สร้างข้อมูลรับรองการเข้าถึง

ระบบใช้ข้อมูลเข้าสู่ระบบเพื่อรับโทเค็นเพื่อการเข้าถึงจากเซิร์ฟเวอร์การให้สิทธิ์ของ Google เพื่อให้แอปเรียกใช้ Google Workspace API ได้ คู่มือนี้จะอธิบายวิธีเลือก และตั้งค่าข้อมูลเข้าสู่ระบบที่แอปของคุณต้องใช้

ดูคำจำกัดความของคำศัพท์ที่พบในหน้านี้ได้ที่ภาพรวมการตรวจสอบสิทธิ์และการให้สิทธิ์

เลือกข้อมูลเข้าสู่ระบบที่เหมาะกับคุณ

ข้อมูลเข้าสู่ระบบที่จำเป็นจะขึ้นอยู่กับประเภทของข้อมูล แพลตฟอร์ม และวิธีการเข้าถึงของแอป ข้อมูลเข้าสู่ระบบมี 3 ประเภทดังนี้

Use Case วิธีการตรวจสอบสิทธิ์ เกี่ยวกับวิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลที่เผยแพร่ต่อสาธารณะแบบไม่ระบุชื่อในแอปของคุณ คีย์ API ตรวจสอบว่า API ที่คุณต้องการใช้รองรับคีย์ API ก่อนที่จะใช้วิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลผู้ใช้ เช่น อีเมลหรืออายุ รหัสไคลเอ็นต์ OAuth แอปต้องส่งคำขอและขอความยินยอมจากผู้ใช้
เข้าถึงข้อมูลที่เป็นของแอปพลิเคชันของคุณเอง หรือเข้าถึงทรัพยากรในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ผ่านการมอบสิทธิ์ทั่วทั้งโดเมน บัญชีบริการ เมื่อแอปตรวจสอบสิทธิ์ว่าเป็นบัญชีบริการ แอปจะมีสิทธิ์เข้าถึงทรัพยากรทั้งหมดที่บัญชีบริการมีสิทธิ์เข้าถึง

ข้อมูลเข้าสู่ระบบของคีย์ API

คีย์ API เป็นสตริงแบบยาวที่ประกอบด้วยอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข ขีดล่าง และขีดกลาง เช่น AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe วิธีการตรวจสอบสิทธิ์นี้ใช้เพื่อเข้าถึงข้อมูลที่เผยแพร่แบบสาธารณะ เช่น ไฟล์ Google Workspace ที่แชร์โดยใช้การตั้งค่าการแชร์ "ทุกคนบนอินเทอร์เน็ตที่มีลิงก์นี้" ได้ ดูรายละเอียดเพิ่มเติมได้ที่การใช้คีย์ API

วิธีสร้างคีย์ API

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > คีย์ API
  3. คีย์ API ใหม่จะปรากฏขึ้น
    • คลิกคัดลอก เพื่อคัดลอกคีย์ API สำหรับใช้ในโค้ดของแอป นอกจากนี้ คุณยังดูคีย์ API ได้ในส่วน "คีย์ API" ของข้อมูลเข้าสู่ระบบของโปรเจ็กต์
    • คลิกจำกัดคีย์เพื่ออัปเดตการตั้งค่าขั้นสูงและจำกัดการใช้คีย์ API โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการใช้ข้อจํากัดของคีย์ API

ข้อมูลเข้าสู่ระบบรหัสไคลเอ็นต์ OAuth

หากต้องการตรวจสอบสิทธิ์ผู้ใช้ปลายทางและเข้าถึงข้อมูลผู้ใช้ในแอป คุณต้องสร้างรหัสไคลเอ็นต์ OAuth 2.0 อย่างน้อย 1 รายการ รหัสไคลเอ็นต์ใช้เพื่อระบุแอปเดียวไปยังเซิร์ฟเวอร์ OAuth ของ Google หากแอปทำงานในหลายแพลตฟอร์ม คุณต้องสร้างรหัสไคลเอ็นต์แยกกันสำหรับแต่ละแพลตฟอร์ม

เลือกประเภทแอปพลิเคชันเพื่อดูคำแนะนำเกี่ยวกับวิธีสร้างรหัสไคลเอ็นต์ OAuth ต่อไปนี้

เว็บแอปพลิเคชัน

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > เว็บแอปพลิเคชัน
  4. ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. เพิ่ม URI ที่ได้รับอนุญาตซึ่งเกี่ยวข้องกับแอปของคุณ ดังนี้
    • แอปฝั่งไคลเอ็นต์ (JavaScript) - คลิกเพิ่ม URI ในส่วนต้นทาง JavaScript ที่ได้รับอนุญาต จากนั้นป้อน URI ที่จะใช้สำหรับคำขอของเบราว์เซอร์ ข้อมูลนี้จะระบุโดเมนที่แอปพลิเคชันของคุณสามารถส่งคำขอ API ไปยังเซิร์ฟเวอร์ OAuth 2.0
    • แอปฝั่งเซิร์ฟเวอร์ (Java, Python และอื่นๆ) - คลิกเพิ่ม URI ในส่วน URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต จากนั้น ให้ป้อน URI ปลายทางที่เซิร์ฟเวอร์ OAuth 2.0 จะส่งการตอบกลับได้
  6. คลิกสร้าง หน้าจอที่สร้างของไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่

    จดรหัสไคลเอ็นต์ และจะไม่ใช้รหัสลับไคลเอ็นต์สำหรับเว็บแอปพลิเคชัน

  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วนรหัสไคลเอ็นต์ OAuth 2.0

Android

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > Android
  4. พิมพ์ชื่อของข้อมูลเข้าสู่ระบบในช่อง "ชื่อ" ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "ชื่อแพ็กเกจ" ให้ป้อนชื่อแพ็กเกจจากไฟล์ AndroidManifest.xml
  6. ในช่อง "ลายนิ้วมือของใบรับรอง SHA-1" ให้ป้อนลายนิ้วมือของใบรับรอง SHA-1 ที่สร้างขึ้น
  7. คลิกสร้าง หน้าจอที่สร้างขึ้นของไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์ใหม่
  8. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

iOS

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > iOS
  4. พิมพ์ชื่อของข้อมูลเข้าสู่ระบบในช่อง "ชื่อ" ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสกลุ่ม" ให้ป้อนตัวระบุชุดซอฟต์แวร์ตามที่แสดงอยู่ในไฟล์ Info.plist ของแอป
  6. ไม่บังคับ: หากแอปปรากฏใน Apple App Store ให้ป้อนรหัส App Store
  7. ไม่บังคับ: ในช่อง "รหัสทีม" ให้ป้อนสตริงที่ไม่ซ้ำกันซึ่งมีอักขระ 10 ตัวที่ Apple สร้างขึ้นและมอบหมายให้กับทีมของคุณ
  8. คลิกสร้าง หน้าจอที่สร้างของไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  9. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

แอป Chrome

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > แอป Chrome
  4. พิมพ์ชื่อของข้อมูลเข้าสู่ระบบในช่อง "ชื่อ" ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสแอปพลิเคชัน" ให้ป้อนสตริงรหัสที่ไม่ซ้ำกัน 32 อักขระของแอป คุณสามารถดูค่ารหัสนี้ได้ใน URL ของ Chrome เว็บสโตร์ของแอปและในหน้าแดชบอร์ดสำหรับนักพัฒนาซอฟต์แวร์ Chrome เว็บสโตร์
  6. คลิกสร้าง หน้าจอที่สร้างของไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

แอปบนเดสก์ท็อป

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > แอปบนเดสก์ท็อป
  4. ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง หน้าจอที่สร้างของไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  6. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วนรหัสไคลเอ็นต์ OAuth 2.0

ทีวีและอุปกรณ์อินพุตที่จำกัด

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > ทีวีและอุปกรณ์อินพุตที่จำกัด
  4. พิมพ์ชื่อของข้อมูลเข้าสู่ระบบในช่อง "ชื่อ" ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง หน้าจอที่สร้างของไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  6. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

Universal Windows Platform (UWP)

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > Universal Windows Platform (UWP)
  4. พิมพ์ชื่อของข้อมูลเข้าสู่ระบบในช่อง "ชื่อ" ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสร้านค้า" ให้ป้อนค่ารหัส Microsoft Store ที่ไม่ซ้ำกันซึ่งมี 12 อักขระของแอป คุณจะพบรหัสนี้ใน URL ของ Microsoft Store ของแอปและในศูนย์พาร์ทเนอร์
  6. คลิกสร้าง หน้าจอที่สร้างของไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

ข้อมูลเข้าสู่ระบบบัญชีบริการ

บัญชีบริการเป็นบัญชีชนิดพิเศษที่แอปพลิเคชันใช้ แทนที่จะใช้บัญชีของบุคคล คุณสามารถใช้บัญชีบริการเพื่อเข้าถึงข้อมูลหรือดำเนินการ ด้วยบัญชี robots หรือเข้าถึงข้อมูลในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ก็ได้ ดูข้อมูลเพิ่มเติมได้ที่การทำความเข้าใจบัญชีบริการ

สร้างบัญชีบริการ

คอนโซล Google Cloud

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. คลิกสร้างบัญชีบริการ
  3. กรอกรายละเอียดบัญชีบริการ แล้วคลิกสร้างและต่อไป
  4. ไม่บังคับ: กำหนดบทบาทให้กับบัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud โปรดดูรายละเอียดเพิ่มเติมในการให้ การเปลี่ยนแปลง และการเพิกถอนสิทธิ์เข้าถึงทรัพยากร
  5. คลิกต่อไป
  6. ไม่บังคับ: ป้อนผู้ใช้หรือกลุ่มที่จัดการและดำเนินการด้วยบัญชีบริการนี้ได้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการจัดการการแอบอ้างเป็นบัญชีบริการ
  7. คลิกเสร็จ จดบันทึกอีเมลสำหรับบัญชีบริการ

gcloud CLI

  1. สร้างบัญชีบริการ: 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --display-name="SERVICE_ACCOUNT_NAME"
  2. ไม่บังคับ: กำหนดบทบาทให้กับบัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud โปรดดูรายละเอียดเพิ่มเติมในการให้ การเปลี่ยนแปลง และการเพิกถอนสิทธิ์เข้าถึงทรัพยากร

มอบหมายบทบาทให้กับบัญชีบริการ

คุณต้องมอบหมายบทบาทที่สร้างไว้ล่วงหน้าหรือที่กำหนดเองให้กับบัญชีบริการโดยบัญชีผู้ดูแลระบบขั้นสูง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > บัญชี > บทบาทของผู้ดูแลระบบ

    ไปที่บทบาทผู้ดูแลระบบ

  2. ชี้ไปที่บทบาทที่ต้องการมอบหมาย แล้วคลิกมอบหมายเป็นผู้ดูแลระบบ

  3. คลิกกำหนดบัญชีบริการ

  4. ป้อนอีเมลของบัญชีบริการ

  5. คลิกเพิ่ม > มอบหมายบทบาท

สร้างข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ

คุณจะต้องขอรับข้อมูลเข้าสู่ระบบในรูปแบบคู่คีย์สาธารณะ/ส่วนตัว ข้อมูลเข้าสู่ระบบเหล่านี้ใช้สำหรับรหัสของคุณเพื่อให้สิทธิ์การดำเนินการของบัญชีบริการภายในแอป

หากต้องการรับข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ ให้ทำดังนี้

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกคีย์ > เพิ่มคีย์ > สร้างคีย์ใหม่
  4. เลือก JSON แล้วคลิกสร้าง

    ระบบจะสร้างคู่คีย์สาธารณะ/ส่วนตัวใหม่และดาวน์โหลดลงในเครื่องเป็นไฟล์ใหม่ บันทึกไฟล์ JSON ที่ดาวน์โหลดเป็น credentials.json ในไดเรกทอรีการทำงาน โดยไฟล์นี้จะเป็นสำเนาเพียงรายการเดียวของคีย์นี้ ดูข้อมูลเกี่ยวกับวิธีจัดเก็บคีย์อย่างปลอดภัยที่การจัดการคีย์ของบัญชีบริการ

  5. คลิกปิด

ไม่บังคับ: ตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการ

หากต้องการเรียกใช้ API ในนามของผู้ใช้ในองค์กร Google Workspace บัญชีบริการจะต้องได้รับการมอบสิทธิ์ทั่วทั้งโดเมนในคอนโซลผู้ดูแลระบบ Google Workspace โดยบัญชีผู้ดูแลระบบขั้นสูง ดูข้อมูลเพิ่มเติมได้ที่การมอบอำนาจทั่วโดเมนให้กับบัญชีบริการ

หากต้องการตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการ ให้ทำดังนี้

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกแสดงการตั้งค่าขั้นสูง
  4. ค้นหา "รหัสไคลเอ็นต์" ของบัญชีบริการในส่วน "การมอบสิทธิ์ทั่วทั้งโดเมน" คลิกคัดลอก เพื่อคัดลอกค่ารหัสไคลเอ็นต์ไปยังคลิปบอร์ด

  5. หากคุณมีสิทธิ์เข้าถึงบัญชี Google Workspace ที่เกี่ยวข้องในระดับผู้ดูแลระบบขั้นสูง ให้คลิกดูคอนโซลผู้ดูแลระบบ Google Workspace จากนั้นลงชื่อเข้าใช้ด้วยบัญชีผู้ใช้ของผู้ดูแลระบบขั้นสูง แล้วทำตามขั้นตอนต่อไปนี้

    หากคุณไม่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบขั้นสูงในบัญชี Google Workspace ที่เกี่ยวข้อง โปรดติดต่อผู้ดูแลระบบขั้นสูงของบัญชีนั้นแล้วส่งรหัสไคลเอ็นต์และรายการขอบเขต OAuth ของบัญชีบริการให้ผู้ดูแลระบบ โดยทำตามขั้นตอนต่อไปนี้ในคอนโซลผู้ดูแลระบบ

    1. จากคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > ความปลอดภัย > การเข้าถึงและการควบคุมข้อมูล > การควบคุม API

      ไปที่การควบคุม API

    2. คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมน
    3. คลิกเพิ่มใหม่
    4. ในช่อง "รหัสไคลเอ็นต์" ให้วางรหัสไคลเอ็นต์ที่คุณคัดลอกไว้ก่อนหน้านี้
    5. ในช่อง "ขอบเขต OAuth" ให้ป้อนรายการขอบเขตที่คั่นด้วยคอมมาของขอบเขตที่แอปพลิเคชันของคุณกำหนด นี่คือขอบเขตชุดเดียวกับที่กำหนดไว้เมื่อกำหนดค่าหน้าจอคำยินยอม OAuth
    6. คลิกให้สิทธิ์

ขั้นตอนถัดไป

คุณพร้อมที่จะพัฒนาใน Google Workspace แล้ว ตรวจสอบรายการผลิตภัณฑ์สำหรับนักพัฒนาแอป Google Workspace และวิธีค้นหาความช่วยเหลือ