Informationen zur Authentifizierung und Autorisierung

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Authentifizierung und Autorisierung sind Mechanismen zur Überprüfung der Identität bzw. des Zugriffs auf Ressourcen. In diesem Dokument werden die wichtigsten Begriffe beschrieben, die Sie vor der Implementierung der Authentifizierung und Autorisierung in Ihrer Anwendung kennen sollten.

Hinweis: In dieser Übersicht konzentrieren wir uns auf die Authentifizierung und Autorisierung für Google Workspace APIs. Einige Informationen in diesem Dokument beziehen sich möglicherweise nicht auf andere Google APIs.

Prozessübersicht

Das folgende Diagramm zeigt die allgemeinen Schritte der Authentifizierung und Autorisierung für Google Workspace APIs:

Allgemeine Schritte zur Authentifizierung und Autorisierung
Abbildung 1. Allgemeine Schritte zur Authentifizierung und Autorisierung
  1. Google Cloud-Projekt und -Anwendung konfigurieren: Sie registrieren Ihre Anwendung während der Entwicklung in der Google Cloud Console und definieren Autorisierungsbereiche und Anmeldedaten, um Ihre Anwendung mit einem API-Schlüssel, Endnutzer-Anmeldedaten oder Anmeldedaten für ein Dienstkonto zu authentifizieren.

  2. App für den Zugriff authentifizieren:Wenn Ihre App ausgeführt wird, werden die Anmeldedaten für den registrierten Zugriff ausgewertet. Wenn sich Ihre Anwendung als Endnutzer authentifiziert, wird möglicherweise eine Aufforderung zur Anmeldung angezeigt.

  3. Ressourcen anfordern: Wenn Ihre Anwendung Zugriff auf Google-Ressourcen benötigt, fordert sie Google über die relevanten Zugriffsbereiche auf, die Sie zuvor registriert haben.

  4. Nach Nutzereinwilligung fragen:Wenn sich Ihre Anwendung als Endnutzer authentifiziert, zeigt Google den OAuth-Zustimmungsbildschirm an, damit der Nutzer entscheiden kann, ob er Ihrer Anwendung Zugriff auf die angeforderten Daten gewähren soll.

  5. Genehmigte Anfrage für Ressourcen senden: Wenn der Nutzer den Zugriffsbereichen zustimmt, werden die Anmeldedaten und die vom Nutzer genehmigten Zugriffsbereiche in Ihrer Anwendung in einer Anfrage gebündelt. Die Anfrage wird an den Google-Autorisierungsserver gesendet, um ein Zugriffstoken zu erhalten.

  6. Google gibt ein Zugriffstoken zurück: Das Zugriffstoken enthält eine Liste der gewährten Zugriffsbereiche. Wenn die zurückgegebene Liste der Bereiche eingeschränkt ist, als die angeforderten Zugriffsbereiche, deaktiviert Ihre Anwendung alle durch das Token eingeschränkten Features.

  7. Auf angeforderte Ressourcen zugreifen:Ihre Anwendung verwendet das Zugriffstoken von Google, um die relevanten APIs aufzurufen und auf die Ressourcen zuzugreifen.

  8. Aktualisierungstoken anfordern (optional): Wenn Ihre App über die Lebensdauer eines einzelnen Zugriffstokens hinaus Zugriff auf eine Google API benötigt, kann sie ein Aktualisierungstoken abrufen.

  9. Weitere Ressourcen anfordern:Wenn zusätzlicher Zugriff benötigt wird, bittet Ihre App den Nutzer, neue Zugriffsbereiche zu gewähren, was zu einer neuen Anfrage zum Abrufen eines Zugriffstokens führt (Schritte 3–6).

Wichtige Begriffe

Im Folgenden finden Sie eine Liste von Begriffen, die mit der Authentifizierung und Autorisierung zusammenhängen:

Authentifizierung

Die Maßnahme, durch die sichergestellt werden soll, dass ein Hauptkonto, das ein Nutzer oder eine Anwendung sein kann, im Namen eines Nutzers handelt, die verkörpert, die er selbst sagt Beim Schreiben von Google Workspace-Anwendungen sollten Sie mit diesen Authentifizierungstypen vertraut sein:

Nutzerauthentifizierung
Die Authentifizierung eines Nutzers bei deiner App. Die Nutzerauthentifizierung erfolgt in der Regel durch einen Anmeldevorgang, bei dem der Nutzer einen Nutzernamen und ein Passwort verwendet, um seine Identität gegenüber der App zu bestätigen. Die Nutzerauthentifizierung kann mithilfe von Über Google anmelden in eine App eingebunden werden.
App-Authentifizierung
Die Authentifizierung einer App, die sich direkt im Namen des Nutzers, der die App ausführt, bei Google-Diensten authentifiziert. Die App-Authentifizierung erfolgt in der Regel mit vordefinierten Anmeldedaten im App-Code.
Autorisierung

Die Berechtigungen oder Berechtigung des Hauptkontos müssen auf Daten zugreifen oder Vorgänge ausführen. Die Autorisierung erfolgt über Code, den Sie in Ihrer App schreiben. Dieser Code informiert den Nutzer darüber, dass die App in seinem Namen handeln möchte und verwendet, sofern zulässig, die eindeutigen Anmeldedaten Ihrer App, um ein Zugriffstoken von Google abzurufen, mit dem auf Daten zugegriffen oder Vorgänge ausgeführt werden.

Anmeldedaten

Eine Form der Identifizierung, die in der Softwaresicherheit verwendet wird. Bei der Authentifizierung handelt es sich bei Anmeldedaten um eine Kombination aus Nutzername und Passwort. In Bezug auf die Autorisierung für Google Workspace APIs sind Anmeldedaten in der Regel eine Kennung, z. B. ein eindeutiger geheimer String, der nur zwischen dem App-Entwickler und dem Authentifizierungsserver bekannt ist. Google unterstützt die folgenden Anmeldedaten für die Authentifizierung: API-Schlüssel, OAuth 2.0-Client-ID und Dienstkonten.

API-Schlüssel
Die Anmeldedaten, mit denen der Zugriff auf öffentliche Daten angefordert wird, z. B. über die Maps API oder Google Workspace-Dateien, die mit der Einstellung „Jeder im Internet mit diesem Link“ freigegeben werden, in den Freigabeeinstellungen von Google Workspace.
OAuth 2-Client-ID
Die Anmeldedaten, mit denen der Zugriff auf nutzereigene Daten angefordert wird. Dies sind die primären Anmeldedaten, die beim Anfordern des Datenzugriffs über Google Workspace APIs verwendet werden. Für diese Anmeldedaten ist eine Nutzereinwilligung erforderlich.
Clientschlüssel
Eine Zeichenfolge, die nur Ihrer Anwendung und dem Autorisierungsserver bekannt sein sollte. Der Clientschlüssel schützt die Daten des Nutzers, indem er nur autorisierten Anfragenden Tokens gewährt. Fügen Sie den Clientschlüssel nie in Ihre Anwendung ein.
Dienstkontoschlüssel
Wird von Dienstkonten verwendet, um die Autorisierung für einen Google-Dienst zu erteilen
Dienstkonto
Anmeldedaten, die für Interaktionen zwischen Servern verwendet werden, z. B. eine gesichtslose Anwendung, die als Prozess für den Zugriff auf einige Daten oder zum Ausführen eines Vorgangs ausgeführt wird. Dienstkonten werden normalerweise für den Zugriff auf cloudbasierte Daten und Vorgänge verwendet. Wenn sie jedoch mit der domainweiten Delegierung der Autorität verwendet werden, können sie für den Zugriff auf Nutzerdaten verwendet werden.
Umfang

Ein OAuth 2.0-URI-String, der eine Zugriffsebene auf Ressourcen oder Aktionen definiert, die einer App gewährt werden. Bei Google Workspace enthalten URIs zum Autorisierungsbereich den Namen der Google Workspace-App, auf welche Art von Daten sie zugreift und welche Zugriffsebene vorhanden ist. Nutzer Ihrer App können die angeforderten Bereiche prüfen und auswählen, welchen Zugriff gewährt werden soll. Der Authentifizierungsserver von Google gibt dann in einem Zugriffstoken zulässige Bereiche an Ihre App zurück. Weitere Informationen finden Sie unter Bereiche für Ihre Anwendung auswählen.

Autorisierungsserver

Server von Google zum Gewähren des Zugriffs mit einem Zugriffstoken auf die von einer App angeforderten Daten und Vorgänge.

Autorisierungscode

Ein Code, der vom Autorisierungsserver gesendet wird, um ein Zugriffstoken zu erhalten Ein Code ist nur erforderlich, wenn Ihr Anwendungstyp eine Webserver- oder installierte Anwendung ist.

Zugriffstoken

Ein Token, das Zugriff auf eine Google Workspace API gewährt. Mit einem einzelnen Zugriffstoken können Zugriffsrechte für verschiedene APIs, sogenannte Bereiche, gewährt werden. Der Autorisierungscode Ihrer App fordert Zugriffstokens an, mit denen Google Workspace APIs aufgerufen werden.

Ressourcenserver

Der Server, auf dem die API gehostet wird, die von Ihrer App aufgerufen werden soll.

OAuth 2.0-Framework

Ein Standard, mit dem Ihre App ihm „sicher delegierten Zugriff“ oder Zugriff auf Daten und Vorgänge im Namen des Nutzers gewähren kann. Die in Ihrer Anwendung verwendeten Authentifizierungs- und Autorisierungsmechanismen stellen die Implementierung des OAuth 2.0-Frameworks dar.

Hauptkonto

Eine Entität, die auch als Identität bezeichnet wird und der Zugriff auf eine Ressource gewährt werden kann. Google Workspace APIs unterstützen zwei Arten von Hauptkonten: Nutzerkonten und Dienstkonten. Weitere Informationen finden Sie unter Hauptkonten.

Datentyp

Im Kontext der Authentifizierung und Autorisierung bezieht sich der Datentyp auf die Entität, die Inhaber der Daten ist, auf die Ihre Anwendung zugreifen möchte. Es gibt drei Datentypen:

Urheberrechtsfreie Inhalte („Public Domain“)
Daten, auf die jeder zugreifen kann, z. B. Daten von Google Maps Der Zugriff auf diese Daten erfolgt in der Regel mit einem API-Schlüssel.
Endnutzerdaten
Daten, die einem bestimmten Endnutzer oder einer bestimmten Gruppe gehören, z. B. Google Drive-Dateien eines bestimmten Nutzers. Auf diesen Datentyp wird normalerweise über eine OAuth 2-Client-ID oder ein Dienstkonto zugegriffen.
Cloud-Daten
Daten, die zu einem Google Cloud-Projekt gehören. Auf diesen Datentyp greift normalerweise ein Dienstkonto zu.
Nutzereinwilligung

Ein Autorisierungsschritt, bei dem der Nutzer Ihrer App autorisiert werden muss, im Namen des Nutzers auf Daten zuzugreifen und Vorgänge auszuführen.

Anwendungstyp

Der App-Typ, den Sie erstellen möchten. Wenn Sie Anmeldedaten mit der Google Cloud Console erstellen, werden Sie aufgefordert, Ihren Anwendungstyp auszuwählen. Die Anwendungstypen sind: Webanwendung (JavaScript), Android, Chrome-App, iOS, Fernseher und Geräte mit eingeschränkter Eingabe, Desktop-Apps (auch als installierte App bezeichnet) und Universal Windows Platform (UWP).

Dienstkonto

Ein spezielles Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten zu erhalten. In Ihrer Anwendung wird die Identität des Dienstkontos zum Aufruf von Google APIs angenommen, sodass die Nutzer nicht direkt beteiligt sind. Dienstkonten können nicht für den Zugriff auf Nutzerdaten verwendet werden. Daten, auf die normalerweise über Workspace APIs zugegriffen wird. Allerdings kann ein Dienstkonto auf Nutzerdaten zugreifen, indem eine domainweite Delegierung der Autorität implementiert wird. Weitere Informationen finden Sie unter Details zu Dienstkonten.

Domainweite Delegierung von Befugnissen

Eine Verwaltungsfunktion, die einer App Zugriff auf Nutzerdaten im Namen von Nutzern in der Google Workspace-Organisation gewähren kann. Die domainweite Delegierung kann verwendet werden, um Administratoraufgaben für Nutzerdaten auszuführen. Zur Delegierung der Autorität verwenden Google Workspace-Administratoren Dienstkonten mit OAuth 2.0. Aufgrund dieser Funktion können nur Super Admins die domainweite Delegierung der Autorität aktivieren. Weitere Informationen finden Sie unter Domainweite Autorität an ein Dienstkonto delegieren.

Was ist zu tun?

Konfigurieren Sie den OAuth-Zustimmungsbildschirm Ihrer App, damit Nutzer verstehen und genehmigen können, welchen Zugriff Ihre App auf ihre Daten hat.