פרטי הכניסה משמשים לקבלת אסימון גישה משרתי ההרשאות של Google, כדי שהאפליקציה תוכל לבצע קריאות לממשקי Google Workspace API. במדריך הזה מוסבר איך לבחור ולהגדיר את פרטי הכניסה הנדרשים לאפליקציה.
להגדרות של המונחים שמופיעים בדף הזה, ראו סקירה כללית על אימות והרשאה.
בחירת פרטי הכניסה המתאימים לכם
פרטי הכניסה הנדרשים משתנים בהתאם לסוג הנתונים, לפלטפורמה ולשיטת הגישה של האפליקציה. יש שלושה סוגים של פרטי כניסה:
תרחיש לדוגמה | שיטת אימות | מידע על שיטת האימות הזו |
---|---|---|
גישה אנונימית לנתונים שזמינים לכולם באפליקציה. | מפתחות API | לכן כדאי לוודא שממשק ה-API שבו תרצו להשתמש תומך במפתחות API, לפני שתשתמשו בשיטת האימות הזו. |
גישה לנתוני משתמשים, כמו כתובת האימייל או הגיל שלהם. | מזהה לקוח ב-OAuth | האפליקציה צריכה לבקש מהמשתמש הסכמה ולקבל אותה. |
לגשת לנתונים ששייכים לאפליקציה שלכם, או לגשת למשאבים בשם משתמשי Google Workspace או Cloud Identity באמצעות הענקת גישה ברמת הדומיין. | חשבון שירות | כשאפליקציה מבצעת אימות כחשבון שירות, יש לה גישה לכל המשאבים שחשבון השירות מורשה לגשת אליהם. |
פרטי הכניסה של מפתח ה-API
מפתח API הוא מחרוזת ארוכה שמכילה אותיות רישיות וקטנות, מספרים, קווים תחתונים ומקפים, למשל AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
.
שיטת האימות הזו משמשת לגישה אנונימית לנתונים שזמינים לכולם, כמו קבצים ב-Google Workspace ששותפו באמצעות ההגדרה 'כל מי שיש לו את הקישור הזה'. מידע נוסף זמין במאמר שימוש במפתחות API.
כך יוצרים מפתח API:
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create credentials (יצירת פרטי כניסה) > API key (מפתח API).
- מפתח ה-API החדש מוצג.
- לוחצים על סמל ההעתקה כדי להעתיק את מפתח ה-API לשימוש בקוד של האפליקציה. אפשר למצוא את מפתח ה-API גם בקטע 'מפתחות API' בפרטי הכניסה של הפרויקט.
- לוחצים על Restrict key כדי לעדכן את ההגדרות המתקדמות ולהגביל את השימוש במפתח ה-API. פרטים נוספים זמינים במאמר החלת הגבלות על מפתחות API.
פרטי הכניסה של מזהה הלקוח ב-OAuth
כדי לאמת משתמשי קצה ולגשת לנתוני המשתמשים באפליקציה, צריך ליצור מזהה לקוח אחד או יותר ב-OAuth 2.0. מזהה לקוח משמש לזיהוי אפליקציה אחת בשרתי OAuth של Google. אם האפליקציה פועלת בכמה פלטפורמות, צריך ליצור מזהה לקוח נפרד לכל פלטפורמה.בוחרים את סוג האפליקציה כדי לקבל הוראות ספציפיות ליצירת מזהה לקוח ב-OAuth:
אפליקציית אינטרנט
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
- לוחצים על Application type > Web application.
- בשדה Name, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
- מוסיפים מזהי URI מורשים שקשורים לאפליקציה:
- אפליקציות בצד הלקוח (JavaScript) – בקטע מאותרי מקורות JavaScript, לוחצים על הוספת URI. לאחר מכן, מזינים URI לשימוש בבקשות מהדפדפן. כך אפשר לזהות את הדומיינים שמהם האפליקציה יכולה לשלוח בקשות API לשרת OAuth 2.0.
- אפליקציות בצד השרת (Java, Python ועוד) – בקטע URIs מורשים להפניה אוטומטית לכתובת אחרת, לוחצים על Add URI (הוספת URI). לאחר מכן, מזינים URI של נקודת קצה שאליה שרת OAuth 2.0 יכול לשלוח תגובות.
- לוחצים על יצירה. יופיע המסך 'לקוח OAuth נוצר', שבו יוצגו מזהה הלקוח וסוד הלקוח החדשים.
שימו לב למזהה הלקוח. לא משתמשים בסודות לקוח באפליקציות אינטרנט.
- לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע מזהי לקוח OAuth 2.0.
Android
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
- לוחצים על Application type (סוג האפליקציה) > Android.
- בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
- בשדה Package name מזינים את שם החבילה מקובץ
AndroidManifest.xml
. - בשדה 'טביעת אצבע לאישור SHA-1', מזינים את טביעת האצבע לאישור SHA-1 שנוצרה.
- לוחצים על יצירה. יופיע המסך של לקוח ה-OAuth שנוצר, שבו מוצג מזהה הלקוח החדש.
- לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.
iOS
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
- לוחצים על Application type (סוג האפליקציה) > iOS.
- בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
- בשדה 'מזהה החבילה', מזינים את מזהה החבילה כפי שרשום בקובץ
Info.plist
של האפליקציה. - אופציונלי: אם האפליקציה מופיעה ב-Apple App Store, מזינים את מזהה App Store.
- אם רוצים, בשדה 'מזהה צוות' מזינים את המחרוזת הייחודית בת 10 התווים שנוצרה על ידי Apple והוקצה לצוות שלכם.
- לוחצים על יצירה. יופיע המסך 'לקוח OAuth נוצר', שבו יוצגו מזהה הלקוח וסוד הלקוח החדשים.
- לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.
אפליקציית Chrome
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
- לוחצים על Application type (סוג האפליקציה) > Chrome app (אפליקציית Chrome).
- בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
- בשדה 'מזהה אפליקציה', מזינים את מחרוזת המזהה הייחודית של האפליקציה בת 32 תווים. אפשר למצוא את ערך המזהה הזה בכתובת ה-URL של האפליקציה בחנות האינטרנט של Chrome ובמרכז השליטה למפתחים של חנות האינטרנט של Chrome.
- לוחצים על יצירה. יופיע המסך 'לקוח OAuth נוצר', שבו יוצגו מזהה הלקוח וסוד הלקוח החדשים.
- לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.
אפליקציה לשולחן העבודה
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
- לוחצים על Application type (סוג האפליקציה) > Desktop app (אפליקציה למחשב).
- בשדה Name, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
- לוחצים על יצירה. יופיע המסך 'לקוח OAuth נוצר', שבו יוצגו מזהה הלקוח וסוד הלקוח החדשים.
- לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע מזהי לקוח OAuth 2.0.
טלוויזיות והתקני קלט עם הגבלות
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
- לוחצים על סוג האפליקציה > טלוויזיות ומכשירי קלט מוגבלים.
- בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
- לוחצים על יצירה. יופיע המסך 'לקוח OAuth נוצר', שבו יוצגו מזהה הלקוח וסוד הלקוח החדשים.
- לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.
Universal Windows Platform (UWP)
- במסוף Google Cloud, נכנסים לתפריט > APIs & Services > Credentials.
- לוחצים על Create Credentials (יצירת פרטי כניסה) > OAuth client ID (מזהה לקוח OAuth).
- לוחצים על סוג האפליקציה > Universal Windows Platform (UWP).
- בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
- בשדה 'מזהה חנות', מזינים את הערך הייחודי של מזהה Microsoft Store של האפליקציה, שמכיל 12 תווים. המזהה הזה מופיע בכתובת ה-URL של האפליקציה ב-Microsoft Store וב-Partner Center.
- לוחצים על יצירה. יופיע המסך 'לקוח OAuth נוצר', שבו יוצגו מזהה הלקוח וסוד הלקוח החדשים.
- לוחצים על אישור. פרטי הכניסה שנוצרו מופיעים בקטע 'מזהי לקוח של OAuth 2.0'.
פרטי כניסה לחשבון שירות
חשבון שירות הוא סוג מיוחד של חשבון, שאפליקציה (ולא אדם) משתמשת בו. אפשר להשתמש בחשבון שירות כדי לגשת לנתונים או לבצע פעולות באמצעות חשבון הרובוט, או כדי לגשת לנתונים בשם משתמשי Google Workspace או Cloud Identity. מידע נוסף זמין במאמר עבודה עם חשבונות שירות.יצירה של חשבון שירות
מסוף Google Cloud
- במסוף Google Cloud, עוברים לתפריט > IAM & Admin > Service Accounts.
- לוחצים על Create service account.
- ממלאים את פרטי חשבון השירות ולוחצים על Create and continue (יצירה והמשך).
- אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים של הפרויקט ב-Google Cloud. פרטים נוספים זמינים במאמר הענקה, שינוי וביטול גישה למשאבים.
- לוחצים על המשך.
- אופציונלי: מזינים משתמשים או קבוצות שיכולים לנהל את חשבון השירות הזה ולבצע בו פעולות. פרטים נוספים זמינים במאמר ניהול התחזות לחשבון שירות.
- לוחצים על סיום. כותבים את כתובת האימייל של חשבון השירות.
CLI של gcloud
- יוצרים את חשבון השירות:
gcloud iam service-accounts create
SERVICE_ACCOUNT_NAME
\ --display-name="SERVICE_ACCOUNT_NAME
" - אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים של הפרויקט ב-Google Cloud. פרטים נוספים זמינים במאמר הענקה, שינוי וביטול גישה למשאבים.
הקצאת תפקיד לחשבון שירות
צריך להקצות תפקיד מוגדר מראש או תפקיד בהתאמה אישית לחשבון שירות באמצעות חשבון סופר-אדמין.
במסוף Google Admin, נכנסים לתפריט > חשבון > תפקידי אדמין.
מציבים את סמן העכבר על התפקיד שרוצים להקצות ולוחצים על הקצאת אדמין.
לוחצים על Assign service accounts.
מזינים את כתובת האימייל של חשבון השירות.
לוחצים על הוספה > הקצאת תפקיד.
יצירת פרטי כניסה לחשבון שירות
צריך לקבל פרטי כניסה בצורת זוג מפתחות ציבורי/פרטי. הקוד שלכם משתמש בפרטי הכניסה האלה כדי לאשר פעולות של חשבון השירות באפליקציה.כדי לקבל פרטי כניסה לחשבון השירות:
- במסוף Google Cloud, עוברים לתפריט > IAM & Admin > Service Accounts.
- בוחרים את חשבון השירות.
- לוחצים על Keys (מפתחות) > Add key (הוספת מפתח) > Create new key (יצירת מפתח חדש).
- בוחרים באפשרות JSON ולוחצים על Create.
זוג המפתחות הציבורי/הפרטי החדש נוצר ומוריד למחשב כקובץ חדש. שומרים את קובץ ה-JSON שהורדתם בתור
credentials.json
בספריית העבודה. הקובץ הזה הוא העותק היחיד של המפתח. מידע נוסף על אחסון המפתח באופן מאובטח זמין במאמר ניהול מפתחות של חשבונות שירות. - לוחצים על סגירה.
אופציונלי: הגדרת הענקת גישה ברמת הדומיין לחשבון שירות
כדי לבצע קריאות ל-API בשם משתמשים בארגון ב-Google Workspace, צריך להעניק לחשבון השירות הרשאת גישה ברמת הדומיין במסוף Admin ב-Google Workspace באמצעות חשבון סופר-אדמין. למידע נוסף, קראו את המאמר הענקת גישה ברמת הדומיין לחשבון שירות.כדי להגדיר הענקת גישה ברמת הדומיין לחשבון שירות:
- במסוף Google Cloud, עוברים לתפריט > IAM & Admin > Service Accounts.
- בוחרים את חשבון השירות.
- לוחצים על הצגת הגדרות מתקדמות.
- בקטע 'הענקת גישה ברמת הדומיין', מחפשים את 'מזהה הלקוח' של חשבון השירות. לוחצים על סמל ההעתקה כדי להעתיק את הערך של מזהה הלקוח ללוח.
אם יש לכם הרשאת סופר-אדמין בחשבון Google Workspace הרלוונטי, לוחצים על View Google Workspace Admin Console (הצגת מסוף Admin ב-Google Workspace), נכנסים באמצעות חשבון משתמש עם הרשאת סופר-אדמין וממשיכים לפי השלבים הבאים.
אם אין לכם הרשאת סופר-אדמין בחשבון Google Workspace הרלוונטי, עליכם לפנות לסופר-אדמין של החשבון הזה ולשלוח לו את מזהה הלקוח של חשבון השירות ואת רשימת היקפי הרשאות ה-OAuth, כדי שהוא יוכל לבצע את השלבים הבאים במסוף Admin.
- במסוף Google Admin, נכנסים לתפריט > אבטחה > שליטה בגישה ובנתונים > אמצעי בקרה ל-API.
- לוחצים על ניהול הענקת גישה ברמת הדומיין.
- לוחצים על הוספת חדש.
- בשדה 'מזהה לקוח', מדביקים את מזהה הלקוח שהעתקתם קודם.
- בשדה OAuth Scopes (היקפי OAuth), מזינים רשימה של ההיקפים הנדרשים לאפליקציה, שמופרדים בפסיקים. זוהי אותה קבוצת היקפי ההרשאות שהגדרתם כשהגדרתם את מסך ההסכמה של OAuth.
- לוחצים על Authorize.
השלב הבא
עכשיו אתם מוכנים לפתח ב-Google Workspace! כדאי לעיין ברשימה של מוצרי Google Workspace למפתחים ובדרכים לקבלת עזרה.