Antes de começar a desenvolver, você precisa ler os Termos de Serviço da API Chrome Policy, criar um projeto do Google Cloud, ativar a API Chrome Policy e configurar credenciais de acesso.
A API Chrome Policy respeita as permissões de função de administrador e é regida por escopos de autorização definidos.
Etapa 1: criar um projeto do Google Cloud
Um projeto do Google Cloud é necessário para usar a API Chrome Policy. Esse projeto é a base para criar, ativar e usar todos os serviços do Google Cloud, incluindo o gerenciamento de APIs, a ativação de faturamento, a adição e remoção de colaboradores e o gerenciamento de permissões.
Se você ainda não tem um projeto do Google Cloud que queira usar, siga as etapas abaixo para criar um:
- Abra o Console do Google Cloud.
- No canto superior esquerdo, clique em Menu > IAM e administrador > Criar um projeto.
- No campo Nome do projeto, digite um nome descritivo para o projeto.
- No campo Local, clique em Procurar para exibir as organizações disponíveis para atribuição. Escolha a organização em que você quer gerenciar as políticas do Chrome e clique em Selecionar.
- Clique em Criar. O console navega até a página Painel e o projeto é criado em alguns minutos.
Etapa 2: ativar a API Chrome Policy
Para ativar a API Chrome Policy no seu projeto do Google Cloud, faça o seguinte:
- Abra o Console do Google Cloud.
- Na parte superior, escolha seu projeto do Google Cloud.
- No canto superior esquerdo, clique em Menu > APIs e serviços > Biblioteca.
- No campo de pesquisa, digite "Chrome" e pressione Enter.
- Na lista de resultados da pesquisa, clique em API Chrome Policy.
- Selecione Ativar.
- Para ativar mais APIs, repita as etapas 2 a 5.
Etapa 3: criar credenciais
As solicitações para a API Chrome Policy podem ser autenticadas como um usuário final ou uma conta de serviço de robô.
Configurar a tela de permissão OAuth
- Abra o Console do Google Cloud.
- Na parte superior, escolha seu projeto do Google Cloud.
- No canto superior esquerdo, clique em Menu > APIs e serviços > Tela de permissão OAuth.
- Selecione o tipo de usuário do app e clique em Criar.
- Preencha o formulário de registro do app e clique em Salvar e continuar.
Clique em Adicionar ou remover escopos. Um painel é exibido com uma lista de escopos de cada API ativada no projeto do Google Cloud. Adicione um dos seguintes escopos de autorização:
https://www.googleapis.com/auth/chrome.management.policy
https://www.googleapis.com/auth/chrome.management.policy.readonly
O escopo
readonly
não permite operações de mutação.
Configurar a autenticação da conta de serviço ou do usuário final
Clique em uma opção abaixo para ver instruções detalhadas:
Opção 1: autenticar como usuário final com o OAuth 2.0
- Abra o Console do Google Cloud.
- Na parte superior, escolha seu projeto do Google Cloud.
- No canto superior esquerdo, clique em Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Siga as etapas para criar as credenciais do OAuth 2.0.
Nenhuma configuração especial é necessária no Admin Console pelo administrador do Chrome da organização para a autenticação do OAuth 2.0. Os usuários do seu app precisarão ter as permissões necessárias da função de administrador associadas à conta e concordar com a tela de permissão OAuth do app.
Dica:você pode testar seu app no OAuth Playground.
Opção 2: autenticar como uma conta de serviço
Uma conta de serviço é um tipo especial de conta usada por um aplicativo, em vez de uma pessoa. É possível usar uma conta de serviço para acessar dados ou realizar ações pela própria conta de robô ou para acessar dados em nome dos usuários. Para mais detalhes, consulte Noções básicas sobre as contas de serviço.
Criar uma conta de serviço e credenciais
- Abra o console do Google Cloud.
- Na parte superior, escolha seu projeto do Google Cloud.
- No canto superior esquerdo, clique em Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > Conta de serviço.
- Digite o nome da conta de serviço e clique em Criar e continuar.
- Opcional: atribua papéis à sua conta de serviço para conceder acesso aos recursos do seu projeto do Google Cloud. Para mais detalhes, consulte Como conceder, alterar e revogar acesso a recursos.
- Clique em Continuar.
- Opcional: insira usuários ou grupos que podem gerenciar e realizar ações com essa conta de serviço. Para mais detalhes, consulte Como gerenciar a representação de uma conta de serviço.
- Clique em Concluído. Depois de alguns minutos, a nova conta vai aparecer na lista "Contas de serviço". Talvez seja necessário atualizar a página.
- Na lista "Contas de serviço", clique na conta que você criou.
- Clique em Chaves > Adicionar chaves > Criar nova chave.
- Selecione JSON e clique em Criar.
Seu novo par de chaves públicas/privadas é gerado e o download dele é feito para sua máquina como um novo arquivo. Esse arquivo é a única cópia dessa chave. Para saber mais sobre como armazenar sua chave com segurança, consulte Como gerenciar chaves de contas de serviço.
Autorizar a conta de serviço no Admin Console
Se você optar por autenticar solicitações como uma conta de serviço, o administrador do Chrome da organização precisará executar outras etapas no Admin Console para concluir o processo.
O administrador do Chrome pode atribuir um papel diretamente à conta de serviço com as permissões de função de administrador necessárias ou configurar a delegação em todo o domínio para que a conta de serviço possa representar usuários com as permissões adequadas e agir em nome deles.
Para configurar a delegação em todo o domínio na sua conta de serviço, o administrador do Chrome precisa seguir estas etapas no Admin Console:
- Abra o Admin Console.
- No canto superior esquerdo, clique em Menu > Segurança > Controle de dados e acesso > Controles da API.
- Clique em Gerenciar a delegação em todo o domínio.
- clique em Add new;
- No campo "ID do cliente", cole o ID associado à sua conta de serviço. Saiba como encontrar o ID do cliente da sua conta de serviço.
- No campo "Escopos do OAuth", digite uma lista delimitada por vírgulas dos escopos exigidos pelo aplicativo da conta de serviço. Esse é o mesmo conjunto de escopos definido na configuração da tela de permissão OAuth.
- Clique em Autorizar.
Etapa 4: testar o app no OAuth Playground
- Abra o Console do Google Cloud.
- Na parte superior, escolha seu projeto do Google Cloud.
- No canto superior esquerdo, clique em Menu > APIs e serviços > Credenciais.
- Clique em Criar credenciais > ID do cliente OAuth.
- Clique em Tipo de aplicativo > Aplicativo da Web.
- No campo "Nome", digite um nome para a credencial. Ele só é exibido no console do Cloud.
- Para o momento do teste, adicione
https://developers.google.com/oauthplayground
a "URIs de redirecionamento autorizados". Você pode remover esse URI de redirecionamento do seu app ao concluir os testes, se necessário. - Clique em Criar e copie o "ID do cliente" e a "chave secreta do cliente" para a área de transferência.
- Em uma nova guia, abra o OAuth 2.0 Playground.
- No canto superior direito, clique em Configuração do OAuth 2.0 .
- Selecione Usar suas próprias credenciais do OAuth. Em seguida, cole o "ID do cliente" e a "chave secreta do cliente" que você copiou na etapa 8 e clique em Fechar.
- À esquerda, siga as etapas do OAuth 2.0 Playground:
- Em "Etapa 1: selecionar e autorizar APIs", adicione
https://www.googleapis.com/auth/chrome.management.policy
e outros escopos de API necessários e clique em Autorizar APIs. - Na "Etapa 2: trocar o código de autorização por tokens", selecione Atualizar automaticamente o token antes que ele expire.
- Em "Etapa 3: configurar a solicitação para a API", digite o URI da solicitação da API Chrome Policy, modificando o "Método HTTP" e outras configurações, conforme necessário. Exemplo de solicitação de URL:
https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
- Em "Etapa 1: selecionar e autorizar APIs", adicione
Etapa 5: verificar se o app é confiável
O administrador de uma organização pode marcar apps como confiáveis ou bloqueados no Admin Console. Veja mais detalhes em Controlar quais apps internos e de terceiros acessam os dados do Google Workspace.