حسابات الخدمة

يناقش هذا الدليل كيفية الوصول إلى Google Ads API باستخدام حسابات الخدمة.

حساب الخدمة هو حساب يخص تطبيقك بدلاً من مستخدم نهائي فردي. تتيح حسابات الخدمة التفاعلات بين الخادم والخادم بين تطبيق ويب وخدمة من Google. يطلب تطبيقك من واجهات برمجة تطبيقات Google تنفيذ إجراءات بالنيابة عن حساب الخدمة، وبالتالي لا يشارك المستخدمون بشكل مباشر في هذه العملية.

تستخدم حسابات الخدمة مسار OAuth 2.0 الذي لا يتطلّب تفويضًا من المستخدم، بل يستخدم ملف مفتاح لا يمكن لتطبيقك وحده الوصول إليه.

يوفر استخدام حسابات الخدمة فائدتَين رئيسيتَين:

  • يتم منح الإذن بالوصول إلى Google API كخطوة إعداد، وبالتالي يتم تجنُّب التعقيدات المرتبطة بمسارات OAuth 2.0 الأخرى التي تتطلّب تفاعلات المستخدم.

  • يتيح مسار تأكيد هوية OAuth 2.0 لتطبيقك انتحال هوية مستخدمين آخرين إذا لزم الأمر.

هناك طريقتان للتفويض باستخدام حسابات الخدمة: مباشرةً أو من خلال انتحال الهوية (لا يُنصح بذلك).

[يُنصح به] التفويض من خلال الوصول المباشر إلى الحساب

في هذا الخيار، تمنح حساب الخدمة إذن الوصول المباشر إلى حسابك على "إعلانات Google".

إعداد إمكانية الوصول إلى الحساب

  1. ابدأ بإنشاء حساب خدمة وبيانات اعتماد.

    نزِّل مفتاح حساب الخدمة بتنسيق JSON، واحتفظ بمعرّف حساب الخدمة وبريده الإلكتروني.

  2. سجِّل الدخول إلى حسابك على "إعلانات Google" بصفتك مشرفًا. انتقِل إلى المشرف > الوصول والأمان.

  3. انقر على الزر + ضمن علامة التبويب المستخدمون.

  4. اكتب عنوان البريد الإلكتروني لحساب الخدمة في مربّع الإدخال البريد الإلكتروني. اختَر مستوى الوصول المناسب إلى الحساب وانقر على زر إضافة حساب. يُرجى العِلم أنّ مستويات الوصول "البريد الإلكتروني" و"المشرف" غير متاحة لحسابات الخدمة.

  5. يتم منح حساب الخدمة إذن الوصول.

إعداد مكتبة البرامج

اختَر علامة التبويب التي تتوافق مع لغة البرمجة التي تستخدمها للحصول على تعليمات حول كيفية إعداد مكتبة برامج العميل.

Java

اضبط مسار JSON للمفتاح الخاص في الإعدادات. إذا كنت تستخدم ملف ads.properties، أضِف ما يلي:

api.googleads.serviceAccountSecretsPath=JSON_KEY_FILE_PATH

راجِع دليل الإعداد للاطّلاع على تفاصيل إضافية.

NET.

اضبط المفاتيح التالية في App.config / Web.config. راجِع دليل الإعداد للاطّلاع على تفاصيل إضافية.

<add key="OAuth2Mode" value="SERVICE_ACCOUNT" />
<add key="OAuth2SecretsJsonPath" value="JSON_KEY_FILE_PATH" />

Python

اضبط مسار JSON للمفتاح الخاص في الإعدادات. إذا كنت تستخدم google-ads.yaml file أو سلسلة YAML أو dict، أضِف ما يلي:

json_key_file_path: JSON_KEY_FILE_PATH

إذا كنت تستخدم متغيّرات البيئة، أضِف ما يلي إلى إعدادات Bash أو البيئة:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH

PHP

اضبط المفاتيح التالية في google_ads_php.ini. راجِع دليل الإعداد للحصول على تفاصيل إضافية.

; For service account flow.
jsonKeyFilePath = "JSON_KEY_FILE_PATH"
scopes = "https://www.googleapis.com/auth/adwords"

Ruby

اضبط المفاتيح التالية في google_ads_config.rb.

c.keyfile = 'JSON_KEY_FILE_PATH'

Perl

اضبط مسار JSON للمفتاح الخاص ومعرّف حساب التفويض في إعداداتك. إذا كنت تستخدم ملف googleads.properties، أضِف ما يلي:

jsonKeyFilePath=JSON_KEY_FILE_PATH

إذا كنت تستخدم متغيّرات البيئة، أضِف ما يلي إلى إعدادات Bash أو البيئة:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH

[لا يُنصح به] التفويض باستخدام انتحال الهوية

في هذا الخيار، يمكنك انتحال شخصية مستخدم لديه إذن الوصول إلى حسابك على "إعلانات Google" باستخدام حساب الخدمة. لا تعمل هذه الطريقة إلا مع عملاء Google Workspace. يمكن لحساب الخدمة أن ينتحل هوية المستخدمين (عناوين البريد الإلكتروني) في Google Workspace نفسه فقط.

المتطلبات الأساسية

  • نطاق Google Workspace تملكه، مثل mydomain.com أو mybusiness.com

  • رمز مميز للمطوِّر لاستخدامه مع Google Ads API، وحساب تجريبي اختياري

  • مكتبة البرامج للغة التي تستخدمها

  • مشروع على Google API Console تم إعداده لاستخدام Google Ads API

  • مستخدِم "إعلانات Google" لديه أذونات في حساب "إعلانات Google" الذي تريد الوصول إليه

إعداد إذن الوصول إلى حساب الخدمة

بما أنّ انتحال هوية المستخدم يتم التحكّم فيه على مستوى النطاق فقط، يتطلّب استخدام حسابات الخدمة ومسار التأكيد مع Google OAuth 2.0 أن يكون لديك نطاقك الخاص مسجَّلاً في Google Workspace. يمكن لتطبيقك ومستخدميه بعد ذلك انتحال هوية أي مستخدم في النطاق.

  1. ابدأ بإنشاء حساب خدمة وبيانات اعتماد.

    نزِّل مفتاح حساب الخدمة بتنسيق JSON واحتفظ بمعرّف حساب الخدمة.

  2. شارِك رقم تعريف حساب الخدمة ونطاق Google Ads API (https://www.googleapis.com/auth/adwords) مع مشرف النطاق.

    اطلب من مشرف النطاق تفويض حساب الخدمة على مستوى النطاق.

  3. إذا كنت مشرف النطاق، أكمِل التعليمات الواردة في مركز المساعدة.

يمكنك الآن استخدام حساب الخدمة للوصول إلى حسابك على "إعلانات Google" من خلال عملية تأكيد الإصدار 2.0 من OAuth.

إعداد مكتبة البرامج

اختَر علامة التبويب التي تتوافق مع لغة البرمجة التي تستخدمها للحصول على تعليمات حول كيفية إعداد مكتبة برامج العميل.

Java

اضبط مسار JSON للمفتاح الخاص ومعرّف حساب التفويض في إعداداتك. إذا كنت تستخدم ملف ads.properties، أضِف ما يلي:

api.googleads.serviceAccountSecretsPath=JSON_KEY_FILE_PATH
api.googleads.serviceAccountUser=IMPERSONATED_EMAIL

راجِع دليل الإعداد للاطّلاع على تفاصيل إضافية.

NET.

اضبط المفاتيح التالية في App.config / Web.config. راجِع دليل الإعداد للاطّلاع على تفاصيل إضافية.

<add key="OAuth2Mode" value="SERVICE_ACCOUNT" />
<add key="OAuth2SecretsJsonPath" value="JSON_KEY_FILE_PATH" />

<!-- Supply the email address of the user to impersonate. -->
<add key="OAuth2PrnEmail" value="IMPERSONATED_EMAIL" />

Python

اضبط مسار JSON للمفتاح الخاص والبريد الإلكتروني الذي يتم انتحال هويته في الإعدادات. إذا كنت تستخدم google-ads.yaml file أو سلسلة YAML أو dict، أضِف ما يلي:

json_key_file_path: JSON_KEY_FILE_PATH
impersonated_email: IMPERSONATED_EMAIL

إذا كنت تستخدم متغيّرات البيئة، أضِف ما يلي إلى إعدادات Bash أو البيئة:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH
export GOOGLE_ADS_IMPERSONATED_EMAIL=IMPERSONATED_EMAIL

PHP

اضبط المفاتيح التالية في google_ads_php.ini. راجِع دليل الإعداد للحصول على تفاصيل إضافية.

; For service account flow.
jsonKeyFilePath = "JSON_KEY_FILE_PATH"
scopes = "https://www.googleapis.com/auth/adwords"
impersonatedEmail = "IMPERSONATED_EMAIL"

Ruby

اضبط المفاتيح التالية في google_ads_config.rb.

c.keyfile = 'JSON_KEY_FILE_PATH'
c.impersonate = 'IMPERSONATED_EMAIL'

Perl

اضبط مسار JSON للمفتاح الخاص ومعرّف حساب التفويض في إعداداتك. إذا كنت تستخدم ملف googleads.properties، أضِف ما يلي:

jsonKeyFilePath=JSON_KEY_FILE_PATH
impersonatedEmail=IMPERSONATED_EMAIL

إذا كنت تستخدم متغيّرات البيئة، أضِف ما يلي إلى إعدادات Bash أو البيئة:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH
export GOOGLE_ADS_IMPERSONATED_EMAIL=IMPERSONATED_EMAIL

المخاوف المرتبطة بالأمان

بما أنّ حساب الخدمة يتضمّن إذن تفويض على مستوى النطاق لنطاق Google Workspace، من المهم حماية ملف المفتاح الذي يتيح لحساب الخدمة الوصول إلى خدمات Google المصرّح له باستخدامها. ويصدق ذلك بشكل خاص لأنّ حساب الخدمة هذا لديه القدرة على انتحال هوية أي مستخدم في النطاق.

من الممارسات الجيدة الأخرى السماح لحسابات الخدمة بالوصول إلى الحد الأدنى من مجموعة واجهات برمجة التطبيقات المطلوبة فقط. هذا إجراء وقائي للحدّ من كمية البيانات التي يمكن للمهاجم الوصول إليها في حال تعرّض ملف مفتاح حساب الخدمة للاختراق.