Anmeldedaten werden verwendet, um ein Zugriffstoken von den Autorisierungsservern von Google abzurufen, damit Ihre Anwendung Google Workspace APIs aufrufen kann. In diesem Leitfaden wird beschrieben, wie Sie die Anmeldedaten auswählen und einrichten, die Ihre Anwendung benötigt.
Definitionen der Begriffe auf dieser Seite finden Sie unter Authentifizierung und Autorisierung – Übersicht.
Passende Anmeldedaten für den Zugriff auswählen
Die erforderlichen Anmeldedaten hängen von der Art der Daten, der Plattform und der Zugriffsmethode Ihrer Anwendung ab. Es gibt drei Arten von Anmeldedatentypen:
Anwendungsfall | Authentifizierungsmethode | Informationen zu dieser Authentifizierungsmethode |
---|---|---|
Anonym auf öffentlich verfügbare Daten in Ihrer App zugreifen | API-Schlüssel | Prüfen Sie, ob die gewünschte API API-Schlüssel unterstützt, bevor Sie diese Authentifizierungsmethode verwenden. |
Auf Nutzerdaten wie E-Mail-Adresse oder Alter zugreifen | OAuth-Client-ID | Ihre App muss dazu eine Einwilligung des Nutzers einholen. |
Über die domainweite Delegierung können Sie im Namen von Google Workspace- oder Cloud Identity-Nutzern auf Daten Ihrer eigenen Anwendung zugreifen oder auf Ressourcen zugreifen. | Dienstkonto | Wenn sich eine App als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, für die das Dienstkonto eine Zugriffsberechtigung hat. |
Anmeldedaten für API-Schlüssel
Ein API-Schlüssel ist ein langer String, der Groß- und Kleinbuchstaben, Ziffern, Unterstriche und Bindestriche enthält, z. B. AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
.
Diese Authentifizierungsmethode wird verwendet, um anonym auf öffentlich verfügbare Daten wie Google Workspace-Dateien zuzugreifen, die über die Freigabeeinstellung „Jeder im Internet, der diesen Link hat“ freigegeben wurde. Weitere Informationen finden Sie unter API-Schlüssel verwenden.
So erstellen Sie einen API-Schlüssel:
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
- Ihr neuer API-Schlüssel wird angezeigt.
- Klicken Sie auf „Kopieren“ , um den API-Schlüssel zur Verwendung im Code Ihrer Anwendung zu kopieren. Den API-Schlüssel finden Sie auch in den Anmeldedaten Ihres Projekts im Abschnitt „API-Schlüssel“.
- Klicken Sie auf Schlüssel einschränken, um die erweiterten Einstellungen zu aktualisieren und die Verwendung des API-Schlüssels einzuschränken. Weitere Informationen finden Sie unter Einschränkungen für API-Schlüssel anwenden.
Anmeldedaten für OAuth-Client-ID
Um Endnutzer zu authentifizieren und auf Nutzerdaten in der Anwendung zuzugreifen, müssen Sie eine oder mehrere OAuth 2.0-Client-IDs erstellen. Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei Googles OAuth-Servern verwendet. Wenn Ihre Anwendung auf mehreren Plattformen ausgeführt wird, müssen Sie für jede Plattform eine separate Client-ID erstellen.Wählen Sie Ihren Anwendungstyp aus, um spezifische Anweisungen zum Erstellen einer OAuth-Client-ID zu erhalten:
Webanwendung
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Webanwendung.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Fügen Sie autorisierte URIs für Ihre App hinzu:
- Clientseitige Apps (JavaScript): Klicken Sie unter Autorisierte JavaScript-Quellen auf URI hinzufügen. Geben Sie dann einen URI ein, der für Browseranfragen verwendet werden soll. Hiermit werden die Domains identifiziert, von denen deine Anwendung API-Anfragen an den OAuth 2.0-Server senden kann.
- Serverseitige Apps (z. B. Java, Python und andere): Klicken Sie unter Autorisierte Weiterleitungs-URIs auf URI hinzufügen. Geben Sie dann einen Endpunkt-URI ein, an den der OAuth 2.0-Server Antworten senden kann.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" wird mit Ihrer neuen Client-ID und Ihrem Clientschlüssel angezeigt.
Notieren Sie sich die Client-ID. Clientschlüssel werden nicht für Webanwendungen verwendet.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.
Android
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Android.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „Paketname“ den Paketnamen aus der
AndroidManifest.xml
-Datei ein. - Geben Sie im Feld „SHA-1-Zertifikat-Fingerabdruck“ den generierten SHA-1-Zertifikat-Fingerabdruck ein.
- Klicken Sie auf Erstellen. Der Bildschirm „OAuth-Client erstellt“ wird mit Ihrer neuen Client-ID angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter "OAuth 2.0-Client-IDs" angezeigt.
iOS
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > iOS.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „Bundle-ID“ die Bundle-ID ein, die in der Datei
Info.plist
der App aufgeführt ist. - Optional: Wenn Ihre App im Apple App Store angezeigt wird, geben Sie die App Store-ID ein.
- Optional: Geben Sie in das Feld „Team-ID“ den eindeutigen zehnstelligen String ein, der von Apple generiert und Ihrem Team zugewiesen wurde.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" wird mit Ihrer neuen Client-ID und Ihrem Clientschlüssel angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter "OAuth 2.0-Client-IDs" angezeigt.
Chrome App
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Chrome-App.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „Anwendungs-ID“ den eindeutigen 32-stelligen ID-String Ihrer App ein. Sie finden diesen ID-Wert in der Chrome Web Store-URL Ihrer App und im Chrome Web Store-Entwickler-Dashboard.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" wird mit Ihrer neuen Client-ID und Ihrem Clientschlüssel angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter "OAuth 2.0-Client-IDs" angezeigt.
Desktopanwendung
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Desktop-App.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" wird mit Ihrer neuen Client-ID und Ihrem Clientschlüssel angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.
Fernseher und Geräte mit begrenzter Eingabe
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Fernseher und Geräte mit begrenzter Eingabe.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" wird mit Ihrer neuen Client-ID und Ihrem Clientschlüssel angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter "OAuth 2.0-Client-IDs" angezeigt.
Universal Windows Platform (UWP)
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Universelle Windows-Plattform (UWP).
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „Store-ID“ den eindeutigen Wert der 12-stelligen Microsoft Store-ID Ihrer App ein. Sie finden diese ID in der Microsoft Store-URL Ihrer App und im Partnercenter.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" wird mit Ihrer neuen Client-ID und Ihrem Clientschlüssel angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter "OAuth 2.0-Client-IDs" angezeigt.
Dienstkonto-Anmeldedaten
Ein Dienstkonto ist eine spezielle Art von Konto, das von einer Anwendung und nicht von einer Person verwendet wird. Sie können ein Dienstkonto verwenden, um auf Daten zuzugreifen oder Aktionen über das Robot-Konto auszuführen oder um im Namen von Google Workspace- oder Cloud Identity-Nutzern auf Daten zuzugreifen. Weitere Informationen finden Sie unter Details zu Dienstkonten.Dienstkonto erstellen
Google Cloud Console
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > IAM und Verwaltung > Dienstkonten.
- Klicken Sie auf Dienstkonto erstellen.
- Geben Sie die Dienstkontodetails ein und klicken Sie dann auf Erstellen und fortfahren.
- Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Klicken Sie auf Weiter.
- Optional: Geben Sie Nutzer oder Gruppen ein, die Aktionen mit diesem Dienstkonto verwalten und ausführen können. Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten verwalten.
- Klicken Sie auf Fertig. Notieren Sie sich die E-Mail-Adresse für das Dienstkonto.
gcloud-CLI
- Erstellen Sie das Dienstkonto:
gcloud iam service-accounts create
SERVICE_ACCOUNT_NAME
\ --display-name="SERVICE_ACCOUNT_NAME
" - Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Einem Dienstkonto eine Rolle zuweisen
Sie müssen einem Dienstkonto über ein Super Admin-Konto eine vordefinierte oder benutzerdefinierte Rolle zuweisen.
Klicken Sie in der Admin-Konsole auf das Dreistrich-Menü > Konto > Admin-Rollen.
Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, und klicken Sie dann auf Administrator zuweisen.
Klicken Sie auf Dienstkonten zuweisen.
Geben Sie die E-Mail-Adresse des Dienstkontos ein.
Klicken Sie auf Hinzufügen > Rolle zuweisen.
Anmeldedaten für ein Dienstkonto erstellen
Du musst Anmeldedaten in Form eines öffentlichen/privaten Schlüsselpaares anfordern. Diese Anmeldedaten werden von Ihrem Code verwendet, um Dienstkontoaktionen in Ihrer Anwendung zu autorisieren.So rufen Sie Anmeldedaten für Ihr Dienstkonto ab:
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > IAM und Verwaltung > Dienstkonten.
- Wählen Sie Ihr Dienstkonto aus.
- Klicken Sie auf Schlüssel > Schlüssel hinzufügen > Neuen Schlüssel erstellen.
- Wählen Sie JSON aus und klicken Sie dann auf Erstellen.
Ihr neues öffentliches/privates Schlüsselpaar wird generiert und als neue Datei auf Ihren Computer heruntergeladen. Speichern Sie die heruntergeladene JSON-Datei als
credentials.json
in Ihrem Arbeitsverzeichnis. Diese Datei ist die einzige Kopie dieses Schlüssels. Informationen zum sicheren Speichern des Schlüssels finden Sie unter Dienstkontoschlüssel verwalten. - Klicken Sie auf Schließen.
Optional: Domainweite Delegierung für ein Dienstkonto einrichten
Wenn Sie APIs im Namen von Nutzern in einer Google Workspace-Organisation aufrufen möchten, muss Ihrem Dienstkonto in der Admin-Konsole von Google Workspace durch ein Super Admin-Konto eine domainweite Delegierung von Befugnissen gewährt werden. Weitere Informationen finden Sie unter Domainweite Befugnisse an ein Dienstkonto delegieren.So richten Sie die domainweite Delegierung von Befugnissen für ein Dienstkonto ein:
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > IAM und Verwaltung > Dienstkonten.
- Wählen Sie Ihr Dienstkonto aus.
- Klicken Sie auf Erweiterte Einstellungen anzeigen.
- Suchen Sie unter „Domainweite Delegierung“ nach der Client-ID Ihres Dienstkontos. Klicken Sie auf „Kopieren“ , um den Client-ID-Wert in die Zwischenablage zu kopieren.
Wenn Sie Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, klicken Sie auf Google Workspace-Admin-Konsole aufrufen, melden Sie sich mit einem Super Admin-Nutzerkonto an und führen Sie die folgenden Schritte aus.
Wenn Sie keinen Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, wenden Sie sich an einen Super Admin für dieses Konto und senden Sie ihm die Client-ID Ihres Dienstkontos und eine Liste der OAuth-Bereiche, damit er die folgenden Schritte in der Admin-Konsole ausführen kann.
- Gehen Sie in der Admin-Konsole zu „Menü“ > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung.
- Klicken Sie auf Domainweite Delegierung verwalten.
- Klicken Sie auf Neu hinzufügen.
- Fügen Sie in das Feld „Client-ID“ die zuvor kopierte Client-ID ein.
- Geben Sie in das Feld „OAuth-Bereiche“ eine durch Kommas getrennte Liste der für Ihre Anwendung erforderlichen Bereiche ein. Dies sind dieselben Bereiche, die Sie beim Konfigurieren des OAuth-Zustimmungsbildschirms definiert haben.
- Klicken Sie auf Authorize (Autorisieren).
Nächster Schritt
Sie können jetzt mit der Entwicklung in Google Workspace beginnen. Sehen Sie sich die Liste der Google Workspace-Entwicklerprodukte an und finden Sie hier Hilfe.