Cuentas de servicio

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta guía, se explica cómo acceder a la API de Google Ads con cuentas de servicio.

Una cuenta de servicio es una cuenta que pertenece a tu app y no a un usuario final individual. Las cuentas de servicio permiten interacciones de servidor a servidor entre una aplicación web y un servicio de Google. Tu app llama a las API de Google en nombre de la cuenta de servicio, por lo que los usuarios no están involucrados de manera directa.

Las cuentas de servicio emplean un flujo de OAuth2 que no requiere autorización humana y, en su lugar, se usa un archivo de claves al que solo puede acceder tu aplicación.

El uso de cuentas de servicio proporciona dos beneficios clave:

  • La autorización para acceder a la API de Google se realiza como un paso de configuración, por lo que se evitan las complicaciones asociadas con otros flujos de OAuth2 que requieren interacciones del usuario.
  • El flujo de aserción de OAuth2 permite que tu app robe la identidad de otros usuarios si es necesario.

Requisitos previos

  • Un dominio de Google Workspace de tu propiedad, como mydomain.com o mybusiness.com
  • Un token de desarrollador de la API de Google Ads y, de forma opcional, una cuenta de prueba.
  • La biblioteca cliente del lenguaje que usas.
  • Un proyecto de la Consola de API de Google que se configuró para la API de Google Ads
  • Un usuario de Google Ads con permisos en la cuenta de Google Ads a la que desea acceder Google Ads no admite el uso de cuentas de servicio sin robo de identidad.

Configuración de acceso a la cuenta de servicio

Debido a que el robo de identidad de los usuarios se controla solo a nivel del dominio, el uso de cuentas de servicio y flujo de aserción con Google OAuth2 requiere que registres tu propio dominio en Google Workspace. Tu app y sus usuarios pueden robar la identidad de cualquier usuario del dominio.

  1. Para comenzar, crea una cuenta de servicio y credenciales.

    Descarga la clave de la cuenta de servicio en formato JSON y anota el ID de la cuenta de servicio.

  2. Comparte el ID de la cuenta de servicio y el alcance de la API de Google Ads (https://www.googleapis.com/auth/adwords) con el administrador de dominio.

    Solicita al administrador del dominio que delegue la autoridad de todo el dominio a tu cuenta de servicio.

  3. Si eres el administrador del dominio, completa las instrucciones del Centro de ayuda.

Ahora puedes usar la cuenta de servicio para acceder a tu cuenta de Google Ads con el flujo de aserción de OAuth2.

Configuración de la biblioteca cliente

Selecciona tu idioma a continuación para obtener instrucciones sobre cómo configurar tu biblioteca cliente.

Medidas de seguridad

Debido a que la cuenta de servicio tiene control de delegación a nivel de dominio para tu dominio de Google Workspace, es importante proteger el archivo de claves que permite que una cuenta de servicio acceda a los servicios de Google para los que está autorizada. Esto es especialmente cierto, ya que esa cuenta de servicio tiene la capacidad de suplantar a cualquier usuario del dominio.

Otra práctica recomendada es permitir que las cuentas de servicio accedan solo al conjunto de API mínimo requerido. Esta es una medida preventiva para limitar la cantidad de datos a los que puede acceder un atacante si se vulnera el archivo de claves de la cuenta de servicio.