Authentifizierung und Autorisierung sind Mechanismen, die zur Überprüfung der Identität bzw. des Zugriffs auf Ressourcen verwendet werden. In diesem Dokument wird die Authentifizierung und Autorisierung für Chat-Apps und Chat API-Anfragen beschrieben.
Prozessübersicht
Das folgende Diagramm zeigt die allgemeinen Schritte zur Authentifizierung und Autorisierung für Google Chat:
Google Cloud-Projekt konfigurieren, die Chat API aktivieren und die Chat-App konfigurieren:Während der Entwicklung erstellen Sie ein Google Cloud-Projekt. Im Google Cloud-Projekt aktivieren Sie die Chat API, konfigurieren Ihre Chat-Anwendung und richten die Authentifizierung ein. Weitere Informationen finden Sie unter In Google Workspace entwickeln und Chat-App erstellen.
Call Chat API:Wenn Ihre Anwendung die Chat API aufruft, sendet sie Anmeldedaten zur Authentifizierung an die Chat API. Wenn sich Ihre Anwendung mit einem Dienstkonto authentifiziert, werden die Anmeldedaten als Teil des Anwendungscodes gesendet. Wenn für Ihre Anwendung der Aufruf der Chat API mit einer noch nicht gewährten Nutzerauthentifizierung erforderlich ist, wird der Nutzer zur Anmeldung aufgefordert.
Ressourcen anfordern: Ihre Anwendung fordert den Zugriff mit Bereichen an, die Sie beim Einrichten der Authentifizierung angeben.
Nach Einwilligung fragen:Wenn sich Ihre Anwendung als Nutzer authentifiziert, zeigt Google einen OAuth-Zustimmungsbildschirm an. Hier kann der Nutzer entscheiden, ob er Ihrer Anwendung Zugriff auf die angeforderten Daten gewährt. Für die Authentifizierung mit einem Dienstkonto ist keine Nutzereinwilligung erforderlich.
Genehmigte Anfrage für Ressourcen senden:Wenn der Nutzer den Autorisierungsbereichen zustimmt, bündelt Ihre App die Anmeldedaten und die vom Nutzer genehmigten Bereiche in einer Anfrage. Die Anfrage wird an den Google-Autorisierungsserver gesendet, um ein Zugriffstoken abzurufen.
Google gibt ein Zugriffstoken zurück:Das Zugriffstoken enthält eine Liste der gewährten Bereiche. Wenn die zurückgegebene Liste der Bereiche restriktiver ist als die angeforderten Bereiche, deaktiviert Ihre Anwendung alle durch das Token eingeschränkten Funktionen.
Auf angeforderte Ressourcen zugreifen:Ihre App verwendet das Zugriffstoken von Google, um die Chat API aufzurufen und auf Chat API-Ressourcen zuzugreifen.
Aktualisierungstoken abrufen (optional): Wenn die Anwendung über die Lebensdauer eines einzelnen Zugriffstokens auf die Google Chat API zugreifen muss, kann sie ein Aktualisierungstoken abrufen. Weitere Informationen finden Sie unter OAuth 2.0 für den Zugriff auf Google APIs verwenden.
Weitere Ressourcen anfordern:Wenn die Anwendung mehr Zugriff benötigt, wird der Nutzer aufgefordert, neue Bereiche zu gewähren. Dies führt zu einer neuen Anfrage zum Abrufen eines Zugriffstokens (Schritte 3–6).
Wann ist eine Authentifizierung für Chat-Apps erforderlich?
Chat-Apps können Nachrichten als Antwort auf eine Nutzerinteraktion oder asynchron senden. Außerdem können sie im Namen eines Nutzers Aufgaben ausführen, z. B. einen Chatbereich erstellen oder eine Liste von Personen in einem Chatbereich abrufen.
Chatanwendungen erfordern keine Authentifizierung, um auf eine Nutzerinteraktion zu reagieren, es sei denn, die Chat-Anwendung ruft während der Verarbeitung einer Antwort die Chat API oder eine andere Google API auf.
Zum Senden asynchroner Nachrichten oder Ausführen von Aufgaben im Namen eines Nutzers senden Chat-Anwendungen RESTful-Anfragen an die Chat API, für die eine Authentifizierung und Autorisierung erforderlich sind.
Für Antworten auf Nutzerinteraktionen ist keine Authentifizierung erforderlich
Google Chat-Anwendungen müssen sich nicht als Nutzer oder Chat-App authentifizieren, um Interaktionsereignisse synchron zu empfangen und zu beantworten.
Google Chat-Apps empfangen Interaktionsereignisse, wenn ein Nutzer mit einer Chat-App interagiert oder sie aufruft, darunter:
- Ein Nutzer sendet eine Nachricht an eine Chat-App.
- Ein Nutzer erwähnt eine Chat-App @erwähnt.
- Ein Nutzer ruft einen der Slash-Befehle der Chat-Anwendung auf.
Das folgende Diagramm zeigt eine Anfrage-Antwort-Sequenz zwischen einem Chat-Nutzer und einer Chat-Anwendung:
- Der Nutzer sendet eine Nachricht an die Chat-App in Google Chat.
- Google Chat leitet die Nachricht an die App weiter.
- Die Anwendung empfängt die Nachricht, verarbeitet sie und gibt eine Antwort an Google Chat zurück.
- Google Chat rendert die Antwort für den Nutzer oder in einem Gruppenbereich.
Diese Sequenz wiederholt sich für jedes Interaktionsereignis einer Chat-App.
Für asynchrone Nachrichten ist eine Authentifizierung erforderlich
Asynchrone Nachrichten treten auf, wenn eine Chat-Anwendung eine Anfrage an die Chat API sendet, für die eine Authentifizierung und Autorisierung erforderlich ist.
Durch Aufrufen der Chat API können Chat-Apps Nachrichten in Google Chat posten oder im Namen eines Nutzers Aufgaben erledigen und auf Daten zugreifen. Nachdem ein Serverausfall erkannt wurde, kann eine Chat-Anwendung beispielsweise die Chat API für Folgendes aufrufen:
- Erstellen Sie einen Chatbereich, in dem der Ausfall untersucht und behoben werden kann.
- Fügen Sie dem Chatbereich Personen hinzu.
- Posten Sie eine Nachricht im Chatbereich mit Details zum Ausfall.
Das folgende Diagramm zeigt eine asynchrone Nachrichtensequenz zwischen einer Chat-App und einem Chatbereich:
- Eine Chat-App erstellt eine Nachricht, indem sie die Chat API mit der Methode
spaces.messages.createaufruft, und fügt Nutzeranmeldedaten in die HTTP-Anfrage ein. - Google Chat authentifiziert die Chat-App mit Dienstkonto- oder Nutzeranmeldedaten.
- Google Chat rendert die Nachricht der Anwendung in einem angegebenen Chatbereich.
Chat API-Bereiche
Konfigurieren Sie den OAuth-Zustimmungsbildschirm und wählen Sie Bereiche aus, um festzulegen, welche Informationen Nutzern und Anwendungsprüfern angezeigt werden. Registrieren Sie Ihre Anwendung außerdem, damit Sie sie später veröffentlichen können.
Zum Festlegen der Zugriffsebene für Ihre Anwendung müssen Sie Autorisierungsbereiche angeben und deklarieren. Ein Autorisierungsbereich ist ein OAuth 2.0-URI-String, der den Namen der Google Workspace-Anwendung, die Art von Daten, auf die er zugreift, und die Zugriffsebene enthält.
Nicht vertrauliche Bereiche
| Bereichscode | Beschreibung |
|---|---|
https://www.googleapis.com/auth/chat.bot
|
Der Bereich Hiermit können Chat-Apps Chats ansehen und Nachrichten senden. Gewährt Zugriff auf alle Funktionen, die für Chat-Apps verfügbar sind. |
Sensible Bereiche
| Bereichscode | Beschreibung |
|---|---|
https://www.googleapis.com/auth/chat.spaces
|
Unterhaltungen und Gruppenbereiche erstellen sowie Metadaten (einschließlich Einstellungen für den Verlauf) in Chat aufrufen oder aktualisieren. |
https://www.googleapis.com/auth/chat.spaces.create
|
Sie können neue Unterhaltungen in Google Chat erstellen. |
https://www.googleapis.com/auth/chat.spaces.readonly
|
Chats und Gruppenbereiche in Google Chat ansehen. |
https://www.googleapis.com/auth/chat.memberships
|
Mitglieder in Google Chat-Unterhaltungen aufrufen, hinzufügen und entfernen. |
https://www.googleapis.com/auth/chat.memberships.app
|
Sich zu Google Chat-Unterhaltungen hinzufügen oder daraus entfernen. |
https://www.googleapis.com/auth/chat.memberships.readonly
|
Mitglieder in Chat-Unterhaltungen ansehen. |
https://www.googleapis.com/auth/chat.messages.create
|
Nachrichten in Google Chat schreiben und senden |
https://www.googleapis.com/auth/chat.messages.reactions
|
Reaktionen auf Nachrichten in Google Chat ansehen, hinzufügen und löschen. |
https://www.googleapis.com/auth/chat.messages.reactions.create
|
Reaktionen auf Nachrichten in Google Chat hinzufügen |
https://www.googleapis.com/auth/chat.messages.reactions.readonly
|
Reaktionen auf eine Nachricht in Google Chat ansehen. |
Eingeschränkte Bereiche
| Bereichscode | Beschreibung |
|---|---|
https://www.googleapis.com/auth/chat.delete
|
Unterhaltungen und Gruppenbereiche löschen sowie den Zugriff auf verknüpfte Dateien in Chat entfernen. |
https://www.googleapis.com/auth/chat.import
|
Gruppenbereiche, Nachrichten und Mitgliedschaften in Google Chat importieren Weitere Informationen finden Sie unter Chat-Apps zum Importieren von Daten autorisieren. |
https://www.googleapis.com/auth/chat.messages
|
Sie können Nachrichten anzeigen, verfassen, senden, aktualisieren und löschen sowie Reaktionen auf Nachrichten hinzufügen, ansehen und löschen. |
https://www.googleapis.com/auth/chat.messages.readonly
|
Nachrichten und Reaktionen in Google Chat ansehen. |
Die Bereiche in den vorherigen Tabellen geben ihre Vertraulichkeit gemäß den folgenden Definitionen an:
Nicht vertraulich – Diese Bereiche bieten den kleinsten Autorisierungszugriff und erfordern nur eine grundlegende Anwendungsüberprüfung. Informationen zu dieser Anforderung finden Sie unter Vorbereitung auf die Überprüfung.
Vertraulich: Diese Bereiche ermöglichen Ihrer Anwendung nach Erhalt der Autorisierung durch den Nutzer Zugriff auf die Google-Daten eines bestimmten Nutzers. Dazu ist eine zusätzliche Anwendungsüberprüfung erforderlich. Informationen zu dieser Anforderung finden Sie unter Schritte für Anwendungen, die vertrauliche Bereiche anfordern.
Eingeschränkt – Diese Bereiche bieten einen breiten Zugriff auf Google-Nutzerdaten und erfordern, dass Sie den Prozess der Überprüfung eingeschränkter Bereiche durchlaufen. Informationen zu dieser Anforderung finden Sie unter Nutzerdatenrichtlinie der Google API-Dienste und Zusätzliche Anforderungen für bestimmte API-Bereiche. Siehe auch Schritte für Anwendungen, die eingeschränkte Bereiche anfordern.
Wenn Ihre Anwendung Zugriff auf andere Google APIs benötigt, können Sie auch diese Bereiche hinzufügen. Weitere Informationen zu Google API-Bereichen finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.
Weitere Informationen zu Bereichen für Google Workspace APIs finden Sie unter OAuth-Zustimmungsbildschirm konfigurieren und Bereiche auswählen.
Arten der erforderlichen Authentifizierung
Es gibt zwei Möglichkeiten, wie sich Chat-Apps bei der Chat API authentifizieren und autorisieren können: Nutzeranmeldedaten oder Dienstkonten.
Mit der Autorisierung von Nutzeranmeldedaten kann eine Chat-Anwendung auf Nutzerdaten zugreifen und Aktionen im Namen eines Nutzers ausführen. OAuth-Bereiche geben die autorisierten Daten und Aktionen an. Diese Chat-Apps können jedoch nicht öffentlich veröffentlicht werden. Weitere Informationen finden Sie unter Google Chat-Apps veröffentlichen.
Mit der App-Autorisierung greift eine Chat-App mithilfe von Dienstkonto-Anmeldedaten auf die API als Anwendung zu. Für die Anwendungsautorisierung wird immer der Autorisierungsbereich chat.bot verwendet.
Als Domainadministrator können Sie eine domainweite Delegierung von Befugnissen erteilen, um das Dienstkonto einer Anwendung für den Zugriff auf die Daten Ihrer Nutzer zu autorisieren, ohne dass jeder Nutzer seine Zustimmung geben muss. Nachdem Sie die domainweite Delegierung konfiguriert haben, können Sie API-Aufrufe mit Ihrem Dienstkonto ausführen, um die Identität eines Nutzerkontos zu übernehmen. Obwohl ein Dienstkonto zur Authentifizierung verwendet wird, wird bei der domainweiten Delegierung die Identität eines Nutzers übernommen. Dies gilt daher als Nutzerauthentifizierung. Für jede Funktion, für die eine Nutzerauthentifizierung erforderlich ist, kann die domainweite Delegierung verwendet werden.
Bei der Entscheidung, welche Art von Anmeldedaten für eine bestimmte API-Anfrage verwendet werden soll, denken Sie daran, dass einige API-Methoden nur bestimmte Anmeldedaten unterstützen. Wenn eine API-Methode beide Anmeldedaten unterstützt, wirkt sich der im Aufruf verwendete Typ der Anmeldedaten auf das zurückgegebene Ergebnis aus:
- Bei der Anwendungsautorisierung geben die Methoden nur Ressourcen zurück, auf die die app zugreifen kann.
- Nach der Nutzerautorisierung geben die Methoden nur Ressourcen zurück, auf die der Nutzer in der Chat-UI zugreifen kann.
Wenn Sie beispielsweise die Methode ListSpaces mit der Anwendungsautorisierung aufrufen, wird die Liste der Gruppenbereiche zurückgegeben, zu denen die Anwendung gehört. Wenn Sie ListSpaces mit Nutzerautorisierung aufrufen, wird die Liste der Gruppenbereiche zurückgegeben, in denen der Nutzer Mitglied ist. In der Praxis kann Ihre Anwendung beim Aufrufen der Chat API beide Autorisierungstypen verwenden, je nachdem, welche Funktionalität Sie nutzen möchten.
Für asynchrone Chat API-Aufrufe
In der folgenden Tabelle sind die Chat API-Methoden und ihre unterstützten Autorisierungsbereiche aufgeführt:
| Methode | Nutzerauthentifizierung wird unterstützt. | App-Authentifizierung wird unterstützt. | Unterstützte Autorisierungsbereiche | |
|---|---|---|---|---|
| Gruppenbereiche | ||||
| Gruppenbereiche erstellen | — |
Mit der Nutzerauthentifizierung:
|
||
| Gruppenbereich einrichten | — |
Mit der Nutzerauthentifizierung:
|
||
| Gruppenbereich erstellen |
Mit der Nutzerauthentifizierung:
|
|||
| Gruppenbereiche auflisten |
Mit der Nutzerauthentifizierung:
|
|||
| Gruppenbereiche aktualisieren | — |
Mit der Nutzerauthentifizierung:
|
||
| Gruppenbereiche löschen | — |
Mit der Nutzerauthentifizierung:
|
||
| Importvorgang für einen Gruppenbereich abschließen | — |
Mit der Nutzerauthentifizierung:
|
||
| Direktnachrichten suchen |
Mit der Nutzerauthentifizierung:
|
|||
| Mitglieder | ||||
| Mitglied erstellen | — |
Mit der Nutzerauthentifizierung:
|
||
| Mitglied werden |
Mit der Nutzerauthentifizierung:
|
|||
| Listenmitglieder |
Mit der Nutzerauthentifizierung:
|
|||
| Mitglied löschen | — |
Mit der Nutzerauthentifizierung:
|
||
| Nachrichten | ||||
| Mitteilung erstellen |
Mit der Nutzerauthentifizierung:
|
|||
| Nachricht erhalten |
Mit der Nutzerauthentifizierung:
|
|||
| Nachrichten auflisten | — |
Mit der Nutzerauthentifizierung:
|
||
| Nachrichten aktualisieren |
Mit der Nutzerauthentifizierung:
|
|||
| Nachricht löschen |
Mit der Nutzerauthentifizierung:
|
|||
| Reaktionen | ||||
| Reaktionen erstellen | — |
Mit der Nutzerauthentifizierung:
|
||
| Reaktionen auflisten | — |
Mit der Nutzerauthentifizierung:
|
||
| Reaktionen löschen | — |
Mit der Nutzerauthentifizierung:
|
||
| Medien und Anhänge | ||||
| Medien als Dateianhang hochladen | — |
Mit der Nutzerauthentifizierung:
|
||
| Medien herunterladen |
Mit der Nutzerauthentifizierung:
|
|||
| Nachrichtenanhang abrufen | — |
Mit der App-Authentifizierung:
|
||
Für Chat-App-Interaktionsereignisse
In der folgenden Tabelle ist aufgeführt, wie Nutzer häufig mit Chat-Apps interagieren und ob eine Authentifizierung erforderlich ist oder unterstützt wird:
| Szenario | Keine Authentifizierung erforderlich | Nutzerauthentifizierung wird unterstützt. | App-Authentifizierung wird unterstützt. | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nachrichten erhalten von: |
|
|||||||||||||||
| So antworten Sie auf Nachrichten: |
|
|||||||||||||||
| Neue Nachrichten senden: |
|
|||||||||||||||
Weitere Informationen
- Eine Übersicht über die Authentifizierung und Autorisierung in Google Workspace finden Sie unter Authentifizierung und Autorisierung.
- Eine Übersicht über die Authentifizierung und Autorisierung in Google Cloud finden Sie unter Authentifizierung.
- Weitere Informationen zu Dienstkonten
- Weitere Informationen dazu, wie Google APIs OAuth 2.0 nutzen, finden Sie unter OAuth 2.0 für den Zugriff auf Google APIs verwenden.
- Richten Sie die Authentifizierung und Autorisierung mit Nutzeranmeldedaten oder einem Dienstkonto ein.