Akun Layanan

Panduan ini membahas cara mengakses Google Ads API dengan akun layanan.

Akun layanan adalah akun milik aplikasi Anda, bukan milik pengguna akhir perorangan. Akun layanan memungkinkan interaksi server-ke-server antara aplikasi web dan layanan Google. Aplikasi Anda memanggil Google API atas nama akun layanan, sehingga pengguna tidak terlibat secara langsung.

Akun layanan menggunakan alur OAuth 2.0 yang tidak memerlukan otorisasi manusia, tetapi menggunakan file kunci yang hanya dapat diakses oleh aplikasi Anda.

Penggunaan akun layanan memberikan dua manfaat utama:

  • Otorisasi untuk akses Google API dilakukan sebagai langkah konfigurasi, sehingga menghindari komplikasi yang terkait dengan alur OAuth 2.0 lainnya yang memerlukan interaksi pengguna.

  • Alur pernyataan OAuth 2.0 memungkinkan aplikasi Anda meniru pengguna lain jika diperlukan.

Ada dua cara untuk memberikan otorisasi dengan akun layanan: secara langsung atau dengan peniruan identitas (tidak direkomendasikan).

[Direkomendasikan] Otorisasi dengan akses akun langsung

Dalam opsi ini, Anda memberikan akses langsung akun layanan ke akun Google Ads Anda.

Penyiapan akses akun

  1. Mulai dengan membuat akun layanan dan kredensial.

    Download kunci akun layanan dalam format JSON dan catat ID serta email akun layanan.

  2. Login ke akun Google Ads Anda sebagai administrator. Buka Admin > Akses dan keamanan.

  3. Klik tombol + di tab Pengguna.

  4. Ketik email akun layanan ke dalam kotak input Email. Pilih tingkat akses akun yang sesuai, lalu klik tombol Tambahkan akun. Perhatikan bahwa tingkat akses Email dan Admin tidak didukung untuk akun layanan.

  5. Akun layanan diberi akses.

Konfigurasi library klien

Pilih tab yang sesuai dengan bahasa pemrograman Anda untuk mendapatkan petunjuk tentang cara mengonfigurasi library klien.

Java

Tetapkan jalur JSON kunci pribadi dalam konfigurasi Anda. Jika Anda menggunakan file ads.properties, tambahkan kode berikut:

api.googleads.serviceAccountSecretsPath=JSON_KEY_FILE_PATH

Lihat panduan konfigurasi untuk mengetahui detail tambahan.

.NET

Konfigurasi kunci berikut di App.config / Web.config Anda. Lihat panduan konfigurasi untuk mengetahui detail tambahan.

<add key="OAuth2Mode" value="SERVICE_ACCOUNT" />
<add key="OAuth2SecretsJsonPath" value="JSON_KEY_FILE_PATH" />

Python

Tetapkan jalur JSON kunci pribadi dalam konfigurasi Anda. Jika Anda menggunakan google-ads.yaml file, string YAML, atau dict, tambahkan kode berikut:

json_key_file_path: JSON_KEY_FILE_PATH

Jika Anda menggunakan variabel lingkungan, tambahkan kode berikut ke konfigurasi atau lingkungan Bash Anda:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH

PHP

Konfigurasi kunci berikut di google_ads_php.ini Anda. Lihat panduan konfigurasi untuk mengetahui detail tambahan.

; For service account flow.
jsonKeyFilePath = "JSON_KEY_FILE_PATH"
scopes = "https://www.googleapis.com/auth/adwords"

Ruby

Konfigurasi kunci berikut di google_ads_config.rb Anda.

c.keyfile = 'JSON_KEY_FILE_PATH'

Perl

Tetapkan jalur JSON kunci pribadi dan ID akun yang didelegasikan dalam konfigurasi Anda. Jika Anda menggunakan file googleads.properties, tambahkan kode berikut:

jsonKeyFilePath=JSON_KEY_FILE_PATH

Jika Anda menggunakan variabel lingkungan, tambahkan kode berikut ke konfigurasi atau lingkungan Bash Anda:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH

[Tidak Direkomendasikan] Pemberian otorisasi menggunakan peniruan identitas

Dalam opsi ini, Anda meniru identitas pengguna yang memiliki akses ke akun Google Ads Anda menggunakan akun layanan. Cara ini hanya berfungsi untuk pelanggan Google Workspace. Akun layanan hanya dapat meniru identitas pengguna (alamat email) di Google Workspace yang sama.

Prasyarat

Penyiapan akses akun layanan

Karena peniruan identitas pengguna hanya dikontrol di tingkat domain, penggunaan akun layanan dan alur pernyataan dengan Google OAuth 2.0 mengharuskan Anda memiliki domain sendiri yang terdaftar di Google Workspace. Aplikasi Anda dan penggunanya kemudian dapat meniru identitas pengguna mana pun di domain.

  1. Mulai dengan membuat akun layanan dan kredensial.

    Download kunci akun layanan dalam format JSON dan catat ID akun layanan.

  2. Bagikan ID akun layanan dan cakupan Google Ads API (https://www.googleapis.com/auth/adwords) kepada administrator domain Anda.

    Minta administrator domain untuk mendelegasikan otoritas tingkat domain ke akun layanan Anda.

  3. Jika Anda adalah administrator domain, selesaikan petunjuk pusat bantuan.

Sekarang Anda dapat menggunakan akun layanan untuk mengakses akun Google Ads dengan alur pernyataan OAuth 2.0.

Konfigurasi library klien

Pilih tab yang sesuai dengan bahasa pemrograman Anda untuk mendapatkan petunjuk tentang cara mengonfigurasi library klien.

Java

Tetapkan jalur JSON kunci pribadi dan ID akun yang didelegasikan dalam konfigurasi Anda. Jika Anda menggunakan file ads.properties, tambahkan kode berikut:

api.googleads.serviceAccountSecretsPath=JSON_KEY_FILE_PATH
api.googleads.serviceAccountUser=IMPERSONATED_EMAIL

Lihat panduan konfigurasi untuk mengetahui detail tambahan.

.NET

Konfigurasi kunci berikut di App.config / Web.config Anda. Lihat panduan konfigurasi untuk mengetahui detail tambahan.

<add key="OAuth2Mode" value="SERVICE_ACCOUNT" />
<add key="OAuth2SecretsJsonPath" value="JSON_KEY_FILE_PATH" />

<!-- Supply the email address of the user to impersonate. -->
<add key="OAuth2PrnEmail" value="IMPERSONATED_EMAIL" />

Python

Tetapkan jalur JSON kunci pribadi dan email yang di-impersonate dalam konfigurasi Anda. Jika Anda menggunakan google-ads.yaml file, string YAML, atau dict, tambahkan berikut ini:

json_key_file_path: JSON_KEY_FILE_PATH
impersonated_email: IMPERSONATED_EMAIL

Jika Anda menggunakan variabel lingkungan, tambahkan kode berikut ke konfigurasi atau lingkungan Bash Anda:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH
export GOOGLE_ADS_IMPERSONATED_EMAIL=IMPERSONATED_EMAIL

PHP

Konfigurasi kunci berikut di google_ads_php.ini Anda. Lihat panduan konfigurasi untuk mengetahui detail tambahan.

; For service account flow.
jsonKeyFilePath = "JSON_KEY_FILE_PATH"
scopes = "https://www.googleapis.com/auth/adwords"
impersonatedEmail = "IMPERSONATED_EMAIL"

Ruby

Konfigurasi kunci berikut di google_ads_config.rb Anda.

c.keyfile = 'JSON_KEY_FILE_PATH'
c.impersonate = 'IMPERSONATED_EMAIL'

Perl

Tetapkan jalur JSON kunci pribadi dan ID akun yang didelegasikan dalam konfigurasi Anda. Jika Anda menggunakan file googleads.properties, tambahkan kode berikut:

jsonKeyFilePath=JSON_KEY_FILE_PATH
impersonatedEmail=IMPERSONATED_EMAIL

Jika Anda menggunakan variabel lingkungan, tambahkan kode berikut ke konfigurasi atau lingkungan Bash Anda:

export GOOGLE_ADS_JSON_KEY_FILE_PATH=JSON_KEY_FILE_PATH
export GOOGLE_ADS_IMPERSONATED_EMAIL=IMPERSONATED_EMAIL

Masalah keamanan

Karena akun layanan memiliki kontrol delegasi tingkat domain untuk domain Google Workspace Anda, penting untuk melindungi file kunci yang memungkinkan akun layanan mengakses layanan Google yang diizinkan untuknya. Hal ini terutama benar karena akun layanan tersebut memiliki kemampuan untuk meniru identitas pengguna mana pun di domain.

Praktik baik lainnya adalah mengizinkan akun layanan mengakses hanya serangkaian API minimum yang diperlukan. Tindakan ini merupakan langkah antisipasi untuk membatasi jumlah data yang dapat diakses penyerang jika file kunci akun layanan disusupi.