Authentifizierung und Autorisierung sind Mechanismen zur Überprüfung der Identität bzw. des Zugriffs auf Ressourcen. In diesem Dokument werden die wichtigsten Begriffe beschrieben, die Sie kennen sollten, bevor Sie die Authentifizierung und Autorisierung in Ihrer Anwendung implementieren.
Bei der Authentifizierung wird festgestellt, wer die Anfrage stellt. Die Autorisierung gibt an, auf welche Ressourcen der Anfragende zugreifen kann und welche Zugriffsebene er hat. Die Authentifizierung ist eine Voraussetzung für die Autorisierung. Sie können erst dann ermitteln, auf welche Ressourcen zugegriffen werden soll, wenn die Identität des Anforderers ermittelt wurde. Eine ausführlichere Definition finden Sie im Abschnitt „Wichtige Terminologie“.
Betrachten Sie das folgende vereinfachte Beispiel für eine Hotelreservierung. Wenn Sie im Hotel ankommen, müssen Sie an der Rezeption Ihren Ausweis eingeben, um Ihre Reservierung zu bestätigen. Mit Ihrer ID werden Sie im Hotel authentifiziert. Die Rezeption gibt Ihnen einen Hotelschlüssel. Mit diesem Schlüssel erhalten Sie Zugriff auf bestimmte Ressourcen im Hotel, z. B. Ihr Hotelzimmer, das Fitnessstudio und das Business Center. Der Hotelschlüssel autorisiert Sie für den Zugriff auf diese Ressourcen.
Prozessübersicht
Das folgende Diagramm zeigt die allgemeinen Schritte zur Authentifizierung und Autorisierung für Google Workspace APIs:

Google Cloud-Projekt und -Anwendung konfigurieren:Während der Entwicklung registrieren Sie Ihre Anwendung in der Google Cloud Console und legen dabei Autorisierungsbereiche und Anmeldedaten fest, um die Anwendung mit einem API-Schlüssel, Endnutzeranmeldedaten oder Dienstkonto-Anmeldedaten zu authentifizieren.
App für den Zugriff authentifizieren:Bei der Ausführung der Anwendung werden die registrierten Anmeldedaten ausgewertet. Wenn Ihre Anwendung als Endnutzer authentifiziert wird, wird möglicherweise eine Anmeldeaufforderung angezeigt.
Ressourcen anfordern: Wenn Ihre Anwendung Zugriff auf Google-Ressourcen benötigt, werden Sie von Google aufgefordert, die relevanten Zugriffsbereiche zu verwenden, die Sie zuvor registriert haben.
Nutzereinwilligung einholen:Wenn sich Ihre Anwendung als Endnutzer authentifiziert, zeigt Google den OAuth-Zustimmungsbildschirm an, damit der Nutzer entscheiden kann, ob er Ihrer Anwendung Zugriff auf die angeforderten Daten gewähren möchte.
Genehmigte Anfrage für Ressourcen senden:Wenn der Nutzer den Zugriffsbereichen zustimmt, bündelt Ihre App die Anmeldedaten und die vom Nutzer genehmigten Zugriffsbereiche in einer Anfrage. Die Anfrage wird an den Google-Autorisierungsserver gesendet, um ein Zugriffstoken abzurufen.
Google gibt ein Zugriffstoken zurück:Das Zugriffstoken enthält eine Liste der gewährten Zugriffsbereiche. Wenn die zurückgegebene Liste der Bereiche stärker beschränkt ist als die angeforderten Zugriffsbereiche, deaktiviert Ihre Anwendung alle Funktionen, die durch das Token eingeschränkt sind.
Auf Ressourcen zugreifen: Ihre Anwendung verwendet das Zugriffstoken von Google, um die relevanten APIs aufzurufen und auf die Ressourcen zuzugreifen.
Aktualisierungstoken abrufen (optional): Wenn die Anwendung über die Lebensdauer eines einzelnen Zugriffstokens hinaus Zugriff auf eine Google API benötigt, kann sie ein Aktualisierungstoken abrufen.
Weitere Ressourcen anfordern:Wenn zusätzlicher Zugriff benötigt wird, fordert Ihre Anwendung den Nutzer auf, neue Zugriffsbereiche zu gewähren. Dies führt zu einer neuen Anfrage zum Abrufen eines Zugriffstokens (Schritte 3–6).
Wichtige Terminologie
Im Folgenden finden Sie eine Liste von Begriffen im Zusammenhang mit der Authentifizierung und Autorisierung:
- Authentifizierung
Sicherstellen, dass ein Hauptkonto, also ein Nutzer oder eine App, die im Namen eines Nutzers handelt, die Person ist, die er angibt. Beim Schreiben von Google Workspace-Anwendungen sollten Sie die folgenden Authentifizierungstypen beachten:
- Nutzerauthentifizierung
- Die Authentifizierung (Anmeldung) eines Nutzers bei Ihrer Anwendung. Die Nutzerauthentifizierung erfolgt in der Regel durch einen Anmeldevorgang, bei dem der Nutzer seine Identität gegenüber der App mithilfe einer Kombination aus Nutzername und Passwort bestätigt. Die Nutzerauthentifizierung kann über Über Google anmelden in eine App eingebunden werden.
- App-Authentifizierung
- Die Aktion, bei der sich eine Anwendung im Auftrag des Nutzers, der die Anwendung ausführt, direkt bei Google-Diensten authentifiziert. Die Anwendungsauthentifizierung erfolgt in der Regel mit vorab erstellten Anmeldedaten im Code Ihrer Anwendung.
- Autorisierung
Die Berechtigungen oder die „Stelle“, die das Hauptkonto hat, um auf Daten zuzugreifen oder Vorgänge auszuführen. Die Autorisierung erfolgt durch Code, den Sie in Ihre App schreiben. Dieser Code teilt dem Nutzer mit, dass die App in seinem Namen handeln möchte. Außerdem werden, falls zulässig, die eindeutigen Anmeldedaten Ihrer App verwendet, um von Google ein Zugriffstoken für den Zugriff auf Daten oder für Vorgänge abzurufen.
- Anmeldedaten
Eine Form der Identifizierung, die in der Softwaresicherheit verwendet wird. In Bezug auf die Authentifizierung ist ein Ausweisdokument häufig eine Kombination aus Nutzername und Passwort. Bei der Autorisierung für Google Workspace APIs handelt es sich in der Regel um eine Art der Identifizierung, z. B. einen eindeutigen geheimen String, der nur dem Anwendungsentwickler und dem Authentifizierungsserver bekannt ist. Google unterstützt die folgenden Anmeldedaten zur Authentifizierung: API-Schlüssel, OAuth 2.0-Client-ID und Dienstkonten.
- API-Schlüssel
- Die Anmeldedaten, die verwendet werden, um Zugriff auf öffentliche Daten anzufordern, z. B. Daten, die über die Maps API bereitgestellt wurden, oder Google Workspace-Dateien, die über die Einstellung „Jeder im Internet mit diesem Link“ in den Google Workspace-Freigabeeinstellungen freigegeben wurden.
- OAuth 2-Client-ID
- Die Anmeldedaten, mit denen der Zugriff auf nutzereigene Daten angefordert wird. Dies sind die primären Anmeldedaten, die verwendet werden, wenn über Google Workspace APIs Zugriff auf Daten angefordert wird. Für diese Anmeldedaten ist eine Nutzereinwilligung erforderlich.
- Clientschlüssel
- Ein String mit Zeichen, der nur der Anwendung und dem Autorisierungsserver bekannt sein sollte. Der Clientschlüssel schützt die Daten des Nutzers, indem er nur autorisierten Sendern Tokens gewährt. Sie sollten Ihren unverschlüsselten Clientschlüssel niemals in Ihre Anwendung aufnehmen. Wir empfehlen, den Clientschlüssel sicher aufzubewahren. Weitere Informationen finden Sie unter Sicherer Umgang mit Clientanmeldedaten.
- Dienstkontoschlüssel
- Wird von Dienstkonten verwendet, um die Autorisierung für einen Google-Dienst zu erhalten.
- Dienstkonto
- Anmeldedaten, die für Server-zu-Server-Interaktionen verwendet werden, z. B. eine gesichtslose Anwendung, die als Prozess für den Zugriff auf bestimmte Daten oder für Vorgänge ausgeführt wird. Dienstkonten werden normalerweise für den Zugriff auf cloudbasierte Daten und Vorgänge verwendet. Wenn sie jedoch mit der domainweiten Delegierung von Befugnissen verwendet werden, können sie für den Zugriff auf Nutzerdaten verwendet werden.
- Scope (Bereich)
Ein OAuth 2.0-URI-String, der die Zugriffsebene für Ressourcen oder Aktionen definiert, die einer Anwendung gewährt werden. Bei Google Workspace enthalten die URIs für den Autorisierungsbereich den Namen der Google Workspace-Anwendung, die Art der Daten, auf die sie zugreift, und die Zugriffsebene. Nutzer Ihrer Anwendung können die angeforderten Bereiche überprüfen und entscheiden, welchen Zugriff sie gewähren möchten. Der Authentifizierungsserver von Google gibt dann zulässige Bereiche in einem Zugriffstoken an Ihre Anwendung zurück. Weitere Informationen finden Sie unter Bereiche für Ihre Anwendung auswählen.
- Autorisierungsserver
Google-Server für die Gewährung des Zugriffs auf die von einer Anwendung angeforderten Daten und Vorgänge mit einem Zugriffstoken.
- Autorisierungscode
Ein vom Autorisierungsserver gesendeter Code, mit dem ein Zugriffstoken abgerufen wird. Ein Code ist nur erforderlich, wenn Ihr Anwendungstyp eine Webserveranwendung oder eine installierte Anwendung ist.
- Zugriffstoken
Ein Token, das Zugriff auf eine Google Workspace API gewährt. Ein einzelnes Zugriffstoken kann mehreren APIs unterschiedliche Zugriffsebenen zuweisen. Diese werden auch als Bereiche bezeichnet. Mit dem Autorisierungscode Ihrer Anwendung werden Zugriffstokens angefordert und zum Aufrufen von Google Workspace APIs verwendet.
- Ressourcenserver
Der Server, auf dem die API gehostet wird, die deine App aufrufen möchte.
- OAuth 2.0-Framework
Ein Standard, mit dem Ihre Anwendung einen sicheren delegierten Zugriff oder Zugriff auf Daten und Vorgänge im Namen des App-Nutzers bereitstellen kann. Die Authentifizierungs- und Autorisierungsmechanismen, die Sie in Ihrer Anwendung verwenden, stellen Ihre Implementierung des OAuth 2.0-Frameworks dar.
- Hauptkonto
Eine Entität, auch als Identität bezeichnet, der Zugriff auf eine Ressource gewährt werden kann. Google Workspace APIs unterstützen zwei Arten von Hauptkonten: Nutzerkonten und Dienstkonten. Weitere Informationen finden Sie unter Hauptkonten.
- Datentyp
Im Kontext der Authentifizierung und Autorisierung bezieht sich der Datentyp auf die Entität, der die Daten gehören, auf die Ihre Anwendung zugreifen möchte. Es gibt drei Datentypen:
- Urheberrechtsfreie Daten
- Daten, auf die jeder zugreifen kann, z. B. einige Google Maps-Daten Auf diese Daten kann normalerweise mit einem API-Schlüssel zugegriffen werden.
- Endnutzerdaten
- Daten, die zu einem bestimmten Endnutzer oder einer bestimmten Gruppe gehören, z. B. die Google Drive-Dateien eines bestimmten Nutzers. Der Zugriff auf diesen Datentyp erfolgt normalerweise über eine OAuth 2-Client-ID oder ein OAuth 2-Dienstkonto.
- Clouddaten
- Daten, die einem Google Cloud-Projekt gehören. Auf diesen Datentyp wird normalerweise über ein Dienstkonto zugegriffen.
- Nutzereinwilligung
Ein Autorisierungsschritt, bei dem der Nutzer Ihrer Anwendung die Anwendung dazu autorisieren muss, auf Daten zuzugreifen und im Namen des Nutzers Vorgänge auszuführen.
- Anwendungstyp
Die Art der App, die Sie erstellen werden. Beim Erstellen von Anmeldedaten mit der Google Cloud Console werden Sie aufgefordert, den Anwendungstyp auszuwählen. Anwendungstypen sind: Webanwendung (JavaScript), Android, Chrome-App, iOS, Fernseher und Geräte mit begrenzter Eingabe, Desktop-App (auch als „installierte App“ bezeichnet) und Universal Windows Platform (UWP).
- Dienstkonto
Eine spezielle Art von Google-Konto, das einen nicht menschlichen Nutzer repräsentiert, das sich authentifizieren und für den Zugriff auf Daten autorisiert werden muss. Ihre Anwendung übernimmt beim Aufrufen von Google APIs die Identität des Dienstkontos, sodass die Nutzer nicht direkt beteiligt sind. Dienstkonten allein können nicht für den Zugriff auf Nutzerdaten verwendet werden, auf Daten, auf die normalerweise über Workspace APIs zugegriffen wird. Ein Dienstkonto kann jedoch auf Nutzerdaten zugreifen, indem eine domainweite Delegierung von Befugnissen implementiert wird. Weitere Informationen finden Sie unter Details zu Dienstkonten.
- Domainweite Delegierung von Befugnissen
Ein Verwaltungsfeature, mit dem eine Anwendung autorisiert werden kann, im Namen von Nutzern in der Google Workspace-Organisation auf Nutzerdaten zuzugreifen. Die domainweite Delegierung kann verwendet werden, um administratorbezogene Aufgaben an Nutzerdaten auszuführen. Zum Delegieren von Befugnissen auf diese Weise verwenden Google Workspace-Administratoren Dienstkonten mit OAuth 2.0. Aufgrund der Leistungsfähigkeit dieses Features können nur Super Admins die domainweite Delegierung von Befugnissen aktivieren. Weitere Informationen finden Sie unter Domainweite Autorität an ein Dienstkonto delegieren.
Weitere Informationen
Konfigurieren Sie den OAuth-Zustimmungsbildschirm Ihrer Anwendung, damit Nutzer verstehen und genehmigen können, welchen Zugriff Ihre Anwendung auf ihre Daten hat.