建立存取憑證

憑證用於從 Google 授權伺服器取得存取權杖,以便應用程式呼叫 Google Workspace API。本指南說明如何選擇及設定應用程式所需的憑證。

如要瞭解本頁中出現的術語定義,請參閱「驗證和授權總覽」。

選擇適合您的存取憑證

需要的憑證取決於應用程式的資料類型、平台和存取方法。可用的憑證類型有以下三種:

用途 驗證方式 關於這項驗證方法
在應用程式中以匿名方式存取公開資料。 API 金鑰 請先確認要使用的 API 支援 API 金鑰,再使用這項驗證方法。
存取使用者資料,例如電子郵件地址或年齡。 OAuth 用戶端 ID 要求應用程式向使用者要求並取得同意聲明。
存取屬於您應用程式中資料,或透過全網域委派,代表 Google Workspace 或 Cloud Identity 使用者存取資源。 服務帳戶 當應用程式以服務帳戶身分驗證時,就能存取服務帳戶有權存取的所有資源。

API 金鑰憑證

API 金鑰是一串長字串,包含大小寫英文字母、數字、底線和連字號,例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。這項驗證方法可用於匿名存取公開可用的資料,例如使用「任何知道連結的人」分享設定共用的 Google Workspace 檔案。詳情請參閱「使用 API 金鑰」。

建立 API 金鑰的方法如下:

  1. 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「APIs & Services」(API 和服務) >「Credentials」(憑證)

    前往「憑證」

  2. 依序按一下「建立憑證」 「API 金鑰」。
  3. 系統隨即會顯示您新的 API 金鑰。
    • 按一下「複製」 即可複製 API 金鑰,以便在應用程式程式碼中使用。您也可以在專案憑證的「API 金鑰」部分找到 API 金鑰。
    • 按一下「限制金鑰」,即可更新進階設定並限制 API 金鑰的使用方式。詳情請參閱「套用 API 金鑰限制」一節。

OAuth 用戶端 ID 憑證

如要驗證使用者,並在應用程式中存取使用者資料,您需要建立一或多個 OAuth 2.0 用戶端 ID。用戶端 ID 可讓 Google 的 OAuth 伺服器識別單一應用程式。如果您的應用程式在多個平台上執行,就必須為每個平台分別建立用戶端 ID。

請選擇應用程式類型,查看如何建立 OAuth 用戶端 ID 的具體操作說明:

網頁應用程式

  1. 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」

    前往「憑證」

  2. 依序按一下「建立憑證」>「OAuth 用戶端 ID」
  3. 依序按一下「應用程式類型」>「網頁應用程式」
  4. 在「名稱」欄位中輸入憑證的名稱。這個名稱只會顯示在 Google Cloud 控制台中。
  5. 新增與應用程式相關的授權 URI:
    • 用戶端應用程式 (JavaScript):在「已授權的 JavaScript 來源」下方,按一下「新增 URI」。接著,輸入要用於瀏覽器要求的 URI。這會識別應用程式可將 API 要求傳送至 OAuth 2.0 伺服器的網域。
    • 伺服器端應用程式 (Java、Python 等):按一下「Authorized redirect URIs」下方的「Add URI」。接著,輸入 OAuth 2.0 伺服器可傳送回應的端點 URI。
  6. 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,顯示新的用戶端 ID 和用戶端密碼。

    請記下用戶端 ID。用戶端密鑰不適用於網頁應用程式。

  7. 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 Client IDs」下方。

Android

  1. 在 Google Cloud 控制台中,依序前往「選單」圖示 >「API 和服務」>「憑證」>

    前往「憑證」

  2. 依序按一下「建立憑證」>「OAuth 用戶端 ID」
  3. 依序按一下「應用程式類型」>「Android」
  4. 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
  5. 在「套件名稱」欄位中,輸入 AndroidManifest.xml 檔案中的套件名稱。
  6. 在「SHA-1 憑證指紋」欄位中,輸入您產生的 SHA-1 憑證指紋
  7. 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,並顯示新的用戶端 ID。
  8. 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

iOS

  1. 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」

    前往「憑證」

  2. 依序點選「建立憑證」>「OAuth 用戶端 ID」
  3. 依序點選「應用程式類型」>「iOS」
  4. 在「名稱」欄位中輸入憑證的名稱。這個名稱只會顯示在 Google Cloud 控制台中。
  5. 在「軟體包 ID」欄位中,輸入應用程式 Info.plist 檔案中列出的軟體包 ID。
  6. 選用:如果您的應用程式已在 Apple App Store 中上架,請輸入 App Store ID。
  7. 選用:在「團隊 ID」欄位中,輸入 Apple 產生並指派給您團隊的專屬字串 (共 10 個字元)。
  8. 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,其中顯示新的用戶端 ID 和用戶端密碼。
  9. 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

Chrome 應用程式

  1. 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」

    前往「憑證」

  2. 依序點選「建立憑證」>「OAuth 用戶端 ID」
  3. 依序按一下「應用程式類型」>「Chrome 應用程式」
  4. 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
  5. 在「應用程式 ID」欄位中,輸入應用程式的專屬 32 個字元 ID 字串。您可以在應用程式的 Chrome 線上應用程式商店網址和 Chrome 線上應用程式商店開發人員資訊主頁中找到這個 ID 值。
  6. 點選「Create」(建立),系統隨即會顯示已建立 OAuth 用戶端的畫面,並顯示您的新用戶端 ID 和用戶端密鑰。
  7. 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

電腦版應用程式

  1. 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」

    前往「憑證」

  2. 依序按一下「建立憑證」>「OAuth 用戶端 ID」
  3. 依序點選「應用程式類型」>「桌面應用程式」
  4. 在「Name」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
  5. 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,其中顯示新的用戶端 ID 和用戶端密碼。
  6. 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 Client IDs」下方。

電視和輸入受限裝置

  1. 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」

    前往「憑證」

  2. 依序點選「建立憑證」>「OAuth 用戶端 ID」
  3. 依序點選「應用程式類型」「電視和輸入受限的裝置」
  4. 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
  5. 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,其中顯示新的用戶端 ID 和用戶端密碼。
  6. 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」之下。

通用 Windows 平台 (UWP)

  1. 在 Google Cloud 控制台中,依序前往「選單」圖示 >「API 和服務」>「憑證」>

    前往「憑證」

  2. 依序按一下「建立憑證」>「OAuth 用戶端 ID」
  3. 依序按一下「應用程式類型」>「通用 Windows 平台 (UWP)」
  4. 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
  5. 在「商店 ID」欄位中,輸入應用程式的專屬 12 個字元 Microsoft 商店 ID 值。您可以在應用程式的 Microsoft Store 網址和合作夥伴中心找到這個 ID。
  6. 點選「Create」(建立),系統隨即會顯示已建立 OAuth 用戶端的畫面,並顯示您的新用戶端 ID 和用戶端密鑰。
  7. 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

服務帳戶憑證

服務帳戶是一種特殊的帳戶,由應用程式 (而非使用者) 所使用。您可以使用服務帳戶存取機器人帳戶的資料或執行動作,或是代表 Google Workspace 或 Cloud Identity 使用者存取資料。詳情請參閱「瞭解服務帳戶」一文。

建立服務帳戶

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)

    前往「Service Accounts」(服務帳戶) 頁面

  2. 按一下「建立服務帳戶」
  3. 填寫服務帳戶詳細資料,然後按一下「建立並繼續」。 注意:根據預設,Google 會建立不重複的服務帳戶 ID。
  4. 選用:將角色指派給服務帳戶,授予 Google Cloud 專案資源的存取權。詳情請參閱「授予、變更及撤銷資源的存取權」。
  5. 按一下「繼續」
  6. 選用:輸入可管理這個服務帳戶並執行相關動作的使用者或群組。詳情請參閱「管理服務帳戶模擬功能」。
  7. 按一下「完成」,記下服務帳戶的電子郵件地址。

gcloud CLI

  1. 建立服務帳戶:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. 選用:為服務帳戶指派角色,授予 Google Cloud 專案資源的存取權。詳情請參閱「授予、變更及撤銷資源的存取權」。

將角色指派給服務帳戶

您必須透過超級管理員帳戶,將預先建立的角色或自訂角色指派給服務帳戶。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 >「帳戶」>「管理員角色」

    前往「管理員角色」

  2. 將滑鼠游標移至要指派的角色,然後按一下「指派管理員」

  3. 按一下「指派服務帳戶」

  4. 輸入服務帳戶的電子郵件地址。

  5. 依序點選「新增」>「指派角色」

為服務帳戶建立憑證

您必須以公開/私密金鑰組的形式取得憑證。程式碼會使用這些憑證,在應用程式中授權服務帳戶的動作。

如要取得服務帳戶的憑證:

  1. 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)

    前往「Service Accounts」(服務帳戶) 頁面

  2. 選取服務帳戶。
  3. 依序點選「金鑰」>「新增金鑰」>「建立新的金鑰」
  4. 選取「JSON」,然後按一下「建立」

    系統會產生新的公開/私密金鑰組,並下載至您的電腦中做為新檔案。將下載的 JSON 檔案儲存為工作目錄中的 credentials.json。這個檔案是這組金鑰的唯一副本。如要瞭解如何安全儲存金鑰,請參閱管理服務帳戶金鑰

  5. 按一下「關閉」

選用:為服務帳戶設定全網域委派

如要代表 Google Workspace 機構中的使用者呼叫 API,您必須在 Google Workspace 管理控制台中,將超級管理員帳戶的全網域授權委派授予您的服務帳戶。詳情請參閱「將全網域授權委派給服務帳戶」。

如要為服務帳戶設定全網域授權委派,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)

    前往「Service Accounts」(服務帳戶) 頁面

  2. 選取服務帳戶。
  3. 按一下 [顯示進階設定]
  4. 在「全網域委派」下方,找出服務帳戶的「用戶端 ID」。按一下「複製」,將用戶端 ID 值複製到剪貼簿。
  5. 如果您有相關 Google Workspace 帳戶的超級管理員存取權,請按一下「查看 Google Workspace 管理控制台」,然後使用超級管理員使用者帳戶登入,並繼續按照這些步驟操作。

    如果您沒有相關 Google Workspace 帳戶的超級管理員存取權,請與該帳戶的超級管理員聯絡,並將您的服務帳戶客戶端 ID 和 OAuth 範圍清單傳送給對方,讓對方在管理控制台中完成下列步驟。

    1. 在 Google 管理控制台中,依序點選「選單」圖示 >「安全性」 >「存取權與資料控管」 >「API 控制項」

      前往「API 控制項」頁面

    2. 按一下「管理全網域委派設定」
    3. 點選「新增」
    4. 在「用戶端 ID」欄位中,貼上先前複製的用戶端 ID。
    5. 在「OAuth 範圍」欄位中,輸入應用程式所需範圍的清單,並以半形逗號分隔。這與您在設定 OAuth 同意畫面時定義的範圍相同。
    6. 按一下「授權」

下一步

您已準備好在 Google Workspace 上進行開發!請參閱 Google Workspace 開發人員產品清單,以及如何尋求協助