Trước khi bắt đầu phát triển, bạn cần xem lại Điều khoản dịch vụ của API Chính sách Chrome, tạo dự án Google Cloud, bật API Chính sách Chrome và thiết lập thông tin xác thực quyền truy cập.
API Chính sách Chrome tuân thủ quyền của vai trò quản trị viên và chịu sự điều chỉnh của phạm vi uỷ quyền đã xác định.
Bước 1: Tạo một dự án trên Google Cloud
Bạn cần có dự án trên Google Cloud để sử dụng API Chính sách của Chrome. Dự án này tạo cơ sở để tạo, bật và sử dụng tất cả dịch vụ của Google Cloud, bao gồm cả việc quản lý API, bật tính năng thanh toán, thêm và xoá cộng tác viên cũng như quản lý quyền.
Nếu chưa có dự án Google Cloud mà bạn muốn sử dụng, hãy làm theo các bước bên dưới để tạo một dự án trên Google Cloud:
- Mở Google Cloud Console.
- Ở trên cùng bên trái, hãy nhấp vào biểu tượng Trình đơn > IAM & Admin > Tạo dự án.
- Trong trường Tên dự án, hãy nhập tên mô tả cho dự án của bạn.
- Trong trường Vị trí, hãy nhấp vào Duyệt qua để hiển thị các tổ chức có thể chỉ định. Chọn tổ chức mà bạn muốn quản lý các chính sách của Chrome, sau đó nhấp vào Chọn.
- Nhấp vào Tạo. Bảng điều khiển sẽ chuyển đến Trang tổng quan và dự án của bạn sẽ được tạo trong vòng vài phút.
Bước 2: Bật Chrome Policy API
Cách bật API Chrome Policy trong dự án Google Cloud:
- Mở Google Cloud Console.
- Ở trên cùng, hãy chọn dự án của bạn trên Google Cloud.
- Ở trên cùng bên trái, hãy nhấp vào biểu tượng Trình đơn > API và dịch vụ > Thư viện.
- Trong trường tìm kiếm, hãy nhập "Chrome" rồi nhấn Enter.
- Trong danh sách kết quả tìm kiếm, hãy nhấp vào Chrome Policy API.
- Nhấp vào Bật.
- Để bật nhiều API hơn, hãy lặp lại các bước từ 2 đến 5.
Bước 3: Tạo thông tin đăng nhập
Các yêu cầu gửi đến API Chính sách của Chrome có thể được xác thực là người dùng cuối hoặc tài khoản dịch vụ rô-bốt.
Định cấu hình màn hình xin phép bằng OAuth
- Mở Google Cloud Console.
- Ở trên cùng, hãy chọn dự án của bạn trên Google Cloud.
- Ở trên cùng bên trái, hãy nhấp vào biểu tượng Trình đơn > API và dịch vụ > Màn hình xin phép bằng OAuth.
- Chọn loại người dùng cho ứng dụng của bạn, sau đó nhấp vào Tạo.
- Hoàn tất biểu mẫu đăng ký ứng dụng, sau đó nhấp vào Lưu và tiếp tục.
Nhấp vào Thêm hoặc xoá phạm vi. Một bảng điều khiển sẽ xuất hiện với danh sách các phạm vi cho từng API mà bạn đã bật trong dự án trên Google Cloud. Thêm một trong các phạm vi uỷ quyền sau:
https://www.googleapis.com/auth/chrome.management.policy
https://www.googleapis.com/auth/chrome.management.policy.readonly
Phạm vi
readonly
không cho phép bất kỳ hoạt động đột biến nào.
Thiết lập phương thức xác thực tài khoản người dùng cuối hoặc tài khoản dịch vụ
Nhấp vào một tùy chọn bên dưới để xem hướng dẫn chi tiết:
Lựa chọn 1: Xác thực với tư cách người dùng cuối bằng OAuth 2.0
- Mở Google Cloud Console.
- Ở trên cùng, hãy chọn dự án của bạn trên Google Cloud.
- Ở trên cùng bên trái, hãy nhấp vào biểu tượng Trình đơn > API và dịch vụ > Thông tin xác thực.
- Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
- Làm theo các bước để tạo thông tin xác thực OAuth 2.0.
Quản trị viên Chrome của tổ chức không cần phải thiết lập đặc biệt để xác thực OAuth 2.0. Người dùng ứng dụng của bạn sẽ cần có các quyền bắt buộc đối với vai trò quản trị viên liên kết với tài khoản của họ và cần phải đồng ý với màn hình xin phép bằng OAuth của ứng dụng.
Mẹo: Bạn có thể kiểm thử ứng dụng trong OAuth Playground.
Cách 2: Xác thực dưới dạng tài khoản dịch vụ
Tài khoản dịch vụ là một loại tài khoản đặc biệt mà một ứng dụng sử dụng chứ không phải một người. Bạn có thể sử dụng tài khoản dịch vụ để truy cập vào dữ liệu hoặc thực hiện các thao tác bằng chính tài khoản rô-bốt hoặc để truy cập vào dữ liệu thay mặt cho người dùng. Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Tìm hiểu về tài khoản dịch vụ.
Tạo tài khoản dịch vụ và thông tin đăng nhập
- Mở Google Cloud Console.
- Ở trên cùng, hãy chọn dự án của bạn trên Google Cloud.
- Ở trên cùng bên trái, hãy nhấp vào biểu tượng Trình đơn > API và dịch vụ > Thông tin xác thực.
- Nhấp vào Tạo thông tin xác thực > Tài khoản dịch vụ.
- Nhập tên tài khoản dịch vụ, sau đó nhấp vào Tạo và tiếp tục.
- Không bắt buộc: Chỉ định vai trò cho tài khoản dịch vụ để cấp quyền truy cập vào tài nguyên của dự án trên Google Cloud. Để biết thêm chi tiết, hãy tham khảo Cấp, thay đổi và thu hồi quyền truy cập vào tài nguyên.
- Nhấp vào Tiếp tục.
- Không bắt buộc: Nhập những người dùng hoặc nhóm có thể quản lý và thực hiện các thao tác với tài khoản dịch vụ này. Để biết thêm chi tiết, hãy tham khảo bài viết Quản lý mạo danh tài khoản dịch vụ.
- Nhấp vào Xong. Sau vài phút, tài khoản dịch vụ mới của bạn sẽ xuất hiện trong danh sách "Tài khoản dịch vụ". (Bạn có thể cần phải làm mới trang.)
- Trong danh sách "Tài khoản dịch vụ", hãy nhấp vào tài khoản dịch vụ mà bạn đã tạo.
- Nhấp vào Khoá > Thêm khoá > Tạo khoá mới.
- Chọn JSON, rồi nhấp vào Tạo.
Cặp khoá công khai/riêng tư mới của bạn sẽ được tạo và tải xuống máy của bạn dưới dạng tệp mới. Tệp này là bản sao duy nhất của khoá này. Để biết thông tin về cách lưu trữ an toàn khoá của bạn, hãy xem bài viết Quản lý khoá tài khoản dịch vụ.
Uỷ quyền tài khoản dịch vụ trong Bảng điều khiển dành cho quản trị viên
Nếu bạn chọn xác thực yêu cầu dưới dạng tài khoản dịch vụ, thì quản trị viên Chrome của tổ chức cần thực hiện thêm một số bước trong Bảng điều khiển dành cho quản trị viên để hoàn tất quy trình này.
Quản trị viên Chrome có thể chỉ định trực tiếp vai trò cho tài khoản dịch vụ bằng các quyền cần thiết trong vai trò quản trị viên, hoặc quản trị viên Chrome có thể thiết lập việc uỷ quyền trên toàn miền để tài khoản dịch vụ có thể mạo danh người dùng có quyền phù hợp và hành động thay mặt họ.
Để thiết lập tính năng uỷ quyền trên toàn miền cho tài khoản dịch vụ, quản trị viên Chrome cần làm theo các bước sau trong Bảng điều khiển dành cho quản trị viên:
- Mở Bảng điều khiển dành cho quản trị viên.
- Ở trên cùng bên trái, hãy nhấp vào biểu tượng Trình đơn > Bảo mật > Quyền truy cập và kiểm soát dữ liệu > Các tuỳ chọn kiểm soát API.
- Nhấp vào Quản lý uỷ quyền trên toàn miền.
- Nhấp vào Thêm mới.
- Trong trường "Mã khách hàng", hãy dán mã ứng dụng khách được liên kết với tài khoản dịch vụ của bạn. Tìm hiểu cách tìm mã ứng dụng khách của tài khoản dịch vụ.
- Trong trường "Phạm vi OAuth", hãy nhập danh sách được phân tách bằng dấu phẩy gồm các phạm vi mà ứng dụng tài khoản dịch vụ yêu cầu. Đây cũng là nhóm phạm vi được xác định khi định cấu hình màn hình xin phép bằng OAuth.
- Nhấp vào Uỷ quyền.
Bước 4: Kiểm thử ứng dụng trong OAuth Playground
- Mở Google Cloud Console.
- Ở trên cùng, hãy chọn dự án của bạn trên Google Cloud.
- Ở trên cùng bên trái, hãy nhấp vào biểu tượng Trình đơn > API và dịch vụ > Thông tin xác thực.
- Nhấp vào Tạo thông tin xác thực > Mã ứng dụng khách OAuth.
- Nhấp vào Loại ứng dụng > Ứng dụng web.
- Trong trường "Tên", hãy nhập tên cho thông tin xác thực. Tên này chỉ xuất hiện trong Cloud Console.
- Trong thời gian thử nghiệm, hãy thêm
https://developers.google.com/oauthplayground
vào phần "URI chuyển hướng được uỷ quyền". Bạn có thể xoá URI chuyển hướng này khỏi ứng dụng của mình khi hoàn tất quá trình kiểm thử (nếu cần). - Nhấp vào Tạo rồi sao chép "mã ứng dụng khách" và "mật khẩu ứng dụng khách" vào bảng nhớ tạm.
- Trong thẻ mới, hãy mở Playground 2.0 của OAuth.
- Ở trên cùng bên phải, hãy nhấp vào biểu tượng Cấu hình OAuth 2.0 .
- Chọn Sử dụng thông tin xác thực OAuth của riêng bạn. Sau đó, dán "client ID" (mã ứng dụng khách) và "client secret" mà bạn đã sao chép ở bước 8 rồi nhấp vào Close (Đóng).
- Ở bên trái, hãy làm theo các bước trong Playground OAuth 2.0:
- Đối với "Bước 1: Chọn và cho phép API", hãy thêm
https://www.googleapis.com/auth/chrome.management.policy
và mọi phạm vi API cần thiết khác, sau đó nhấp vào Uỷ quyền API. - Đối với "Bước 2: Trao đổi mã uỷ quyền để lấy mã thông báo", bạn có thể chọn Tự động làm mới mã thông báo trước khi hết hạn (không bắt buộc).
- Đối với "Bước 3: Định cấu hình yêu cầu cho API", hãy nhập URI yêu cầu API Chính sách của Chrome, sửa đổi "Phương thức HTTP" và các chế độ cài đặt khác nếu cần. Yêu cầu URL mẫu:
https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
- Đối với "Bước 1: Chọn và cho phép API", hãy thêm
Bước 5: Xác minh ứng dụng của bạn là đáng tin cậy
Quản trị viên của tổ chức có thể đánh dấu các ứng dụng là đáng tin cậy hoặc bị chặn trong Bảng điều khiển dành cho quản trị viên. Để biết thêm thông tin, hãy xem phần Kiểm soát những ứng dụng nội bộ và ứng dụng bên thứ ba nào truy cập vào dữ liệu trong Google Workspace.