Создать учетные данные для доступа

Учетные данные используются для получения токена доступа с серверов авторизации Google, чтобы ваше приложение могло вызывать API Google Workspace. В этом руководстве описывается, как выбрать и настроить учетные данные, необходимые вашему приложению.

Определения терминов, найденных на этой странице, см. в разделе Обзор аутентификации и авторизации .

Выберите учетные данные доступа, которые подходят именно вам.

Требуемые учетные данные зависят от типа данных, платформы и методологии доступа вашего приложения. Доступны три типа учетных данных:

Вариант использования Метод аутентификации Об этом методе аутентификации
Доступ к общедоступным данным анонимно в вашем приложении. Ключи API Прежде чем использовать этот метод аутентификации, убедитесь, что API, который вы хотите использовать, поддерживает ключи API.
Доступ к данным пользователя, таким как адрес электронной почты или возраст. Идентификатор клиента OAuth Требуется, чтобы ваше приложение запросило и получило согласие от пользователя.
Получайте доступ к данным, принадлежащим вашему собственному приложению, или к ресурсам от имени пользователей Google Workspace или Cloud Identity посредством делегирования на уровне домена. Сервисный аккаунт Когда приложение проходит аутентификацию как учетная запись службы, оно получает доступ ко всем ресурсам, к которым у учетной записи службы есть разрешение.

Учетные данные ключа API

Ключ API — это длинная строка, содержащая буквы верхнего и нижнего регистра, цифры, знаки подчеркивания и дефисы, например AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe . Этот метод аутентификации используется для анонимного доступа к общедоступным данным, таким как файлы Google Workspace, к которым предоставлен доступ с помощью настройки общего доступа «Все в Интернете, у кого есть эта ссылка». Дополнительные сведения см. в разделе Использование ключей API .

Чтобы создать ключ API:

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите Создать учетные данные > Ключ API .
  3. Отобразится ваш новый ключ API.
    • Нажмите «Копировать , чтобы скопировать ключ API для использования в коде вашего приложения. Ключ API также можно найти в разделе «Ключи API» учетных данных вашего проекта.
    • Нажмите «Ограничить ключ» , чтобы обновить дополнительные настройки и ограничить использование вашего ключа API. Дополнительные сведения см. в разделе «Применение ограничений ключей API ».

Учетные данные идентификатора клиента OAuth

Чтобы аутентифицировать конечных пользователей и получить доступ к пользовательским данным в вашем приложении, вам необходимо создать один или несколько идентификаторов клиентов OAuth 2.0. Идентификатор клиента используется для идентификации одного приложения на серверах Google OAuth. Если ваше приложение работает на нескольких платформах, вам необходимо создать отдельный идентификатор клиента для каждой платформы.

Выберите тип приложения для получения конкретных инструкций о том, как создать идентификатор клиента OAuth:

веб приложение

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  3. Щелкните Тип приложения > Веб-приложение .
  4. В поле Имя введите имя учетных данных. Это имя отображается только в консоли Google Cloud.
  5. Добавьте авторизованные URI, связанные с вашим приложением:
    • Клиентские приложения (JavaScript) . В разделе «Авторизованные источники JavaScript» нажмите «Добавить URI» . Затем введите URI, который будет использоваться для запросов браузера. Это определяет домены, из которых ваше приложение может отправлять запросы API на сервер OAuth 2.0.
    • Серверные приложения (Java, Python и т. д.) – в разделе «Авторизованные URI перенаправления » нажмите «Добавить URI» . Затем введите URI конечной точки, на который сервер OAuth 2.0 может отправлять ответы.
  6. Нажмите Создать . Появится экран создания клиента OAuth, показывающий ваш новый идентификатор клиента и секрет клиента.

    Обратите внимание на идентификатор клиента. Секреты клиента не используются для веб-приложений.

  7. Нажмите ОК . Вновь созданные учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0 ».

Андроид

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  3. Нажмите Тип приложения > Android .
  4. В поле «Имя» введите имя учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле «Имя пакета» введите имя пакета из файла AndroidManifest.xml .
  6. В поле «Отпечаток сертификата SHA-1» введите сгенерированный отпечаток сертификата SHA-1 .
  7. Нажмите Создать . Появится экран создания клиента OAuth, на котором будет показан ваш новый идентификатор клиента.
  8. Нажмите ОК . Вновь созданные учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

iOS

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  3. Нажмите Тип приложения > iOS .
  4. В поле «Имя» введите имя учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле «Идентификатор пакета» введите идентификатор пакета, указанный в файле Info.plist приложения.
  6. Необязательно: если ваше приложение появилось в Apple App Store, введите идентификатор App Store.
  7. Необязательно: в поле «Идентификатор команды» введите уникальную строку из 10 символов, созданную Apple и назначенную вашей команде.
  8. Нажмите Создать . Появится экран создания клиента OAuth, показывающий ваш новый идентификатор клиента и секрет клиента.
  9. Нажмите ОК . Вновь созданные учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Приложение Chrome

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  3. Нажмите Тип приложения > Приложение Chrome .
  4. В поле «Имя» введите имя учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле «Идентификатор приложения» введите уникальную 32-значную строку идентификатора вашего приложения. Это значение идентификатора можно найти в URL-адресе Интернет-магазина Chrome вашего приложения и на панели инструментов разработчика Интернет-магазина Chrome .
  6. Нажмите Создать . Появится экран создания клиента OAuth, показывающий ваш новый идентификатор клиента и секрет клиента.
  7. Нажмите ОК . Вновь созданные учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Настольное приложение

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  3. Нажмите Тип приложения > Приложение для ПК .
  4. В поле Имя введите имя учетных данных. Это имя отображается только в консоли Google Cloud.
  5. Нажмите Создать . Появится экран создания клиента OAuth, показывающий ваш новый идентификатор клиента и секрет клиента.
  6. Нажмите ОК . Вновь созданные учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Телевизоры и ограниченные устройства ввода

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  3. Нажмите «Тип приложения» > «Телевизоры и устройства с ограниченным вводом » .
  4. В поле «Имя» введите имя учетных данных. Это имя отображается только в консоли Google Cloud.
  5. Нажмите Создать . Появится экран создания клиента OAuth, показывающий ваш новый идентификатор клиента и секрет клиента.
  6. Нажмите ОК . Вновь созданные учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Универсальная платформа Windows (UWP)

  1. В консоли Google Cloud выберите > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите «Создать учетные данные» > «Идентификатор клиента OAuth ».
  3. Щелкните Тип приложения > Универсальная платформа Windows (UWP) .
  4. В поле «Имя» введите имя учетных данных. Это имя отображается только в консоли Google Cloud.
  5. В поле «Идентификатор магазина» введите уникальное 12-значное значение идентификатора Microsoft Store вашего приложения. Этот идентификатор можно найти в URL-адресе вашего приложения в Microsoft Store и в Центре партнеров .
  6. Нажмите Создать . Появится экран создания клиента OAuth, показывающий ваш новый идентификатор клиента и секрет клиента.
  7. Нажмите ОК . Вновь созданные учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Учетные данные сервисной учетной записи

Учетная запись службы — это особый вид учетной записи, используемый приложением, а не человеком. Вы можете использовать сервисный аккаунт для доступа к данным или выполнения действий с помощью учетной записи робота, а также для доступа к данным от имени пользователей Google Workspace или Cloud Identity. Дополнительные сведения см. в разделе Общие сведения об учетных записях служб .

Создать учетную запись службы

Консоль Google Cloud

  1. В консоли Google Cloud выберите > IAM и администрирование > Учетные записи служб .

    Перейти к учетным записям служб

  2. Нажмите Создать учетную запись службы .
  3. Заполните данные учетной записи службы, затем нажмите «Создать и продолжить» .
  4. Необязательно: назначьте роли своему сервисному аккаунту, чтобы предоставить доступ к ресурсам вашего проекта Google Cloud. Дополнительные сведения см. в разделе Предоставление, изменение и отзыв доступа к ресурсам .
  5. Нажмите Продолжить .
  6. Необязательно: укажите пользователей или группы, которые могут управлять этой учетной записью службы и выполнять действия с ней. Дополнительные сведения см. в разделе Управление олицетворением учетной записи службы .
  7. Нажмите Готово . Запишите адрес электронной почты для учетной записи службы.

интерфейс командной строки gcloud

  1. Создайте учетную запись службы:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. Необязательно: назначьте роли своему сервисному аккаунту, чтобы предоставить доступ к ресурсам вашего проекта Google Cloud. Дополнительные сведения см. в разделе Предоставление, изменение и отзыв доступа к ресурсам .

Назначение роли сервисному аккаунту

Вы должны назначить заранее созданную или настраиваемую роль учетной записи службы с помощью учетной записи суперадминистратора.

  1. В консоли администратора Google выберите > Учетная запись > Роли администратора .

    Перейти к ролям администратора

  2. Укажите роль, которую вы хотите назначить, и нажмите «Назначить администратора» .

  3. Нажмите Назначить сервисные учетные записи .

  4. Введите адрес электронной почты учетной записи службы.

  5. Нажмите «Добавить» > «Назначить роль» .

Создайте учетные данные для учетной записи службы

Вам необходимо получить учетные данные в виде пары открытого/закрытого ключей. Эти учетные данные используются вашим кодом для авторизации действий учетной записи службы в вашем приложении.

Чтобы получить учетные данные для вашей учетной записи службы:

  1. В консоли Google Cloud выберите > IAM и администрирование > Учетные записи служб .

    Перейти к учетным записям служб

  2. Выберите свою учетную запись службы.
  3. Нажмите «Ключи» > «Добавить ключ» > «Создать новый ключ» .
  4. Выберите JSON , затем нажмите «Создать» .

    Ваша новая пара открытого/закрытого ключей генерируется и загружается на ваш компьютер в виде нового файла. Сохраните загруженный файл JSON как credentials.json в своем рабочем каталоге. Этот файл является единственной копией этого ключа. Информацию о том, как безопасно хранить ключ, см. в разделе Управление ключами учетной записи службы .

  5. Нажмите Закрыть .

Необязательно: настройте делегирование на уровне домена для сервисного аккаунта.

Чтобы вызывать API от имени пользователей в организации Google Workspace, вашему сервисному аккаунту необходимо предоставить делегирование полномочий на уровне домена в консоли администратора Google Workspace от учетной записи суперадминистратора. Дополнительные сведения см. в разделе Делегирование полномочий на уровне домена сервисному аккаунту .

Чтобы настроить делегирование полномочий для сервисного аккаунта на уровне домена:

  1. В консоли Google Cloud выберите > IAM и администрирование > Учетные записи служб .

    Перейти к учетным записям служб

  2. Выберите свою учетную запись службы.
  3. Нажмите Показать дополнительные настройки .
  4. В разделе «Делегирование на уровне домена» найдите «Идентификатор клиента» своего сервисного аккаунта. Нажмите «Копировать , чтобы скопировать значение идентификатора клиента в буфер обмена.
  5. Если у вас есть доступ суперадминистратора к соответствующей учетной записи Google Workspace, нажмите «Просмотреть консоль администратора Google Workspace» , затем войдите в систему, используя учетную запись суперадминистратора, и продолжайте выполнять следующие действия.

    Если у вас нет доступа суперадминистратора к соответствующему аккаунту Google Workspace, обратитесь к суперадминистратору этого аккаунта и отправьте ему идентификатор клиента вашего сервисного аккаунта и список областей OAuth, чтобы он мог выполнить следующие шаги в консоли администратора.

    1. В консоли администратора Google перейдите в «Меню» > «Безопасность» > «Доступ и контроль данных» > «Управление API ».

      Перейти к элементам управления API

    2. Нажмите «Управление делегированием всего домена ».
    3. Нажмите Добавить новый .
    4. В поле «Идентификатор клиента» вставьте ранее скопированный идентификатор клиента.
    5. В поле «Области OAuth» введите через запятую список областей, необходимых вашему приложению. Это тот же набор областей, которые вы определили при настройке экрана согласия OAuth.
    6. Нажмите «Авторизовать» .

Следующий шаг

Вы готовы к разработке в Google Workspace! Ознакомьтесь со списком продуктов для разработчиков Google Workspace и узнайте, где найти помощь .