Anmeldedaten werden verwendet, um ein Zugriffstoken von den Autorisierungsservern von Google abzurufen, damit Ihre App Google Workspace-APIs aufrufen kann. In diesem Dokument wird beschrieben, wie Sie die Anmeldedaten auswählen und einrichten, die für Ihre App erforderlich sind.
Wählen Sie die für Sie passende Anmeldedaten aus.
Die erforderlichen Anmeldedaten hängen von der Art der Daten, der Plattform und der Zugriffsmethode Ihrer App ab. Es gibt drei Arten von Anmeldedaten:
| Anwendungsfall | Authentifizierungsmethode | Informationen zu dieser Authentifizierungsmethode |
|---|---|---|
| Anonym auf öffentlich verfügbare Daten in Ihrer App zugreifen | API-Schlüssel | Prüfen Sie, ob API-Schlüssel von der gewünschten API unterstützt werden, bevor Sie diese Authentifizierungsmethode verwenden. |
| Auf Nutzerdaten wie E‑Mail-Adresse oder Alter zugreifen | OAuth-Client-ID | Ihre App muss die Einwilligung des Nutzers einholen und erhalten. |
| Sie können auf Daten zugreifen, die Ihrer App gehören, auf bestimmte freigegebene Dokumente (z. B. Google-Tabellen) oder über die domainweite Delegierung im Namen von Nutzern auf Google Workspace-Ressourcen zugreifen. | Dienstkonto | Wenn sich eine App als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat. |
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Authentifizierung und Autorisierung.
API-Schlüsselanmeldedaten
Ein API-Schlüssel ist ein langer String, der Groß- und Kleinbuchstaben, Zahlen, Unterstriche und Bindestriche enthält. Beispiel: AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Diese Authentifizierungsmethode wird verwendet, um anonym auf öffentlich verfügbare Daten zuzugreifen, z. B. auf Google Workspace-Dateien, die mit der Freigabeeinstellung „Jeder im Internet mit diesem Link“ freigegeben wurden. Weitere Informationen finden Sie unter API-Schlüssel verwalten.
So erstellen Sie einen API-Schlüssel:
- Rufen Sie in der Google Cloud Console das Menü > APIs und Dienste > Anmeldedaten auf.
- Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
- Der neue API-Schlüssel wird angezeigt.
- Klicken Sie auf „Kopieren“ , um den API-Schlüssel für die Verwendung im Code Ihrer App zu kopieren. Der API-Schlüssel ist auch im Bereich „API-Schlüssel“ der Anmeldedaten Ihres Projekts zu finden.
- Damit eine nicht autorisierte Verwendung verhindert wird, sollten Sie einschränken, wo und für welche APIs der API-Schlüssel verwendet werden kann. Weitere Informationen finden Sie unter API-Einschränkungen hinzufügen.
Anmeldedaten für OAuth-Client-IDs
Für die Authentifizierung von Endnutzern und für den Zugriff auf Nutzerdaten in Ihrer Anwendung müssen Sie mindestens eine OAuth 2.0-Client-ID erstellen. Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei den OAuth-Servern von Google verwendet. Wenn Ihre App auf mehreren Plattformen ausgeführt wird, müssen Sie für jede Plattform eine separate Client-ID erstellen.Wählen Sie Ihren Anwendungstyp aus, um eine Anleitung zum Erstellen einer OAuth-Client-ID zu erhalten:
Webanwendung
- Rufen Sie in der Google Cloud Console das Menü > Google Auth Platform > Clients auf.
- Klicken Sie auf Client erstellen.
- Klicken Sie auf Anwendungstyp > Webanwendung.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Fügen Sie autorisierte URIs für Ihre App hinzu:
- Clientseitige Apps (JavaScript): Klicken Sie unter Autorisierte JavaScript-Quellen auf URI hinzufügen. Geben Sie dann einen URI für Browseranfragen ein. Damit werden die Domains angegeben, von denen Ihre Anwendung API-Anfragen an den OAuth 2.0-Server senden kann.
- Serverseitige Apps (Java, Python usw.): Klicken Sie unter Autorisierte Weiterleitungs-URIs auf URI hinzufügen. Geben Sie dann einen Endpunkt-URI ein, an den der OAuth 2.0-Server Antworten senden kann.
- Klicken Sie auf Erstellen.
Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.
Clientschlüssel werden nicht für Webanwendungen verwendet.
Android
- Rufen Sie in der Google Cloud Console das Menü > Google Auth Platform > Clients auf.
- Klicken Sie auf Client erstellen.
- Klicken Sie auf Anwendungstyp > Android.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld Paketname den Paketnamen aus Ihrer
AndroidManifest.xml-Datei ein. - Geben Sie in das Feld SHA-1-Zertifikat-Fingerabdruck den generierten SHA-1-Zertifikat-Fingerabdruck ein.
- Klicken Sie auf Erstellen.
Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
iOS
- Rufen Sie in der Google Cloud Console das Menü > Google Auth Platform > Clients auf.
- Klicken Sie auf Client erstellen.
- Klicken Sie auf Application type (Anwendungstyp) > iOS.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld Bundle-ID den in der
Info.plist-Datei der App aufgeführten Paket-Identifikator ein. - Optional: Wenn Ihre App im Apple App Store verfügbar ist, geben Sie die App Store-ID ein.
- Optional: Geben Sie im Feld Team-ID den von Apple generierten und 10 Zeichen umfassenden einmaligen String ein, der Ihrem Team zugewiesen wurde.
- Klicken Sie auf Erstellen.
Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Chrome-Erweiterung
- Rufen Sie in der Google Cloud Console das Menü > Google Auth Platform > Clients auf.
- Klicken Sie auf Client erstellen.
- Klicken Sie auf Anwendungstyp > Chrome-Erweiterung.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Geben Sie im Feld Artikel-ID die eindeutige 32‑stellige ID-Kennung Ihrer App ein. Sie finden diesen ID-Wert in der Chrome Web Store-URL Ihrer App und im Chrome Web Store-Entwickler-Dashboard.
- Klicken Sie auf Erstellen.
Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Desktop-App
- Rufen Sie in der Google Cloud Console das Menü > Google Auth Platform > Clients auf.
- Klicken Sie auf Client erstellen.
- Klicken Sie auf Anwendungstyp > Desktop-App.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Klicken Sie auf Erstellen.
Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Fernsehgeräte und Geräte mit begrenzter Eingabe
- Rufen Sie in der Google Cloud Console das Menü > Google Auth Platform > Clients auf.
- Klicken Sie auf Client erstellen.
- Klicken Sie auf Anwendungstyp > Fernseher und Geräte mit eingeschränkter Eingabe.
- Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
- Klicken Sie auf Erstellen.
Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.
Dienstkonto-Anmeldedaten
Ein Dienstkonto ist eine spezielle Art von Konto, das von einer Anwendung und nicht von einer Person verwendet wird. Sie können ein Dienstkonto verwenden, um über das Roboterkonto auf Daten zuzugreifen oder Aktionen auszuführen oder um im Namen von Google Workspace- oder Cloud Identity-Nutzern auf Daten zuzugreifen. Weitere Informationen finden Sie unter Dienstkontenübersicht.IAM-Rollen (Identity and Access Management), die in der Google Cloud Console konfiguriert sind, gewähren keinen Zugriff auf Google Workspace-Assets wie Google Tabellen oder Gmail. Wenn Sie einem Dienstkonto Zugriff auf Google Workspace-Ressourcen gewähren möchten, haben Sie folgende Möglichkeiten:
| Wenn Ihre App… | Wo kann ich die Funktion konfigurieren? |
|---|---|
| Auf bestimmte Dateien zugreifen (z. B. auf ein Google-Tabellenblatt) | Direkte Freigabe von Dateien oder Ordnern für die E-Mail-Adresse des Dienstkontos |
| Domänenverwaltung durchführen, z. B. Google Workspace-Nutzer erstellen | Weisen Sie dem Dienstkonto direkt Administratorrollen zu |
| Auf Nutzerdaten in der gesamten Domain zugreifen, z. B. die Gmail- oder Google Kalender-Ereignisse eines beliebigen Nutzers lesen | Dienstkonto für die domainweite Delegierung autorisieren |
Dienstkonto erstellen
Sie können ein Dienstkonto mit der Google Cloud Console oder dem gcloud-Befehlszeilentool erstellen.
Google Cloud Console
-
Rufen Sie in der Google Cloud Console das Menü
> IAM & Verwaltung
> Dienstkonten auf.
Die verbleibenden Schritte werden in der Google Cloud Console angezeigt.
- Wählen Sie ein Google Cloud-Projekt aus.
- Klicken Sie auf Dienstkonto erstellen.
- Geben Sie einen Dienstkontonamen ein, der in der Google Cloud Console angezeigt werden soll.
- Wenn Sie die Zugriffssteuerungen derzeit nicht festlegen möchten, klicken Sie auf Fertig, um das Erstellen des Dienstkontos abzuschließen. Wenn Sie die Zugriffssteuerungen jetzt festlegen möchten, klicken Sie auf Erstellen und fortfahren und fahren Sie mit dem nächsten Schritt fort.
- Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um zusätzlich zu Google Workspace-Ressourcen Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
- Klicken Sie auf Weiter.
- Optional: Geben Sie Nutzer oder Gruppen ein, die dieses Dienstkonto verwalten und Aktionen damit ausführen können. Weitere Informationen finden Sie unter Identitätsübernahme des Dienstkontos.
- Klicken Sie auf Fertig, um das Erstellen des Dienstkontos abzuschließen.
Notieren Sie sich die E-Mail-Adresse des Dienstkontos.
gcloud-CLI
- Erstellen Sie das Dienstkonto:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um zusätzlich zu Google Workspace-Ressourcen Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Direkt mit einem Dienstkonto auf Google Workspace-Dateien zugreifen
Wenn Ihre App nur bestimmte Dateien lesen oder schreiben muss, z. B. eine Google-Tabelle oder einen Google Drive-Ordner, müssen Sie keine Administratorrollen zuweisen oder die domainweite Delegation konfigurieren. Stattdessen können Sie einzelne Dateien direkt über die Standardbenutzeroberfläche für die E-Mail-Adresse des Dienstkontos freigeben. Die E‑Mail-Adresse des Dienstkontos kann in den Freigabeeinstellungen des Dokuments wie ein Nutzerkonto behandelt werden. Administratorberechtigungen sind nicht erforderlich.
So geben Sie Zugriff:
- Kopieren Sie die E‑Mail-Adresse Ihres Dienstkontos. Beispiel:
my-service-account@my-project.iam.gserviceaccount.com - Öffnen Sie das Google-Tabellen-Dokument oder den Google Drive-Ordner, auf den Sie zugreifen möchten.
- Klicken Sie auf Freigeben.
- Fügen Sie die E-Mail-Adresse des Dienstkontos hinzu und weisen Sie die entsprechende Zugriffsebene zu (z. B. „Bearbeiter“ oder „Betrachter“).
- Entfernen Sie das Häkchen bei Personen benachrichtigen. Da Dienstkonten keine Posteingänge haben, wird die E‑Mail-Einladung nicht empfangen. Die Berechtigung wird aber trotzdem gewährt.
- Klicken Sie auf Freigeben.
Dienstkontoschlüssel erstellen
Sie benötigen Anmeldedaten in Form eines öffentlichen/privaten Schlüsselpaars. Diese Anmeldedaten werden von Ihrem Code verwendet, um Dienstkontoaktionen in Ihrer App zu autorisieren.So erstellen Sie einen Dienstkontoschlüssel:
-
Rufen Sie in der Google Cloud Console das Menü
> IAM & Verwaltung
> Dienstkonten auf.
Die verbleibenden Schritte werden in der Google Cloud Console angezeigt.
- Wählen Sie ein Google Cloud-Projekt aus.
- Klicken Sie auf die E-Mail-Adresse des Dienstkontos, für das Sie einen Schlüssel erstellen möchten.
- Klicken Sie auf den Tab Schlüssel.
- Klicken Sie auf das Drop-down-Menü Schlüssel hinzufügen und wählen Sie Neuen Schlüssel erstellen aus.
- Wählen Sie als Schlüsseltyp JSON aus und klicken Sie dann auf Erstellen.
Ihr neues öffentliches/privates Schlüsselpaar wird generiert und als Dienstkontoschlüsseldatei auf Ihren Computer heruntergeladen. Speichern Sie die heruntergeladene JSON-Datei als
credentials.jsonin Ihrem Arbeitsverzeichnis. Diese Datei ist die einzige Kopie dieses Schlüssels. Nachdem Sie die Schlüsseldatei heruntergeladen haben, können Sie sie nicht noch einmal herunterladen. Informationen dazu, wie Sie Ihren Schlüssel sicher speichern, finden Sie unter Best Practices für die Verwaltung von Dienstkontoschlüsseln.
Dienstkonto eine Google Workspace-Administratorrolle zuweisen
Sie können einem Dienstkonto jede vordefinierte oder benutzerdefinierte Google Workspace-Rolle außer der Rolle „Super Admin“ zuweisen.
Gehen Sie in der Admin-Konsole zu „Menü“ > Konto > Admin-Rollen.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
Die verbleibenden Schritte werden in der Google Admin-Konsole angezeigt.
Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, klicken Sie auf das Drop-down-Menü
Actionsund wählen Sie Administrator zuweisen aus.Klicken Sie auf Dienstkonten zuweisen.
Geben Sie die E‑Mail-Adresse des Dienstkontos ein.
Klicken Sie auf Hinzufügen > Rolle zuweisen.
Optional: Domainweite Delegierung für ein Dienstkonto einrichten
Verwenden Sie die domainweite Delegierung, wenn Ihre Anwendung im Namen mehrerer einzelner Nutzer in Ihrer Organisation auf Google Workspace-Daten zugreifen muss, z. B. um E‑Mails mit der Gmail API zu senden, ohne dass die einzelnen Nutzer eine Nutzereinwilligung erteilen müssen. Wenn Sie APIs im Namen von Nutzern in einer Google Workspace-Organisation aufrufen möchten, gewähren Sie Ihrem Dienstkonto in der Google Admin-Konsole mit einem Super Admin-Konto eine domainweite Bevollmächtigung. Weitere Informationen finden Sie unter Domainweite Befugnisse an das Dienstkonto delegieren.So richten Sie die domainweite Autorisierung für ein Dienstkonto ein:
- Rufen Sie in der Google Cloud Console das Menü > IAM & Verwaltung > Dienstkonten auf.
- Wählen Sie ein Google Cloud-Projekt aus.
- Klicken Sie auf die E-Mail-Adresse des Dienstkontos, für das Sie die domainweite Autorisierung einrichten möchten.
- Klicken Sie auf Erweiterte Einstellungen anzeigen.
- Suchen Sie unter „Domainweite Delegation“ nach der „Client-ID“ Ihres Dienstkontos.
- Klicken Sie auf „Kopieren“ , um den Wert der Client-ID in die Zwischenablage zu kopieren.
Wenn Sie Super-Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, klicken Sie auf Google Workspace-Admin-Konsole aufrufen, melden Sie sich mit Ihrem Super-Admin-Nutzerkonto an und folgen Sie dieser Anleitung weiter.
Wenn Sie keinen Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, wenden Sie sich an einen Super Admin für das Konto. Senden Sie ihm die Client-ID Ihres Dienstkontos und eine Liste der von Ihrer App benötigten OAuth-Bereiche, damit er die folgenden Schritte in der Google Admin-Konsole ausführen kann.
- Öffnen Sie in der Admin-Konsole das Dreistrich-Menü > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung.
- Klicken Sie auf Domainweite Delegierung verwalten.
- Klicken Sie auf Neu hinzufügen.
- Fügen Sie die zuvor kopierte Client-ID in das Feld Client-ID ein.
- Geben Sie im Feld OAuth-Bereiche eine durch Kommas getrennte Liste der von Ihrer App benötigten Bereiche ein. Das ist dieselbe Gruppe von Bereichen, die Sie beim Konfigurieren des OAuth-Zustimmungsbildschirms definiert haben.
- Klicken Sie auf Autorisieren.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen finden Sie unter Zugriff auf die API mit domainweiter Delegierung verwalten.
Nächster Schritt
Sie können jetzt mit der Entwicklung für Google Workspace beginnen. Liste der Google Workspace-Entwicklerprodukte und Hilfe finden