Bevor Sie mit der Entwicklung beginnen, müssen Sie die Nutzungsbedingungen der Chrome Policy API lesen, ein Google Cloud-Projekt erstellen, die Chrome Policy API aktivieren und die Anmeldedaten einrichten.
Die Chrome Policy API berücksichtigt Berechtigungen für Administratorrollen und unterliegt festgelegten Autorisierungsbereichen.
Schritt 1: Google Cloud-Projekt erstellen
Zur Verwendung der Chrome Policy API ist ein Google Cloud-Projekt erforderlich. Dieses Projekt bildet die Grundlage zum Erstellen, Aktivieren und Verwenden aller Google Cloud-Dienste. Dazu gehören das Verwalten von APIs, das Aktivieren der Abrechnung, das Hinzufügen und Entfernen von Mitbearbeitern sowie das Verwalten von Berechtigungen.
Wenn Sie noch kein Google Cloud-Projekt haben, das Sie verwenden möchten, führen Sie die folgenden Schritte aus, um ein Google Cloud-Projekt zu erstellen:
- Öffnen Sie die Google Cloud Console.
- Klicken Sie links oben auf das Dreistrich-Menü > IAM und Verwaltung > Projekt erstellen.
- Geben Sie im Feld Projektname einen aussagekräftigen Namen für das Projekt ein.
- Klicken Sie im Feld Standort auf Durchsuchen, um die Organisationen aufzurufen, die für die Zuweisung verfügbar sind. Wählen Sie die Organisation aus, für die Sie Chrome-Richtlinien verwalten möchten, und klicken Sie dann auf Auswählen.
- Klicken Sie auf Erstellen. Die Console ruft die Dashboard-Seite auf und Ihr Projekt wird innerhalb weniger Minuten erstellt.
Schritt 2: Chrome Policy API aktivieren
So aktivieren Sie die Chrome Policy API in Ihrem Google Cloud-Projekt:
- Öffnen Sie die Google Cloud Console.
- Wählen Sie oben Ihr Google Cloud-Projekt aus.
- Klicken Sie links oben auf das Dreistrich-Menü > APIs und Dienste > Bibliothek.
- Geben Sie in das Suchfeld „Chrome“ ein und drücken Sie die Eingabetaste.
- Klicken Sie in der Liste der Suchergebnisse auf Chrome Policy API.
- Klicken Sie auf Aktivieren.
- Wiederholen Sie die Schritte 2 bis 5, um weitere APIs zu aktivieren.
Schritt 3: Anmeldedaten erstellen
Anfragen an die Chrome Policy API können als Endnutzer oder Robot-Dienstkonto authentifiziert werden.
OAuth-Zustimmungsbildschirm konfigurieren
- Öffnen Sie die Google Cloud Console.
- Wählen Sie oben Ihr Google Cloud-Projekt aus.
- Klicken Sie links oben auf das Dreistrich-Menü > APIs und Dienste > OAuth-Zustimmungsbildschirm.
- Wählen Sie den Nutzertyp für Ihre Anwendung aus und klicken Sie dann auf Erstellen.
- Füllen Sie das App-Registrierungsformular aus und klicken Sie dann auf Speichern und fortfahren.
Klicken Sie auf Bereiche hinzufügen oder entfernen. Für jede API, die Sie in Ihrem Google Cloud-Projekt aktiviert haben, wird ein Bereich mit einer Liste der Bereiche angezeigt. Fügen Sie einen der folgenden Autorisierungsbereiche hinzu:
https://www.googleapis.com/auth/chrome.management.policy
https://www.googleapis.com/auth/chrome.management.policy.readonly
Für den Bereich
readonly
sind keine Mutationsvorgänge zulässig.
Endnutzer- oder Dienstkontoauthentifizierung einrichten
Klicken Sie unten auf eine Option, um eine ausführliche Anleitung zu erhalten:
Option 1: Als Endnutzer mit OAuth 2.0 authentifizieren
- Öffnen Sie die Google Cloud Console.
- Wählen Sie oben Ihr Google Cloud-Projekt aus.
- Klicken Sie links oben auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Führen Sie die Schritte zum Erstellen der OAuth 2.0-Anmeldedaten aus.
Der Chrome-Administrator der Organisation muss für die OAuth 2.0-Authentifizierung keine spezielle Einrichtung in der Admin-Konsole vornehmen. Nutzer Ihrer Anwendung müssen die erforderlichen Berechtigungen für Administratorrollen haben, die mit ihrem Konto verknüpft sind, und dem OAuth-Zustimmungsbildschirm der Anwendung zustimmen.
Tipp:Sie können Ihre App im OAuth Playground testen.
Option 2: Als Dienstkonto authentifizieren
Ein Dienstkonto ist eine spezielle Art von Konto, das von einer Anwendung und nicht von einer Person verwendet wird. Sie können ein Dienstkonto verwenden, um auf Daten zuzugreifen, Aktionen über das Robot-Konto selbst auszuführen oder im Namen von Nutzern auf Daten zuzugreifen. Weitere Informationen finden Sie unter Details zu Dienstkonten.
Dienstkonto und Anmeldedaten erstellen
- Öffnen Sie die Google Cloud Console.
- Wählen Sie oben Ihr Google Cloud-Projekt aus.
- Klicken Sie links oben auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > Dienstkonto.
- Geben Sie den Namen des Dienstkontos ein und klicken Sie dann auf Erstellen und fortfahren.
- Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Klicken Sie auf Weiter.
- Optional: Geben Sie Nutzer oder Gruppen ein, die Aktionen mit diesem Dienstkonto verwalten und ausführen können. Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten verwalten.
- Klicken Sie auf Fertig. Nach einigen Minuten wird das neue Dienstkonto in der Liste „Dienstkonten“ angezeigt. Möglicherweise müssen Sie die Seite aktualisieren.
- Klicken Sie in der Liste „Dienstkonten“ auf das von Ihnen erstellte Dienstkonto.
- Klicken Sie auf Schlüssel > Schlüssel hinzufügen > Neuen Schlüssel erstellen.
- Wählen Sie JSON aus und klicken Sie dann auf Erstellen.
Ihr neues öffentliches/privates Schlüsselpaar wird generiert und als neue Datei auf Ihren Computer heruntergeladen. Diese Datei ist die einzige Kopie dieses Schlüssels. Informationen zum sicheren Speichern des Schlüssels finden Sie unter Dienstkontoschlüssel verwalten.
Dienstkonto in der Admin-Konsole autorisieren
Wenn Sie Anfragen als Dienstkonto authentifizieren, muss der Chrome-Administrator der Organisation zusätzliche Schritte in der Admin-Konsole ausführen, um den Vorgang abzuschließen.
Der Chrome-Administrator kann mit den erforderlichen Berechtigungen für Administratorrollen entweder dem Dienstkonto eine Rolle direkt zuweisen oder die domainweite Delegierung einrichten, sodass das Dienstkonto die Identität von Nutzern mit den entsprechenden Berechtigungen übernehmen und in deren Namen handeln kann.
Zum Einrichten der domainweiten Delegierung für Ihr Dienstkonto muss der Chrome-Administrator in der Admin-Konsole folgende Schritte ausführen:
- Öffnen Sie die Admin-Konsole.
- Klicken Sie links oben auf das Dreistrich-Menü > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung.
- Klicken Sie auf Domainweite Delegierung verwalten.
- Klicken Sie auf Neu hinzufügen.
- Fügen Sie im Feld „Client-ID“ die mit Ihrem Dienstkonto verknüpfte Client-ID ein. Hier erfahren Sie, wie Sie die Client-ID Ihres Dienstkontos finden.
- Geben Sie im Feld „OAuth-Bereiche“ eine durch Kommas getrennte Liste der Bereiche ein, die für die Dienstkontoanwendung erforderlich sind. Dies sind dieselben Bereiche, die auch beim Konfigurieren des OAuth-Zustimmungsbildschirms definiert sind.
- Klicken Sie auf Authorize (Autorisieren).
Schritt 4: Anwendung im OAuth Playground testen
- Öffnen Sie die Google Cloud Console.
- Wählen Sie oben Ihr Google Cloud-Projekt aus.
- Klicken Sie links oben auf das Dreistrich-Menü > APIs und Dienste > Anmeldedaten.
- Klicken Sie auf Anmeldedaten erstellen > OAuth-Client-ID.
- Klicken Sie auf Anwendungstyp > Webanwendung.
- Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Cloud Console angezeigt.
- Fügen Sie für den Test
https://developers.google.com/oauthplayground
zu „Autorisierte Weiterleitungs-URIs“ hinzu. Sie können diesen Weiterleitungs-URI nach Abschluss des Tests aus Ihrer App entfernen. - Klicken Sie auf Erstellen und kopieren Sie die Client-ID und den Clientschlüssel in die Zwischenablage.
- Öffnen Sie OAuth 2.0 Playground in einem neuen Tab.
- Klicken Sie rechts oben auf „OAuth 2.0-Konfiguration“ .
- Wählen Sie Eigene OAuth-Anmeldedaten verwenden aus. Fügen Sie dann die in Schritt 8 kopierte Client-ID und den Clientschlüssel ein und klicken Sie auf Schließen.
- Folgen Sie links der Anleitung für OAuth 2.0 Playground:
- Fügen Sie unter „Schritt 1: APIs auswählen und autorisieren“
https://www.googleapis.com/auth/chrome.management.policy
und alle weiteren erforderlichen API-Bereiche hinzu und klicken Sie dann auf APIs autorisieren. - Für „Schritt 2: Autorisierungscode gegen Tokens austauschen“ können Sie optional die Option Token automatisch aktualisieren, bevor es abläuft auswählen.
- Geben Sie unter „Schritt 3: Anfrage an API konfigurieren“ den URI der Chrome Policy API-Anfrage ein und ändern Sie die „HTTP-Methode“ und andere Einstellungen nach Bedarf. Beispiel für eine URL-Anfrage:
https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
- Fügen Sie unter „Schritt 1: APIs auswählen und autorisieren“
Schritt 5: Prüfen, ob die Anwendung vertrauenswürdig ist
Der Administrator einer Organisation kann Apps in der Admin-Konsole als vertrauenswürdig oder blockiert kennzeichnen. Weitere Informationen finden Sie im Hilfeartikel Zugriff externer und interner Apps auf Google Workspace-Daten verwalten.