Mit Anmeldedaten wird ein Zugriffstoken von den Autorisierungsservern von Google abgerufen, damit Ihre App Google Workspace APIs aufrufen kann. In diesem Leitfaden wird beschrieben, wie Sie die Anmeldedaten auswählen und einrichten, die für Ihre Anwendung erforderlich sind.
Definitionen der auf dieser Seite gefundenen Begriffe finden Sie unter Authentifizierung und Autorisierung – Übersicht.
Passende Anmeldedaten auswählen
Die erforderlichen Anmeldedaten hängen von der Art der Daten, der Plattform und der Zugriffsmethode Ihrer Anwendung ab. Es gibt drei Arten von Anmeldedaten:
| Anwendungsfall | Authentifizierungsmethode | Diese Authentifizierungsmethode |
|---|---|---|
| Sie können in Ihrer App anonym auf öffentlich verfügbare Daten zugreifen. | API-Schlüssel | Prüfen Sie, ob die gewünschte API API-Schlüssel unterstützt, bevor Sie diese Authentifizierungsmethode verwenden. |
| Zugriff auf Nutzerdaten wie E-Mail-Adresse oder Alter | OAuth-Client-ID | Erfordert, dass Ihre App die Einwilligung des Nutzers anfordert und erhält. |
| Sie können über die domainweite Delegation auf Daten Ihrer eigenen Anwendung oder auf Ressourcen im Namen von Google Workspace- oder Cloud Identity-Nutzern zugreifen. | Dienstkonto | Wenn sich eine App als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat. |
API-Anmeldedaten
Ein API-Schlüssel ist ein langer String, der Groß- und Kleinbuchstaben, Zahlen, Unterstriche und Bindestriche enthält. Beispiel: AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Diese Authentifizierungsmethode wird verwendet, um anonym auf öffentlich verfügbare Daten zuzugreifen, z. B. auf Google Workspace-Dateien, die mit der Freigabeeinstellung „Jeder im Internet mit diesem Link“ freigegeben wurden. Weitere Informationen finden Sie unter API-Schlüssel verwenden.
So erstellen Sie einen API-Schlüssel:
- Gehen Sie in der Google Cloud Console zu „Menü“ > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
- Ihr neuer API-Schlüssel wird angezeigt.
- Klicken Sie auf „Kopieren“ , um den API-Schlüssel für die Verwendung im Code Ihrer App zu kopieren. Den API-Schlüssel finden Sie auch im Bereich „API-Schlüssel“ der Anmeldedaten Ihres Projekts.
- Klicken Sie auf Schlüssel einschränken, um die erweiterten Einstellungen zu aktualisieren und die Verwendung Ihres API-Schlüssels einzuschränken. Weitere Informationen finden Sie unter Einschränkungen für API-Schlüssel anwenden.
Anmeldedaten für OAuth-Client-IDs
Für die Authentifizierung von Endnutzern und für den Zugriff auf Nutzerdaten in Ihrer Anwendung müssen Sie mindestens eine OAuth 2.0-Client-ID erstellen. Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei Googles OAuth-Servern verwendet. Wenn Ihre App auf mehreren Plattformen ausgeführt wird, müssen Sie für jede Plattform eine separate Client-ID erstellen.Wählen Sie den Anwendungstyp aus, um eine detaillierte Anleitung zum Erstellen einer OAuth-Client-ID aufzurufen:
Webanwendung
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Webanwendung.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Fügen Sie autorisierte URIs zu Ihrer App hinzu:
- Clientseitige Apps (JavaScript): Klicken Sie unter Autorisierte JavaScript-Quellen auf URI hinzufügen. Geben Sie dann einen URI für Browseranfragen ein. Damit werden die Domains angegeben, von denen aus Ihre Anwendung API-Anfragen an den OAuth 2.0-Server senden kann.
- Serverseitige Apps (Java, Python usw.): Klicken Sie unter Autorisierte Weiterleitungs-URIs auf URI hinzufügen. Geben Sie dann einen Endpunkt-URI ein, an den der OAuth 2.0-Server Antworten senden kann.
- Klicken Sie auf Erstellen. Der Bildschirm „OAuth-Client erstellt“ wird angezeigt. Darauf sind Ihre neue Client-ID und Ihr Clientschlüssel zu sehen.
Notieren Sie sich die Client-ID. Clientschlüssel werden nicht für Webanwendungen verwendet.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.
Android
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Android.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „Paketname“ den Paketnamen aus der Datei
AndroidManifest.xmlein. - Geben Sie in das Feld „SHA-1-Zertifikatfingerabdruck“ den generierten SHA-1-Zertifikatfingerabdruck ein.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" mit Ihrer neuen Client-ID wird angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
iOS
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > iOS.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „Bundle-ID“ die Bundle-ID ein, die in der
Info.plist-Datei der App aufgeführt ist. - Optional: Wenn Ihre App im Apple App Store angezeigt wird, geben Sie die App-Store-ID ein.
- Optional: Geben Sie im Feld „Team-ID“ den eindeutigen 10-stelligen String ein, der von Apple generiert und Ihrem Team zugewiesen wurde.
- Klicken Sie auf Erstellen. Der Bildschirm "OAuth-Client erstellt" wird mit Ihrer neuen Client-ID und Ihrem Clientschlüssel angezeigt.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Chrome App
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Chrome-App.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „App-ID“ den eindeutigen 32-stelligen ID-String Ihrer App ein. Sie finden diesen ID-Wert in der Chrome Web Store-URL Ihrer App und im Chrome Web Store-Entwickler-Dashboard.
- Klicken Sie auf Erstellen. Der Bildschirm „OAuth-Client erstellt“ wird angezeigt. Darauf sind Ihre neue Client-ID und Ihr Clientschlüssel zu sehen.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Desktopanwendung
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Desktopanwendung.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Klicken Sie auf Erstellen. Der Bildschirm „OAuth-Client erstellt“ wird angezeigt. Darauf sind Ihre neue Client-ID und Ihr Clientschlüssel zu sehen.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.
Fernseher und Geräte mit begrenzter Eingabe
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf App-Typ > Fernseher und Geräte mit begrenzter Eingabe.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Klicken Sie auf Erstellen. Der Bildschirm „OAuth-Client erstellt“ wird angezeigt. Darauf sind Ihre neue Client-ID und Ihr Clientschlüssel zu sehen.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Universal Windows Platform (UWP)
- Öffnen Sie in der Google Cloud Console das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Universal Windows Platform (UWP).
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld „Store-ID“ den eindeutigen 12-stelligen Microsoft Store-ID-Wert Ihrer App ein. Sie finden diese ID in der Microsoft Store-URL Ihrer App und im Partner Center.
- Klicken Sie auf Erstellen. Der Bildschirm „OAuth-Client erstellt“ wird angezeigt. Darauf sind Ihre neue Client-ID und Ihr Clientschlüssel zu sehen.
- Klicken Sie auf OK. Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Dienstkonto-Anmeldedaten
Ein Dienstkonto ist eine spezielle Art von Konto, das von einer Anwendung und nicht von einer Person verwendet wird. Sie können ein Dienstkonto verwenden, um auf Daten zuzugreifen oder Aktionen mit dem Robot-Konto auszuführen oder um im Namen von Google Workspace- oder Cloud Identity-Nutzern auf Daten zuzugreifen. Weitere Informationen finden Sie unter Details zu Dienstkonten.Dienstkonto erstellen
Google Cloud Console
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü und dann auf IAM und Verwaltung > Dienstkonten.
- Klicken Sie auf Dienstkonto erstellen.
- Geben Sie die Details zum Dienstkonto ein und klicken Sie dann auf Erstellen und fortfahren.
- Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Klicken Sie auf Weiter.
- Optional: Geben Sie Nutzer oder Gruppen ein, die Aktionen mit diesem Dienstkonto verwalten und ausführen können. Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten verwalten.
- Klicken Sie auf Fertig. Notieren Sie sich die E-Mail-Adresse des Dienstkontos.
gcloud-CLI
- Erstellen Sie das Dienstkonto:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Einem Dienstkonto eine Rolle zuweisen
Sie müssen einem Dienstkonto eine vordefinierte oder benutzerdefinierte Rolle über ein Super Admin-Konto zuweisen.
Gehen Sie in der Admin-Konsole zu „Menü“ > Konto > Administratorrollen.
Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, und klicken Sie dann auf Administrator zuweisen.
Klicken Sie auf Dienstkonten zuweisen.
Geben Sie die E-Mail-Adresse des Dienstkontos ein.
Klicken Sie auf Hinzufügen > Rolle zuweisen.
Anmeldedaten für ein Dienstkonto erstellen
Sie benötigen Anmeldedaten in Form eines öffentlichen/privaten Schlüsselpaars. Diese Anmeldedaten werden von Ihrem Code verwendet, um Dienstkontoaktionen in Ihrer App zu autorisieren.So rufen Sie Anmeldedaten für Ihr Dienstkonto ab:
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü und dann auf IAM und Verwaltung > Dienstkonten.
- Wählen Sie Ihr Dienstkonto aus.
- Klicken Sie auf Schlüssel > Schlüssel hinzufügen > Neuen Schlüssel erstellen.
- Wählen Sie JSON aus und klicken Sie auf Erstellen.
Ihr neues öffentliches/privates Schlüsselpaar wird generiert und als neue Datei auf Ihren Computer heruntergeladen. Speichern Sie die heruntergeladene JSON-Datei als
credentials.jsonin Ihrem Arbeitsverzeichnis. Diese Datei ist die einzige Kopie dieses Schlüssels. Informationen zum sicheren Speichern des Schlüssels finden Sie unter Dienstkontoschlüssel verwalten. - Klicken Sie auf Schließen.
Optional: Domainweite Autorisierung für ein Dienstkonto einrichten
Damit APIs im Namen von Nutzern in einer Google Workspace-Organisation aufgerufen werden können, muss Ihrem Dienstkonto in der Admin-Konsole von einem Super Admin-Konto die domainweite Delegierung von Berechtigungen gewährt werden. Weitere Informationen finden Sie unter Domainweite Berechtigungen an ein Dienstkonto delegieren.So richten Sie die domainweite Autorisierung für ein Dienstkonto ein:
- Klicken Sie in der Google Cloud Console auf das Dreistrich-Menü und dann auf IAM und Verwaltung > Dienstkonten.
- Wählen Sie Ihr Dienstkonto aus.
- Klicken Sie auf Erweiterte Einstellungen anzeigen.
- Suchen Sie unter „Domainweite Delegierung“ nach der Client-ID Ihres Dienstkontos. Klicken Sie auf „Kopieren“ , um den Client-ID-Wert in die Zwischenablage zu kopieren.
Wenn Sie Super Admin-Zugriff auf das betreffende Google Workspace-Konto haben, klicken Sie auf Google Workspace Admin-Konsole ansehen, melden Sie sich mit einem Super Admin-Nutzerkonto an und fahren Sie mit diesen Schritten fort.
Wenn Sie keinen Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, wenden Sie sich an einen Super Admin für dieses Konto und senden Sie ihm die Client-ID Ihres Dienstkontos und eine Liste der OAuth-Bereiche, damit er die folgenden Schritte in der Admin-Konsole ausführen kann.
- Öffnen Sie in der Admin-Konsole das Dreistrich-Menü > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung.
- Klicken Sie auf Domainweite Delegierung verwalten.
- Klicken Sie auf Neu hinzufügen.
- Fügen Sie in das Feld „Client-ID“ die zuvor kopierte Client-ID ein.
- Geben Sie im Feld „OAuth-Bereiche“ eine durch Kommas getrennte Liste der für Ihre Anwendung erforderlichen Bereiche ein. Dies sind dieselben Berechtigungen, die Sie beim Konfigurieren des OAuth-Zustimmungsbildschirms festgelegt haben.
- Klicken Sie auf Autorisieren.
Nächster Schritt
Sie können jetzt mit der Entwicklung in Google Workspace beginnen. Sehen Sie sich die Liste der Google Workspace-Entwicklerprodukte und die Hilfequellen an.