Membuat kredensial akses

Kredensial digunakan untuk mendapatkan token akses dari server otorisasi Google sehingga aplikasi Anda dapat memanggil Google Workspace API. Dokumen ini menjelaskan cara memilih dan menyiapkan kredensial yang dibutuhkan aplikasi Anda.

Pilih kredensial akses yang tepat untuk Anda

Kredensial yang diperlukan bergantung pada jenis data, platform, dan metodologi akses aplikasi Anda. Ada tiga jenis kredensial yang tersedia:

Kasus penggunaan Metode autentikasi Tentang metode autentikasi ini
Mengakses data yang tersedia secara publik secara anonim di aplikasi Anda. Kunci API Pastikan API yang ingin Anda gunakan mendukung kunci API sebelum menggunakan metode autentikasi ini.
Mengakses data pengguna seperti alamat email atau usia mereka. ID klien OAuth Mewajibkan aplikasi Anda untuk meminta dan menerima izin dari pengguna.
Mengakses data yang dimiliki oleh aplikasi Anda, dokumen bersama tertentu (seperti Google Spreadsheet), atau mengakses resource Google Workspace atas nama pengguna melalui delegasi tingkat domain. Service account Saat melakukan autentikasi sebagai akun layanan, aplikasi memiliki akses ke semua resource yang boleh diakses oleh akun layanan.

Untuk definisi istilah yang ada di halaman ini, lihat Ringkasan autentikasi dan otorisasi.

Kredensial kunci API

Kunci API adalah string panjang yang berisi huruf besar dan kecil, angka, garis bawah, dan tanda hubung, seperti AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Metode autentikasi ini digunakan untuk mengakses data yang tersedia secara publik secara anonim, seperti file Google Workspace yang dibagikan menggunakan setelan berbagi "Siapa saja di Internet yang memiliki link ini". Untuk mengetahui detail selengkapnya, lihat Mengelola kunci API.

Untuk membuat kunci API:

  1. Di Konsol Google Cloud, buka Menu > APIs & Services > Credentials.

    Buka Kredensial

  2. Klik Create credentials > API key.
  3. Kunci API baru Anda akan ditampilkan.
    • Klik Salin untuk menyalin kunci API Anda agar dapat digunakan dalam kode aplikasi Anda. Kunci API juga dapat ditemukan di bagian "API Keys" pada kredensial project Anda.
    • Untuk mencegah penggunaan tanpa izin, sebaiknya batasi tempat dan API yang dapat menggunakan kunci API. Untuk mengetahui detail selengkapnya, lihat Menambahkan pembatasan API.

Kredensial ID klien OAuth

Untuk mengautentikasi pengguna akhir dan mengakses data pengguna di aplikasi Anda, Anda perlu membuat satu atau beberapa ID Klien OAuth 2.0. Client ID digunakan untuk mengidentifikasi satu aplikasi ke server OAuth Google. Jika aplikasi Anda berjalan di beberapa platform, Anda harus membuat ID klien terpisah untuk setiap platform.

Pilih jenis aplikasi untuk mengetahui petunjuk khusus tentang cara membuat klien OAuth:

Aplikasi web

  1. Di Konsol Google Cloud, buka Menu > Google Auth platform > Clients.

    Buka Klien

  2. Klik Buat Klien.
  3. Klik Application type > aplikasi web.
  4. Di kolom Name, ketik nama untuk kredensial. Nama ini hanya ditampilkan di Konsol Google Cloud.
  5. Tambahkan URI resmi yang terkait dengan aplikasi Anda:
    • Aplikasi sisi klien (JavaScript)–Di bagian Authorized JavaScript origins, klik Add URI. Kemudian, masukkan URI yang akan digunakan untuk permintaan browser. Parameter ini mengidentifikasi domain tempat aplikasi Anda dapat mengirim permintaan API ke server OAuth 2.0.
    • Aplikasi sisi server (Java, Python, dan lainnya)–Di bagian Authorized redirect URIs, klik Add URI. Kemudian, masukkan URI endpoint yang dapat digunakan server OAuth 2.0 untuk mengirim respons.
  6. Klik Buat.

    Kredensial yang baru dibuat akan muncul di bagian Client ID OAuth 2.0.

    Perhatikan bahwa rahasia klien tidak digunakan untuk Aplikasi web.

Android

  1. Di Konsol Google Cloud, buka Menu > Google Auth platform > Clients.

    Buka Klien

  2. Klik Buat Klien.
  3. Klik Jenis aplikasi > Android.
  4. Di kolom Name, ketik nama untuk kredensial. Nama ini hanya ditampilkan di Konsol Google Cloud.
  5. Di kolom Package name, masukkan nama paket dari file AndroidManifest.xml Anda.
  6. Di kolom SHA-1 certificate fingerprint, masukkan sidik jari sertifikat SHA-1 yang dihasilkan.
  7. Klik Buat.

    Kredensial yang baru dibuat akan muncul di bagian "Client ID OAuth 2.0".

iOS

  1. Di Konsol Google Cloud, buka Menu > Google Auth platform > Clients.

    Buka Klien

  2. Klik Buat Klien.
  3. Klik Jenis aplikasi > iOS.
  4. Di kolom Name, ketik nama untuk kredensial. Nama ini hanya ditampilkan di Konsol Google Cloud.
  5. Di kolom Bundle ID, masukkan ID paket yang tercantum dalam file Info.plist aplikasi.
  6. Opsional: Jika aplikasi Anda muncul di Apple App Store, masukkan ID App Store.
  7. Opsional: Di kolom Team ID, masukkan string unik yang terdiri atas 10 karakter yang dibuat oleh Apple dan ditetapkan bagi tim Anda.
  8. Klik Buat.

    Kredensial yang baru dibuat akan muncul di bagian "Client ID OAuth 2.0".

Ekstensi Chrome

  1. Di Konsol Google Cloud, buka Menu > Google Auth platform > Clients.

    Buka Klien

  2. Klik Buat Klien.
  3. Klik Jenis aplikasi > Ekstensi Chrome.
  4. Di kolom Name, ketik nama untuk kredensial. Nama ini hanya ditampilkan di Konsol Google Cloud.
  5. Di kolom ID Item, masukkan string ID 32 karakter unik aplikasi Anda. Anda dapat menemukan nilai ID ini di URL Chrome Web Store aplikasi Anda dan di Dasbor Developer Chrome Web Store.
  6. Klik Buat.

    Kredensial yang baru dibuat akan muncul di bagian "Client ID OAuth 2.0".

Aplikasi desktop

  1. Di Konsol Google Cloud, buka Menu > Google Auth platform > Clients.

    Buka Klien

  2. Klik Buat Klien.
  3. Klik Jenis aplikasi > Aplikasi desktop.
  4. Di kolom Name, ketik nama untuk kredensial. Nama ini hanya ditampilkan di Konsol Google Cloud.
  5. Klik Buat.

    Kredensial yang baru dibuat akan muncul di bagian "Client ID OAuth 2.0".

TV dan Perangkat Input Terbatas

  1. Di Konsol Google Cloud, buka Menu > Google Auth platform > Clients.

    Buka Klien

  2. Klik Buat Klien.
  3. Klik Jenis aplikasi > TV dan perangkat Input Terbatas.
  4. Di kolom Name, ketik nama untuk kredensial. Nama ini hanya ditampilkan di Konsol Google Cloud.
  5. Klik Buat.

    Kredensial yang baru dibuat akan muncul di bagian "Client ID OAuth 2.0".

Kredensial akun layanan

Akun layanan adalah jenis akun khusus yang digunakan oleh aplikasi, bukan oleh pengguna. Anda dapat menggunakan akun layanan untuk mengakses data atau melakukan tindakan oleh akun robot, atau untuk mengakses data atas nama pengguna Google Workspace atau Cloud Identity. Untuk mengetahui informasi selengkapnya, lihat Ringkasan akun layanan.

Perhatikan bahwa peran Identity and Access Management (IAM) yang dikonfigurasi di Konsol Google Cloud tidak memberikan akses ke aset Google Workspace (seperti Spreadsheet atau Gmail). Untuk memberikan akses akun layanan ke resource Google Workspace, Anda dapat menggunakan hal berikut:

Jika aplikasi Anda perlu... Tempat mengonfigurasinya...
Mengakses file tertentu (seperti Spreadsheet Google) Berbagi dokumen langsung dari file atau folder dengan alamat email akun layanan
Melakukan administrasi domain (seperti membuat pengguna Google Workspace) Menetapkan peran administratif langsung ke akun layanan
Mengakses data pengguna di seluruh domain (seperti membaca acara Gmail atau Google Kalender pengguna mana pun) Beri otorisasi akun layanan untuk menggunakan delegasi tingkat domain

Membuat akun layanan

Anda dapat membuat akun layanan menggunakan Konsol Google Cloud atau alat command line gcloud.

Konsol Google Cloud

  1. Di Konsol Google Cloud, buka Menu > IAM & Admin > Service Accounts.

    Buka Akun Layanan

    Langkah-langkah yang tersisa akan muncul di Konsol Google Cloud.

  2. Pilih project Google Cloud.
  3. Klik Create service account.
  4. Masukkan nama akun layanan untuk ditampilkan di Konsol Google Cloud.
  5. Jika tidak ingin menetapkan kontrol akses sekarang, klik Selesai untuk menyelesaikan pembuatan akun layanan. Untuk menetapkan kontrol akses sekarang, klik Buat dan lanjutkan, lalu lanjutkan ke langkah berikutnya.
  6. Opsional: Tetapkan peran ke akun layanan Anda untuk memberikan akses ke resource project Google Cloud Anda selain resource Google Workspace. Untuk mengetahui detail selengkapnya, lihat Mengelola akses ke project, folder, dan organisasi.
  7. Klik Lanjutkan.
  8. Opsional: Masukkan pengguna atau grup yang dapat mengelola dan melakukan tindakan dengan akun layanan ini. Untuk mengetahui detail selengkapnya, lihat Peniruan akun layanan.
  9. Klik Selesai untuk menyelesaikan pembuatan akun layanan.

    Catat alamat email untuk akun layanan.

gcloud CLI

  1. Buat akun layanan:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. Opsional: Tetapkan peran ke akun layanan Anda untuk memberikan akses ke resource project Google Cloud Anda selain resource Google Workspace. Untuk mengetahui detail selengkapnya, lihat Mengelola akses ke project, folder, dan organisasi.

Mengakses file Google Workspace secara langsung dengan akun layanan

Jika aplikasi Anda hanya perlu membaca atau menulis file tertentu (seperti Spreadsheet Google atau folder Google Drive), Anda tidak perlu menetapkan peran administratif atau mengonfigurasi delegasi di seluruh domain. Sebagai gantinya, Anda dapat membagikan setiap file secara langsung ke alamat email akun layanan menggunakan UI standar. Anda dapat memperlakukan alamat email akun layanan sebagai akun pengguna di setelan berbagi dokumen tanpa memerlukan hak istimewa administrator.

Untuk memberikan akses:

  1. Salin alamat email akun layanan Anda. Misalnya, my-service-account@my-project.iam.gserviceaccount.com.
  2. Buka dokumen Spreadsheet atau folder Drive yang ingin Anda akses.
  3. Klik Bagikan.
  4. Tambahkan alamat email akun layanan dan tetapkan tingkat akses yang sesuai (seperti Editor atau Pelihat).
  5. Hapus pilihan Beri tahu orang (karena akun layanan tidak memiliki kotak masuk, akun tersebut tidak akan menerima email undangan, tetapi izin tetap diberikan).
  6. Klik Bagikan.

Membuat kunci akun layanan

Anda harus mendapatkan kredensial dalam bentuk pasangan kunci publik/pribadi. Kredensial ini digunakan oleh kode Anda untuk mengizinkan tindakan akun layanan dalam aplikasi Anda.

Untuk membuat kunci akun layanan:

  1. Di Konsol Google Cloud, buka Menu > IAM & Admin > Service Accounts.

    Buka Akun Layanan

    Langkah-langkah yang tersisa akan muncul di Konsol Google Cloud.

  2. Pilih project Google Cloud.
  3. Klik alamat email akun layanan yang ingin Anda buatkan kunci.
  4. Klik tab Kunci.
  5. Klik menu drop-down Kunci, lalu pilih Buat kunci baru.
  6. Pilih JSON sebagai jenis kunci dan klik Create.

    Pasangan kunci umum/pribadi baru Anda dibuat dan didownload ke komputer Anda sebagai file kunci akun layanan. Simpan file JSON yang didownload sebagai credentials.json di direktori kerja Anda. File ini adalah satu-satunya salinan kunci ini. Setelah Anda mendownload file kunci, Anda tidak dapat mendownloadnya lagi. Untuk mengetahui informasi tentang cara menyimpan kunci Anda dengan aman, lihat Praktik terbaik untuk mengelola kunci akun layanan.

Menetapkan peran administrator Google Workspace ke akun layanan

Anda dapat menetapkan peran Google Workspace standar atau khusus ke akun layanan, kecuali peran Admin Super.

  1. Di konsol Google Admin, buka Menu > Akun > Peran admin.

    Buka Peran admin

    Anda harus login sebagai Admin Super untuk melakukan tugas ini.

    Langkah-langkah selanjutnya akan muncul di konsol Google Admin.

  2. Arahkan kursor ke peran yang ingin Anda tetapkan, klik menu drop-down Actions, lalu pilih Tetapkan admin.

  3. Klik Tetapkan akun layanan.

  4. Masukkan alamat email akun layanan.

  5. Klik Tambahkan > Tetapkan peran.

Opsional: Menyiapkan delegasi tingkat domain untuk akun layanan

Gunakan delegasi tingkat domain saat aplikasi Anda perlu mengakses data Google Workspace atas nama beberapa pengguna perorangan di organisasi Anda (seperti mengirim email menggunakan Gmail API) tanpa memerlukan izin pengguna perorangan. Untuk memanggil API atas nama pengguna di organisasi Google Workspace, berikan akun layanan Anda delegasi otoritas tingkat domain di konsol Google Admin menggunakan akun Admin Super. Untuk mengetahui informasi selengkapnya, lihat Mendelegasikan otoritas tingkat domain ke akun layanan.

Untuk menyiapkan pendelegasian kewenangan tingkat domain untuk akun layanan:

  1. Di Konsol Google Cloud, buka Menu > IAM & Admin > Service Accounts.

    Buka Akun Layanan

  2. Pilih project Google Cloud.
  3. Klik alamat email akun layanan yang ingin Anda siapkan delegasi tingkat domainnya.
  4. Klik Tampilkan setelan lanjutan.
  5. Di bagian "Delegasi di seluruh domain", temukan "ID Klien" akun layanan Anda.
  6. Klik Salin untuk menyalin nilai ID klien ke papan klip Anda.
  7. Jika Anda memiliki akses Admin Super ke akun Google Workspace yang relevan, klik Lihat Konsol Admin Google Workspace, login dengan akun pengguna administrator super Anda, lalu lanjutkan mengikuti langkah-langkah ini.

    Jika Anda tidak memiliki akses administrator super ke akun Google Workspace yang relevan, hubungi administrator super untuk akun tersebut. Kirimkan ID klien akun layanan Anda dan daftar Cakupan OAuth yang diperlukan oleh aplikasi Anda agar mereka dapat menyelesaikan langkah-langkah berikut di konsol Google Admin.

    1. Di konsol Google Admin, buka Menu > Keamanan > Kontrol data dan akses > Kontrol API.

      Buka kontrol API

    2. Klik Kelola Delegasi Tingkat Domain.
    3. Klik Tambahkan baru.
    4. Di kolom Client ID, tempelkan ID klien yang Anda salin sebelumnya.
    5. Di kolom OAuth Scopes, masukkan daftar cakupan yang dibatasi koma yang diperlukan oleh aplikasi Anda. Ini adalah kumpulan cakupan yang sama yang Anda tentukan saat mengonfigurasi layar izin OAuth.
    6. Klik Otorisasi.

      Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses API dengan delegasi tingkat domain.

Langkah berikutnya

Anda siap mengembangkan aplikasi di Google Workspace. Tinjau daftar produk developer Google Workspace dan cara menemukan bantuan.