Autorisierung

API-Aufrufe an die Kunden-API für die Zero-Touch-Registrierung müssen autorisiert werden. Durch die Anforderung einer Autorisierung werden die Daten Ihrer Organisation geschützt. Zum Autorisieren von Aufrufen für Zero-Touch-Registrierungs-API verwenden möchten, müssen Sie die folgenden Aufgaben ausführen:

  1. Erstellen Sie ein Dienstkonto, um die APIs aufzurufen.
  2. Speichern Sie die JSON-Schlüsseldatei, um die API-Aufrufe zu autorisieren.
  3. Aktivieren Sie die API, um sie für das Dienstkonto verfügbar zu machen.
  4. Verknüpfen Sie das Dienstkonto, um API-Aufrufe im Namen Ihres Unternehmen.

Folgen Sie der Anleitung unten, um die Aufgaben auszuführen.

Schritt 1: Dienstkonto erstellen

Ein Dienstkonto, manchmal auch als Roboterkonto bezeichnet, ist ein Google-Konto, das Apps und keine Nutzer vertritt. Ihre App ruft APIs im Namen der Dienstkonto, sodass die Nutzer nicht direkt beteiligt sind. Da Ihre App Google APIs verwendet, sollten Sie die Google API Console zum Einrichten des Zugriffs verwenden.

API Console-Projekt erstellen

Wir empfehlen, ein neues API Console-Projekt und ein Dienstkonto für Ihre App zu erstellen. Dadurch wird künftig die Verwaltung des Zugriffs, der Ressourcen und die Problembehebung bei verlorenen Schlüsseln erleichtert. Folgen Sie den Schritten unten, um ein neues Projekt in der Google API Console zu erstellen:

  1. Rufen Sie die API Console auf.
  2. Wählen Sie in der Projektliste Projekt erstellen aus.
  3. Vergeben Sie einen Namen, der Ihre App und die Zero-Touch-Registrierung beschreibt.
  4. Legen Sie eine Projekt-ID fest oder übernehmen Sie die Standard-ID.
  5. Klicken Sie auf Erstellen.

Weitere Informationen finden Sie im Google Cloud Platform-Dokument Projekte verwalten in in der Konsole.

Neue Anmeldedaten für den Dienst hinzufügen

So fügen Sie Ihrem Projekt neue Anmeldedaten und ein Dienstkonto hinzu:

  1. Öffne die Seite Dienstkonten. Wähle ein Projekt aus, wenn du dazu aufgefordert wirst.
  2. Klicke auf Dienstkonto erstellen und gib einen Namen und eine Beschreibung für das Dienstkonto ein. Du kannst die standardmäßige Dienstkonto-ID verwenden oder eine andere eindeutige ID auswählen. Wenn du fertig bist, klicke auf Erstellen.
  3. Für den folgenden Abschnitt Dienstkontoberechtigungen (optional) sind keine Maßnahmen erforderlich. Klicke auf Weiter.
  4. Scrolle auf dem Bildschirm Nutzern Zugriff auf dieses Dienstkonto erteilen nach unten zum Abschnitt Schlüssel erstellen. Klicke auf Schlüssel erstellen.
  5. Wähle in der angezeigten Seitenleiste das Format für deinen Schlüssel aus. Empfohlen wird JSON.
  6. Klicke auf Erstellen. Dein neues öffentliches/privates Schlüsselpaar wird generiert und auf deinen Computer heruntergeladen. Dies ist die einzige Kopie dieses Schlüssels. Informationen dazu, wie du den Schlüssel sicher speicherst, findest du unter Dienstkontoschlüssel verwalten.
  7. Klicke im Dialogfeld Privater Schlüssel auf deinem Computer gespeichert auf Schließen und dann auf Fertig, um zur Tabelle deiner Dienstkonten zurückzukehren.

Kopieren und speichern Sie die E-Mail-Adresse des Dienstkontos. Sie benötigen sie später, wenn Sie das Dienstkonto mit Ihrer Organisation verknüpfen.

Schritt 2: JSON-Schlüsseldatei speichern

Die API Console generiert ein neues privates Schlüsselpaar, mit dem API-Anrufe über Ihr Dienstkonto authentifiziert werden. Der private Schlüssel befindet sich in der JSON-Schlüsseldatei, die Sie herunterladen.

Behandeln Sie den Schlüssel geheim und fügen Sie ihn nicht in den Quellcode Ihrer Anwendung ein. Wenn Sie die Schlüsseldatei verlieren, müssen Sie ein neues Schlüsselpaar generieren.

Schritt 3: API aktivieren

Bevor Ihre App die API verwenden kann, müssen Sie sie aktivieren. Wenn Sie eine API aktivieren, wird sie dem aktuellen API Console-Projekt zugeordnet und Monitoringseiten werden Ihrer Console hinzugefügt.

Führen Sie die folgenden Schritte in der API Console aus, um die API zu aktivieren:

  1. Klicken Sie auf APIs und Dienste > Bibliothek.
  2. Verwenden Sie das Suchfeld, um den Android Device Provisioning Partner zu finden. API beginnen.
  3. Klicken Sie auf Android Device Provisioning Partner API.
  4. Klicken Sie auf Aktivieren.

Nach wenigen Momenten wird die API aktiviert. Wenn Sie die Android Device Provisioning Partner API nicht sehen, prüfen Sie, ob Ihre Organisation in die Zero-Touch-Registrierung aufgenommen wurde. Verwenden Sie dasselbe Google-Konto für die Zero-Touch-Registrierung und die Google API Console.

Wenn Sie das Dienstkonto mit dem Konto für die Zero-Touch-Registrierung Ihrer Organisation verknüpfen, wird das Dienstkonto autorisiert, API-Aufrufe im Namen Ihrer Organisation auszuführen. Füllen Sie das Antragsformular aus, um eine Verknüpfung mit Ihrem Dienstkonto.

Wenn Sie die E-Mail-Adresse des von Ihnen erstellten Dienstkontos nicht finden, kopieren Sie sie an einer der folgenden Stellen:

  • Die E-Mail-Adresse des Dienstkontos von der Seite Dienstkonten in der Google API Console.
  • Das Attributfeld client_email in der JSON-Schlüsseldatei.

Sobald Sie die E-Mail-Bestätigung erhalten, dass Ihr Konto verknüpft wurde, -Konto kann dann im Namen Ihrer Organisation Aufrufe an die Kunden-API senden.

API testen

Testen Sie, ob Ihr API-Zugriff funktioniert, indem Sie die Schritte in einer der Kurzanleitungen für Java, .NET und Python ausführen.

Autorisierungsbereiche

API-Autorisierungsbereich verwenden https://www.googleapis.com/auth/androidworkzerotouchemm in deiner App zum Anfordern Ein OAuth 2.0-Zugriffstoken.

Mit einem Bereichsparameter werden die Ressourcen und Vorgänge gesteuert, auf die ein Zugriff Token lässt Aufrufe an. Zugriffstokens sind nur für die Vorgänge und Ressourcen gültig, die im Rahmen der Tokenanfrage beschrieben sind. Die API deckt alle Methoden und Ressourcen mit dem einzelnen Bereich der Zero-Touch-Registrierung oben.

Weitere Informationen zur Verwendung von Google API-Bereichen finden Sie im Hilfeartikel Mit OAuth 2.0 auf Google APIs zugreifen.