Anmeldedaten für den Zugriff erstellen

Anmeldedaten werden verwendet, um ein Zugriffstoken von den Autorisierungsservern von Google abzurufen, damit Ihre App Google Workspace APIs aufrufen kann. In dieser Anleitung wird beschrieben, wie Sie die für Ihre App erforderlichen Anmeldedaten auswählen und einrichten.

Definitionen der Begriffe auf dieser Seite finden Sie in der Übersicht zur Authentifizierung und Autorisierung.

Die richtigen Anmeldedaten für den Zugriff auswählen

Die erforderlichen Anmeldedaten hängen vom Datentyp, der Plattform und der Zugriffsmethode Ihrer App ab. Es gibt drei Arten von Anmeldedaten:

Anwendungsfall	Authentifizierungsmethode	Informationen zu dieser Authentifizierungsmethode
Anonym auf öffentlich verfügbare Daten in Ihrer App zugreifen.	API-Schlüssel	Prüfen Sie, ob API-Schlüssel von der gewünschten API unterstützt werden, bevor Sie diese Authentifizierungsmethode verwenden.
Auf Nutzerdaten wie E‑Mail-Adresse oder Alter zugreifen.	OAuth-Client-ID	Erfordert, dass Ihre App die Zustimmung des Nutzers anfordert und erhält.
Auf Daten zugreifen, die zu Ihrer eigenen Anwendung gehören, oder über die domainweite Autorisierung im Namen von Google Workspace- oder Cloud Identity-Nutzern auf Ressourcen zugreifen.	Dienstkonto	Wenn sich eine App als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat.

Anmeldedaten für API-Schlüssel

Ein API-Schlüssel ist ein langer String mit Groß- und Kleinbuchstaben, Zahlen, Unterstrichen und Bindestrichen, z. B. AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Diese Authentifizierungsmethode wird verwendet, um anonym auf öffentlich verfügbare Daten zuzugreifen, z. B. auf Google Workspace-Dateien, die mit der Freigabeeinstellung „Jeder im Internet mit diesem Link“ freigegeben wurden. Weitere Informationen finden Sie unter API-Schlüssel verwenden.

So erstellen Sie einen API-Schlüssel:

1. Gehen Sie in der Google Cloud Console zu Menü menu > APIs und Dienste > Anmeldedaten.

   Zu den Anmeldedaten

2. Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
3. Ihr neuer API-Schlüssel wird angezeigt.
   • Klicken Sie auf „Kopieren“ content_copy, um Ihren API-Schlüssel für die Verwendung im Code Ihrer App zu kopieren. Der API-Schlüssel ist auch im Bereich „API-Schlüssel“ der Anmeldedaten Ihres Projekts zu finden.
   • Damit eine nicht autorisierte Verwendung verhindert wird, sollten Sie einschränken, wo und für welche APIs der API-Schlüssel verwendet werden kann. Weitere Informationen finden Sie unter API-Einschränkungen hinzufügen.

Anmeldedaten für OAuth-Client-IDs

Für die Authentifizierung von Endnutzern und für den Zugriff auf Nutzerdaten in Ihrer App müssen Sie mindestens eine OAuth 2.0-Client-ID erstellen. Eine Client-ID wird zur Identifizierung einer einzelnen App bei den OAuth-Servern von Google verwendet. Wenn Ihre App auf mehreren Plattformen ausgeführt wird, müssen Sie für jede Plattform eine separate Client-ID erstellen.

Wählen Sie Ihren Anwendungstyp aus, um eine spezifische Anleitung zum Erstellen einer OAuth-Client-ID zu erhalten:

Webanwendung

1. Gehen Sie in der Google API Console zu Menü menu > Google Auth-Plattform > Clients.

   Zu den Clients

2. Klicken Sie auf Client erstellen.
3. Klicken Sie auf Anwendungstyp > Webanwendung.
4. Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google API Console angezeigt.
5. Fügen Sie autorisierte URIs hinzu, die mit Ihrer App verknüpft sind:
   • Clientseitige Apps (JavaScript): Klicken Sie unter Autorisierte JavaScript-Quellen auf URI hinzufügen. Geben Sie dann einen URI ein, der für Browseranfragen verwendet werden soll. Dadurch werden die Domains identifiziert, von denen Ihre App API-Anfragen an den OAuth 2.0-Server senden kann.
   • Serverseitige Apps (Java, Python usw.): Klicken Sie unter Autorisierte Weiterleitungs-URIs auf URI hinzufügen. Geben Sie dann einen Endpunkt-URI ein, an den der OAuth 2.0-Server Antworten senden kann.
6. Klicken Sie auf Erstellen.

   Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.

   Notieren Sie sich die Client-ID. Clientschlüssel werden für Webanwendungen nicht verwendet.

Android

1. Gehen Sie in der Google API Console zu Menü menu > Google Auth-Plattform > Clients.

   Zu den Clients

2. Klicken Sie auf Client erstellen.
3. Klicken Sie auf Anwendungstyp > Android.
4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google API Console angezeigt.
5. Geben Sie im Feld „Paketname“ den Paketnamen aus Ihrer Datei AndroidManifest.xml ein.
6. Geben Sie im Feld „SHA1-Zertifikatfingerabdruck“ den generierten SHA1-Zertifikatfingerabdruck ein.
7. Klicken Sie auf Erstellen.

   Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

iOS

1. Gehen Sie in der Google API Console zu Menü menu > Google Auth-Plattform > Clients.

   Zu den Clients

2. Klicken Sie auf Client erstellen.
3. Klicken Sie auf Anwendungstyp > iOS.
4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google API Console angezeigt.
5. Geben Sie im Feld „Bundle-ID“ den in der Datei Info.plist der App aufgeführten Paket-Identifikator ein.
6. Optional: Wenn Ihre App im Apple App Store angezeigt wird, geben Sie die App Store-ID ein.
7. Optional: Geben Sie im Feld „Team-ID“ den von Apple generierten und 10 Zeichen umfassenden einmaligen String ein, der Ihrem Team zugewiesen wurde.
8. Klicken Sie auf Erstellen.

   Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Chrome-Erweiterung

1. Gehen Sie in der Google API Console zu Menü menu > Google Auth-Plattform > Clients.

   Zu den Clients

2. Klicken Sie auf Client erstellen.
3. Klicken Sie auf Anwendungstyp > Chrome-Erweiterung.
4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google API Console angezeigt.
5. Geben Sie im Feld „Element-ID“ die eindeutige 32-stellige ID-String Ihrer App ein. Sie finden diesen ID-Wert in der Chrome Web Store-URL Ihrer App und im Chrome Web Store-Entwickler-Dashboard.
6. Klicken Sie auf Erstellen.

   Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Desktopanwendung

1. Gehen Sie in der Google API Console zu Menü menu > Google Auth-Plattform > Clients.

   Zu den Clients

2. Klicken Sie auf Client erstellen.
3. Klicken Sie auf Anwendungstyp > Desktopanwendung.
4. Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google API Console angezeigt.
5. Klicken Sie auf Erstellen.

   Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Fernsehgeräte und Geräte mit begrenzter Eingabe

1. Gehen Sie in der Google API Console zu Menü menu > Google Auth-Plattform > Clients.

   Zu den Clients

2. Klicken Sie auf Client erstellen.
3. Klicken Sie auf Anwendungstyp > Fernsehgeräte und Geräte mit begrenzter Eingabe.
4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google API Console angezeigt.
5. Klicken Sie auf Erstellen.

   Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Universal Windows Platform (UWP)

1. Gehen Sie in der Google API Console zu Menü menu > Google Auth-Plattform > Clients.

   Zu den Clients

2. Klicken Sie auf Client erstellen.
3. Klicken Sie auf Anwendungstyp > Universal Windows Platform (UWP).
4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google API Console angezeigt.
5. Geben Sie im Feld „Store-ID“ die eindeutige 12-stellige Microsoft Store-ID Ihrer App ein. Sie finden diese ID in der Microsoft Store-URL Ihrer App und im Partner Center.
6. Klicken Sie auf Erstellen.

   Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Dienstkonto-Anmeldedaten

Ein Dienstkonto ist eine spezielle Art von Konto, das von einer App und nicht von einer Person verwendet wird. Sie können ein Dienstkonto verwenden, um über das Roboterkonto auf Daten zuzugreifen oder Aktionen auszuführen oder um im Namen von Google Workspace- oder Cloud Identity-Nutzern auf Daten zuzugreifen. Weitere Informationen finden Sie unter Details zu Dienstkonten.

Dienstkonto erstellen

Google API-Konsole

1. Gehen Sie in der Google API Console zu Menü menu > IAM und Verwaltung > Dienstkonten.

   Zur Seite „Dienstkonten“

2. Klicken Sie auf Dienstkonto erstellen.
3. Geben Sie die Dienstkontodetails ein und klicken Sie dann auf Erstellen und fortfahren.
4. Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
5. Klicken Sie auf Weiter.
6. Optional: Geben Sie Nutzer oder Gruppen ein, die dieses Dienstkonto verwalten und Aktionen damit ausführen können. Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten verwalten.
7. Klicken Sie auf Fertig. Notieren Sie sich die E‑Mail-Adresse für das Dienstkonto.

gcloud-CLI

1. Erstellen Sie das Dienstkonto:

   gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
     --display-name="SERVICE_ACCOUNT_NAME"

2. Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Rolle einem Dienstkonto zuweisen

Einem Dienstkonto muss von einem Super Admin-Konto eine vordefinierte oder benutzerdefinierte Rolle zugewiesen werden.

1. Gehen Sie in der Admin-Konsole zu Menü menu> Konto > Admin-Rollen.

   Zu den Admin-Rollen

2. Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, und klicken Sie dann auf Administrator zuweisen.

3. Klicken Sie auf Dienstkonten zuweisen.

4. Geben Sie die E-Mail-Adresse des Dienstkontos ein.

5. Klicken Sie auf Hinzufügen > Rolle zuweisen.

Anmeldedaten für ein Dienstkonto erstellen

Sie benötigen Anmeldedaten in Form eines öffentlichen/privaten Schlüsselpaars. Diese Anmeldedaten werden von Ihrem Code verwendet, um Dienstkontoaktionen in Ihrer App zu autorisieren.

So rufen Sie Anmeldedaten für Ihr Dienstkonto ab:

1. Gehen Sie in der Google Cloud Console zu Menü menu > IAM und Verwaltung > Dienstkonten.

   Zur Seite „Dienstkonten“

2. Wählen Sie Ihr Dienstkonto aus.
3. Klicken Sie auf Schlüssel > Schlüssel hinzufügen > Neuen Schlüssel erstellen.
4. Wählen Sie JSON aus und klicken Sie dann auf Erstellen.

   Ihr neues öffentliches/privates Schlüsselpaar wird generiert und als neue Datei auf Ihren Computer heruntergeladen. Speichern Sie die heruntergeladene JSON-Datei als credentials.json in Ihrem Arbeitsverzeichnis. Diese Datei ist die einzige Kopie dieses Schlüssels. Informationen zum sicheren Speichern Ihres Schlüssels finden Sie unter Dienstkontoschlüssel verwalten.

5. Klicken Sie auf Schließen.

Optional: Domainweite Autorisierung für ein Dienstkonto einrichten

Wenn Sie APIs im Namen von Nutzern in einer Google Workspace-Organisation aufrufen möchten, muss Ihrem Dienstkonto von einem Super Admin-Konto in der Google Workspace-Admin-Konsole die domainweite Autorisierung gewährt werden. Weitere Informationen finden Sie unter Domainweite Autorisierung an ein Dienstkonto delegieren.

So richten Sie die domainweite Autorisierung für ein Dienstkonto ein:

1. Gehen Sie in der Google Cloud Console zu Menü menu > IAM und Verwaltung > Dienstkonten.

   Zur Seite „Dienstkonten“

2. Wählen Sie Ihr Dienstkonto aus.
3. Klicken Sie auf Erweiterte Einstellungen anzeigen.
4. Suchen Sie unter „Domainweite Autorisierung“ nach der Client-ID Ihres Dienstkontos. Klicken Sie auf „Kopieren“ content_copy, um den Wert der Client-ID in die Zwischenablage zu kopieren.

5. Wenn Sie Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, klicken Sie auf Google Workspace-Admin-Konsole aufrufen und melden Sie sich dann mit einem Super Admin-Nutzer Konto an. Fahren Sie mit den folgenden Schritten fort.

   Wenn Sie keinen Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, wenden Sie sich an einen Super Admin für dieses Konto und senden Sie ihm die Client-ID Ihres Dienstkontos und eine Liste der OAuth-Bereiche, damit er die folgenden Schritte in der Admin-Konsole ausführen kann.

1. Gehen Sie in der Admin-Konsole zu Menü menu > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung.

   Zu den API-Steuerelementen

2. Klicken Sie auf Domainweite Autorisierung verwalten.
3. Klicken Sie auf Neu hinzufügen.
4. Fügen Sie im Feld „Client-ID“ die zuvor kopierte Client-ID ein.
5. Geben Sie im Feld „OAuth-Bereiche“ eine durch Kommas getrennte Liste der für Ihre App erforderlichen Bereiche ein. Dies ist dieselbe Gruppe von Bereichen, die Sie beim Konfigurieren des OAuth-Zustimmungsbildschirms definiert haben.
6. Klicken Sie auf Autorisieren.

Nächster Schritt

Sie können jetzt mit der Entwicklung für Google Workspace beginnen. Sehen Sie sich die Liste der Google Workspace-Entwicklerprodukte an und erfahren Sie, wie Sie Hilfe erhalten.