiavi precedenti continueranno a funzionare per 24 ore dopo la generazione chiavi sostitutive.
Rivedi il codice prima di rilasciarlo pubblicamente: Assicurati che il tuo codice non contenga chiavi API o altre chiavi private informazioni prima di rendere disponibile pubblicamente il codice.