憑證用於從 Google 授權伺服器取得存取權杖,以便應用程式呼叫 Google Workspace API。本指南說明如何選擇及設定應用程式所需的憑證。
如要瞭解本頁中出現的術語定義,請參閱「驗證和授權總覽」。
選擇適合您的存取憑證
需要的憑證取決於應用程式的資料類型、平台和存取方法。可用的憑證類型有以下三種:
| 用途 | 驗證方式 | 關於這項驗證方法 |
|---|---|---|
| 在應用程式中以匿名方式存取公開資料。 | API 金鑰 | 請先確認要使用的 API 支援 API 金鑰,再使用這項驗證方法。 |
| 存取使用者資料,例如電子郵件地址或年齡。 | OAuth 用戶端 ID | 要求應用程式向使用者要求並取得同意聲明。 |
| 存取屬於您應用程式中資料,或透過全網域委派,代表 Google Workspace 或 Cloud Identity 使用者存取資源。 | 服務帳戶 | 當應用程式以服務帳戶身分驗證時,就能存取服務帳戶有權存取的所有資源。 |
API 金鑰憑證
API 金鑰是一串長字串,包含大小寫英文字母、數字、底線和連字號,例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。這項驗證方法可用於匿名存取公開可用的資料,例如使用「任何知道連結的人」分享設定共用的 Google Workspace 檔案。詳情請參閱「使用 API 金鑰」。
建立 API 金鑰的方法如下:
- 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「APIs & Services」(API 和服務) >「Credentials」(憑證)。
- 依序按一下「建立憑證」 「API 金鑰」。
- 系統隨即會顯示您新的 API 金鑰。
- 按一下「複製」 即可複製 API 金鑰,以便在應用程式程式碼中使用。您也可以在專案憑證的「API 金鑰」部分找到 API 金鑰。
- 按一下「限制金鑰」,即可更新進階設定並限制 API 金鑰的使用方式。詳情請參閱「套用 API 金鑰限制」一節。
OAuth 用戶端 ID 憑證
如要驗證使用者,並在應用程式中存取使用者資料,您需要建立一或多個 OAuth 2.0 用戶端 ID。用戶端 ID 可讓 Google 的 OAuth 伺服器識別單一應用程式。如果您的應用程式在多個平台上執行,就必須為每個平台分別建立用戶端 ID。請選擇應用程式類型,查看如何建立 OAuth 用戶端 ID 的具體操作說明:
網頁應用程式
- 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「網頁應用程式」。
- 在「名稱」欄位中輸入憑證的名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 新增與應用程式相關的授權 URI:
- 用戶端應用程式 (JavaScript):在「已授權的 JavaScript 來源」下方,按一下「新增 URI」。接著,輸入要用於瀏覽器要求的 URI。這會識別應用程式可將 API 要求傳送至 OAuth 2.0 伺服器的網域。
- 伺服器端應用程式 (Java、Python 等):按一下「Authorized redirect URIs」下方的「Add URI」。接著,輸入 OAuth 2.0 伺服器可傳送回應的端點 URI。
- 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,顯示新的用戶端 ID 和用戶端密碼。
請記下用戶端 ID。用戶端密鑰不適用於網頁應用程式。
- 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 Client IDs」下方。
Android
- 在 Google Cloud 控制台中,依序前往「選單」圖示 >「API 和服務」>「憑證」>
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「Android」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「套件名稱」欄位中,輸入
AndroidManifest.xml檔案中的套件名稱。 - 在「SHA-1 憑證指紋」欄位中,輸入您產生的 SHA-1 憑證指紋。
- 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,並顯示新的用戶端 ID。
- 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
iOS
- 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」。
- 依序點選「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「iOS」。
- 在「名稱」欄位中輸入憑證的名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「軟體包 ID」欄位中,輸入應用程式
Info.plist檔案中列出的軟體包 ID。 - 選用:如果您的應用程式已在 Apple App Store 中上架,請輸入 App Store ID。
- 選用:在「團隊 ID」欄位中,輸入 Apple 產生並指派給您團隊的專屬字串 (共 10 個字元)。
- 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,其中顯示新的用戶端 ID 和用戶端密碼。
- 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
Chrome 應用程式
- 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」。
- 依序點選「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「Chrome 應用程式」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「應用程式 ID」欄位中,輸入應用程式的專屬 32 個字元 ID 字串。您可以在應用程式的 Chrome 線上應用程式商店網址和 Chrome 線上應用程式商店開發人員資訊主頁中找到這個 ID 值。
- 點選「Create」(建立),系統隨即會顯示已建立 OAuth 用戶端的畫面,並顯示您的新用戶端 ID 和用戶端密鑰。
- 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
電腦版應用程式
- 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「桌面應用程式」。
- 在「Name」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,其中顯示新的用戶端 ID 和用戶端密碼。
- 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 Client IDs」下方。
電視和輸入受限裝置
- 在 Google Cloud 控制台中,依序前往「Menu」>「APIs & Services」>「Credentials」。
- 依序點選「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」「電視和輸入受限的裝置」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 點選「Create」(建立),系統會顯示「OAuth client created」(已建立 OAuth 用戶端) 畫面,其中顯示新的用戶端 ID 和用戶端密碼。
- 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」之下。
通用 Windows 平台 (UWP)
- 在 Google Cloud 控制台中,依序前往「選單」圖示 >「API 和服務」>「憑證」>
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「通用 Windows 平台 (UWP)」。
- 在「名稱」欄位中輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「商店 ID」欄位中,輸入應用程式的專屬 12 個字元 Microsoft 商店 ID 值。您可以在應用程式的 Microsoft Store 網址和合作夥伴中心找到這個 ID。
- 點選「Create」(建立),系統隨即會顯示已建立 OAuth 用戶端的畫面,並顯示您的新用戶端 ID 和用戶端密鑰。
- 按一下「確定」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
服務帳戶憑證
服務帳戶是一種特殊的帳戶,由應用程式 (而非使用者) 所使用。您可以使用服務帳戶存取機器人帳戶的資料或執行動作,或是代表 Google Workspace 或 Cloud Identity 使用者存取資料。詳情請參閱「瞭解服務帳戶」一文。建立服務帳戶
Google Cloud 控制台
- 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 按一下「建立服務帳戶」。
- 填寫服務帳戶詳細資料,然後按一下「建立並繼續」。 注意:根據預設,Google 會建立不重複的服務帳戶 ID。
- 選用:將角色指派給服務帳戶,授予 Google Cloud 專案資源的存取權。詳情請參閱「授予、變更及撤銷資源的存取權」。
- 按一下「繼續」。
- 選用:輸入可管理這個服務帳戶並執行相關動作的使用者或群組。詳情請參閱「管理服務帳戶模擬功能」。
- 按一下「完成」,記下服務帳戶的電子郵件地址。
gcloud CLI
- 建立服務帳戶:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - 選用:為服務帳戶指派角色,授予 Google Cloud 專案資源的存取權。詳情請參閱「授予、變更及撤銷資源的存取權」。
將角色指派給服務帳戶
您必須透過超級管理員帳戶,將預先建立的角色或自訂角色指派給服務帳戶。
在 Google 管理控制台中,依序點選「選單」圖示 >「帳戶」>「管理員角色」。
將滑鼠游標移至要指派的角色,然後按一下「指派管理員」。
按一下「指派服務帳戶」。
輸入服務帳戶的電子郵件地址。
依序點選「新增」>「指派角色」。
為服務帳戶建立憑證
您必須以公開/私密金鑰組的形式取得憑證。程式碼會使用這些憑證,在應用程式中授權服務帳戶的動作。如要取得服務帳戶的憑證:
- 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 選取服務帳戶。
- 依序點選「金鑰」>「新增金鑰」>「建立新的金鑰」。
- 選取「JSON」,然後按一下「建立」。
系統會產生新的公開/私密金鑰組,並下載至您的電腦中做為新檔案。將下載的 JSON 檔案儲存為工作目錄中的
credentials.json。這個檔案是這組金鑰的唯一副本。如要瞭解如何安全儲存金鑰,請參閱管理服務帳戶金鑰。 - 按一下「關閉」。
選用:為服務帳戶設定全網域委派
如要代表 Google Workspace 機構中的使用者呼叫 API,您必須在 Google Workspace 管理控制台中,將超級管理員帳戶的全網域授權委派授予您的服務帳戶。詳情請參閱「將全網域授權委派給服務帳戶」。如要為服務帳戶設定全網域授權委派,請按照下列步驟操作:
- 在 Google Cloud 控制台中,依序前往「Menu」(選單) >「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 選取服務帳戶。
- 按一下 [顯示進階設定]。
- 在「全網域委派」下方,找出服務帳戶的「用戶端 ID」。按一下「複製」,將用戶端 ID 值複製到剪貼簿。
如果您有相關 Google Workspace 帳戶的超級管理員存取權,請按一下「查看 Google Workspace 管理控制台」,然後使用超級管理員使用者帳戶登入,並繼續按照這些步驟操作。
如果您沒有相關 Google Workspace 帳戶的超級管理員存取權,請與該帳戶的超級管理員聯絡,並將您的服務帳戶客戶端 ID 和 OAuth 範圍清單傳送給對方,讓對方在管理控制台中完成下列步驟。
- 在 Google 管理控制台中,依序點選「選單」圖示 >「安全性」 >「存取權與資料控管」 >「API 控制項」。
- 按一下「管理全網域委派設定」。
- 點選「新增」。
- 在「用戶端 ID」欄位中,貼上先前複製的用戶端 ID。
- 在「OAuth 範圍」欄位中,輸入應用程式所需範圍的清單,並以半形逗號分隔。這與您在設定 OAuth 同意畫面時定義的範圍相同。
- 按一下「授權」。
下一步
您已準備好在 Google Workspace 上進行開發!請參閱 Google Workspace 開發人員產品清單,以及如何尋求協助。