Tworzenie danych logowania

Dane logowania służą do uzyskiwania tokena dostępu z serwerów autoryzacji Google, aby aplikacja mogła wywoływać interfejsy Google Workspace API. Z tego dokumentu dowiesz się, jak wybrać i skonfigurować dane logowania potrzebne aplikacji.

Wybierz odpowiedni dla siebie certyfikat dostępu

Wymagane dane logowania zależą od typu danych, platformy i metody dostępu aplikacji. Dostępne są 3 typy danych logowania:

Przypadek użycia Metoda uwierzytelniania Informacje o tej metodzie uwierzytelniania
Anonimowy dostęp do publicznie dostępnych danych w aplikacji. Klucze interfejsu API Zanim użyjesz tej metody uwierzytelniania, sprawdź, czy interfejs API, którego chcesz użyć, obsługuje klucze interfejsu API.
Dostęp do danych użytkownika, takich jak adres e-mail czy wiek. Identyfikator klienta OAuth Wymaga, aby aplikacja poprosiła użytkownika o zgodę i ją otrzymała.
Dostęp do danych należących do aplikacji, określonych dokumentów udostępnionych (np. Arkuszy Google) lub zasobów Google Workspace w imieniu użytkowników za pomocą przekazywania dostępu w całej domenie. Konto usługi Gdy aplikacja uwierzytelnia się jako konto usługi, ma dostęp do wszystkich zasobów, do których to konto usługi ma uprawnienia.

Definicje terminów używanych na tej stronie znajdziesz w artykule Omówienie uwierzytelniania i autoryzacji.

Dane logowania klucza interfejsu API

Klucz interfejsu API to długi ciąg znaków zawierający małe i wielkie litery, cyfry, podkreślenia i łączniki, np. AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Ta metoda uwierzytelniania służy do anonimowego dostępu do publicznie dostępnych danych, takich jak pliki Google Workspace udostępnione z ustawieniem udostępniania „Każda osoba w internecie, która ma ten link”. Więcej informacji znajdziesz w artykule Zarządzanie kluczami interfejsu API.

Aby utworzyć klucz interfejsu API:

  1. W konsoli Google Cloud otwórz Menu > Interfejsy API i usługi > Dane logowania.

    Przejdź do danych logowania

  2. Kliknij Utwórz dane logowania > Klucz interfejsu API.
  3. Wyświetli się nowy klucz interfejsu API.
    • Aby skopiować klucz interfejsu API do użycia w kodzie aplikacji, kliknij Kopiuj . Klucz interfejsu API można też znaleźć w sekcji „Klucze interfejsu API” w danych logowania projektu.
    • Aby można było zapobiec nieautoryzowanemu użyciu, zalecamy ograniczenie miejsc i interfejsów API, w których można używać tego klucza. Więcej informacji znajdziesz w artykule Dodawanie ograniczeń interfejsu API.

Dane logowania identyfikatora klienta OAuth

Aby uwierzytelniać użytkowników końcowych i uzyskiwać dostęp do danych użytkowników w aplikacji, musisz utworzyć co najmniej 1 identyfikator klienta OAuth 2.0. Identyfikator klienta wskazuje konkretną aplikację na serwerach OAuth Google. Jeśli Twoja aplikacja działa na kilku platformach, musisz utworzyć osobny identyfikator klienta dla każdej z nich.

Aby uzyskać szczegółowe instrukcje tworzenia identyfikatora klienta OAuth, wybierz typ aplikacji:

Aplikacja internetowa

  1. W konsoli Google Cloud otwórz Menu > Platforma Google Auth > Klienci.

    Otwórz stronę Klienci

  2. Kliknij Utwórz klienta.
  3. Kliknij Typ aplikacji > Aplikacja internetowa.
  4. W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w konsoli Google Cloud.
  5. Dodaj autoryzowane identyfikatory URI powiązane z aplikacją:
    • Aplikacje po stronie klienta (JavaScript) – w sekcji Autoryzowane źródła JavaScriptu kliknij Dodaj URI. Następnie wpisz identyfikator URI, który ma być używany w przypadku żądań przeglądarki. Określa on domeny, z których aplikacja może wysyłać żądania interfejsu API do serwera OAuth 2.0.
    • Aplikacje po stronie serwera (Java, Python itp.)– w sekcji Autoryzowane identyfikatory URI przekierowania kliknij Dodaj URI. Następnie wpisz identyfikator URI punktu końcowego, do którego serwer OAuth 2.0 może wysyłać odpowiedzi.
  6. Kliknij Utwórz.

    Nowo utworzone dane logowania pojawią się w sekcji Identyfikatory klienta OAuth 2.0.

    Pamiętaj, że w przypadku aplikacji internetowych nie używa się tajnych kluczy klienta.

Android

  1. W konsoli Google Cloud otwórz Menu > Platforma Google Auth > Klienci.

    Otwórz stronę Klienci

  2. Kliknij Utwórz klienta.
  3. Kliknij Typ aplikacji > Android.
  4. W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w konsoli Google Cloud.
  5. W polu Nazwa pakietu wpisz nazwę pakietu z pliku AndroidManifest.xml.
  6. W polu Odcisk cyfrowy certyfikatu SHA-1 wpisz wygenerowany odcisk cyfrowy certyfikatu SHA-1.
  7. Kliknij Utwórz.

    Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.

iOS

  1. W konsoli Google Cloud otwórz Menu > Platforma Google Auth > Klienci.

    Otwórz stronę Klienci

  2. Kliknij Utwórz klienta.
  3. Kliknij Typ aplikacji > iOS.
  4. W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w konsoli Google Cloud.
  5. W polu Identyfikator pakietu wpisz identyfikator pakietu podany w pliku Info.plist aplikacji.
  6. Opcjonalnie: jeśli Twoja aplikacja jest dostępna w Apple App Store, wpisz identyfikator App Store.
  7. Opcjonalnie: w polu Identyfikator zespołu wpisz niepowtarzalny ciąg 10 znaków wygenerowany przez Apple, który został przypisany Twojemu zespołowi.
  8. Kliknij Utwórz.

    Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.

Rozszerzenie do Chrome

  1. W konsoli Google Cloud otwórz Menu > Platforma Google Auth > Klienci.

    Otwórz stronę Klienci

  2. Kliknij Utwórz klienta.
  3. Kliknij Typ aplikacji > Rozszerzenie do Chrome.
  4. W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w konsoli Google Cloud.
  5. W polu Identyfikator produktu wpisz unikalny 32-znakowy ciąg identyfikatora aplikacji. Wartość tego identyfikatora znajdziesz w adresie URL aplikacji w Chrome Web Store oraz w Panelu dewelopera Chrome Web Store.
  6. Kliknij Utwórz.

    Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.

Aplikacja komputerowa

  1. W konsoli Google Cloud otwórz Menu > Platforma Google Auth > Klienci.

    Otwórz stronę Klienci

  2. Kliknij Utwórz klienta.
  3. Kliknij Typ aplikacji > Aplikacja komputerowa.
  4. W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w konsoli Google Cloud.
  5. Kliknij Utwórz.

    Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.

TV i urządzenia z ograniczoną możliwością wpisywania

  1. W konsoli Google Cloud otwórz Menu > Platforma Google Auth > Klienci.

    Otwórz stronę Klienci

  2. Kliknij Utwórz klienta.
  3. Kliknij Typ aplikacji > TV i urządzenia z ograniczoną możliwością wpisywania.
  4. W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w konsoli Google Cloud.
  5. Kliknij Utwórz.

    Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.

Dane logowania na konto usługi

Konto usługi to specjalny rodzaj konta używanego przez aplikację, a nie osobę. Możesz używać konta usługi do uzyskiwania dostępu do danych lub wykonywania działań przez konto robota albo do uzyskiwania dostępu do danych w imieniu użytkowników Google Workspace lub Cloud Identity. Więcej informacji znajdziesz w artykule Omówienie kont usługi.

Pamiętaj, że role Identity and Access Management (IAM) skonfigurowane w konsoli Google Cloud nie przyznają dostępu do zasobów Google Workspace (takich jak Arkusze czy Gmail). Aby przyznać kontu usługi dostęp do zasobów Google Workspace, możesz użyć tych metod:

Jeśli Twoja aplikacja musi... Gdzie to skonfigurować...
uzyskiwać dostęp do określonych plików (np. Arkusza Google). Udostępnianie dokumentu bezpośrednio na adres e-mail konta usługi.
wykonywać zadania administracyjne w domenie (np. tworzyć użytkowników Google Workspace). Przypisywanie ról administratora bezpośrednio do konta usługi.
uzyskiwać dostęp do danych użytkowników w całej domenie (np. odczytywać wiadomości w Gmailu lub wydarzenia w Kalendarzu Google dowolnego użytkownika). Autoryzowanie konta usługi do korzystania z przekazywania dostępu w całej domenie.

Tworzenie konta usługi

Konto usługi możesz utworzyć za pomocą konsoli Google Cloud lub narzędzia wiersza poleceń gcloud.

Konsola Google Cloud

  1. W konsoli Google Cloud otwórz Menu > Uprawnienia i administracja > Konta usługi.

    Otwórz stronę Konta usługi

    Pozostałe kroki będą wykonywane w konsoli Google Cloud.

  2. Wybierz projekt w chmurze Google Cloud.
  3. Kliknij Utwórz konto usługi.
  4. Wpisz nazwę konta usługi, która ma być wyświetlana w konsoli Google Cloud.
  5. Jeśli nie chcesz konfigurować kontroli dostępu już teraz, kliknij Gotowe , aby zakończyć tworzenie konta usługi. Aby skonfigurować kontrolę dostępu, kliknij Utwórz i kontynuuj , a potem przejdź do następnego kroku.
  6. Opcjonalnie: przypisz role do konta usługi, aby przyznać mu dostęp do zasobów projektu Google Cloud oprócz zasobów Google Workspace. Więcej informacji znajdziesz w artykule Zarządzanie dostępem do projektów, folderów i organizacji.
  7. Kliknij Dalej.
  8. Opcjonalnie: wpisz użytkowników lub grupy, którzy mogą zarządzać tym kontem usługi i wykonywać na nim działania. Więcej informacji znajdziesz w artykule Przejmowanie tożsamości konta usługi.
  9. Aby zakończyć tworzenie konta usługi, kliknij Gotowe.

    Zapisz adres e-mail konta usługi.

gcloud CLI

  1. Utwórz konto usługi:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. Opcjonalnie: przypisz role do konta usługi, aby przyznać mu dostęp do zasobów projektu Google Cloud oprócz zasobów Google Workspace. Więcej informacji znajdziesz w artykule Zarządzanie dostępem do projektów, folderów i organizacji.

Bezpośredni dostęp do plików Google Workspace za pomocą konta usługi

Jeśli Twoja aplikacja musi tylko odczytywać lub zapisywać określone pliki (np. Arkusz Google lub folder Dysku Google), nie musisz przypisywać ról administratora ani konfigurować przekazywania dostępu w całej domenie. Zamiast tego możesz bezpośrednio udostępnić poszczególne pliki na adres e-mail konta usługi za pomocą standardowego interfejsu. Adres e-mail konta usługi możesz traktować jako konto użytkownika w ustawieniach udostępniania dokumentu bez konieczności przyznawania uprawnień administratora.

Aby przyznać dostęp:

  1. Skopiuj adres e-mail konta usługi. Na przykład my-service-account@my-project.iam.gserviceaccount.com.
  2. Otwórz dokument Arkuszy lub folder Dysku, do którego chcesz uzyskać dostęp.
  3. Kliknij Udostępnij.
  4. Dodaj adres e-mail konta usługi i przypisz odpowiedni poziom dostępu (np. Edytor lub Przeglądający).
  5. Odznacz Powiadom osoby (ponieważ konta usługi nie mają skrzynek odbiorczych, nie otrzymają e-maila z zaproszeniem, ale uprawnienia zostaną przyznane).
  6. Kliknij Udostępnij.

Tworzenie klucza konta usługi

Musisz uzyskać dane logowania w postaci pary kluczy publicznego i prywatnego. Te dane logowania są używane przez Twój kod do autoryzowania działań konta usługi w aplikacji.

Aby utworzyć klucz konta usługi:

  1. W konsoli Google Cloud otwórz Menu > Uprawnienia i administracja > Konta usługi.

    Otwórz stronę Konta usługi

    Pozostałe kroki będą wykonywane w konsoli Google Cloud.

  2. Wybierz projekt w chmurze Google Cloud.
  3. Kliknij adres e-mail konta usługi, dla którego chcesz utworzyć klucz.
  4. Kliknij kartę Klucze.
  5. Kliknij menu Dodaj klucz i wybierz Utwórz nowy klucz.
  6. W polu Typ klucza wybierz JSON i kliknij Utwórz.

    Nowa para kluczy publicznego i prywatnego zostanie wygenerowana i pobrana na Twoje urządzenie jako plik klucza konta usługi. Zapisz pobrany plik JSON jako credentials.json w katalogu roboczym. Jest to jedyna kopia tego klucza. Po pobraniu pliku klucza nie można go pobrać ponownie. Informacje o tym, jak bezpiecznie przechowywać klucz, znajdziesz w artykule Sprawdzone metody zarządzania kluczami kont usługi.

Przypisywanie roli administratora Google Workspace do konta usługi

Do konta usługi możesz przypisać dowolną gotową lub niestandardową rolę Google Workspace oprócz roli superadministratora.

  1. W konsoli administracyjnej Google kliknij Menu > Konto > Role administratora.

    Otwórz Role administracyjne

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

    Pozostałe kroki będą wykonywane w konsoli administracyjnej Google.

  2. Wskaż rolę, którą chcesz przypisać, kliknij menu Actions rozwijane i wybierz Przypisz administratora.

  3. Kliknij Przypisz konta usługi.

  4. Wpisz adres e-mail konta usługi.

  5. Kliknij Dodaj > Przypisz rolę.

Opcjonalnie: skonfiguruj przekazywanie dostępu w całej domenie dla konta usługi

Użyj przekazywania dostępu w całej domenie, gdy aplikacja musi uzyskiwać dostęp do danych Google Workspace w imieniu wielu użytkowników w organizacji (np. wysyłać e-maile za pomocą interfejsu Gmail API) bez konieczności uzyskiwania zgody poszczególnych użytkowników. Aby wywoływać interfejsy API w imieniu użytkowników w organizacji Google Workspace, przyznaj kontu usługi przekazywanie dostępu w całej domenie w konsoli administracyjnej Google za pomocą konta superadministratora. Więcej informacji znajdziesz w artykule Przekazywanie kontu usługi uprawnień do całej domeny.

Aby skonfigurować przekazywanie dostępu w całej domenie dla konta usługi:

  1. W konsoli Google Cloud otwórz Menu > Uprawnienia i administracja > Konta usługi.

    Otwórz stronę Konta usługi

  2. Wybierz projekt w chmurze Google Cloud.
  3. Kliknij adres e-mail konta usługi, dla którego chcesz skonfigurować przekazywanie dostępu w całej domenie.
  4. Kliknij Pokaż ustawienia zaawansowane.
  5. W sekcji „Przekazywanie dostępu w całej domenie” znajdź „Identyfikator klienta” konta usługi.
  6. Aby skopiować wartość identyfikatora klienta do schowka, kliknij Kopiuj .
  7. Jeśli masz dostęp Superadministratora do odpowiedniego konta Google Workspace, kliknij Wyświetl konsolę administracyjną Google Workspace, zaloguj się na konto superadministratora i wykonaj te czynności.

    Jeśli nie masz dostępu superadministratora do odpowiedniego konta Google Workspace, skontaktuj się z superadministratorem tego konta. Wyślij mu identyfikator klienta konta usługi i listę zakresów OAuth wymaganych przez aplikację, aby mógł wykonać te czynności w konsoli administracyjnej Google.

    1. W konsoli administracyjnej Google kliknij Menu > Bezpieczeństwo > Dostęp do danych i kontrola nad nimi > Dostęp do interfejsów API.

      Otwórz Dostęp do interfejsów API

    2. Kliknij Zarządzaj przekazywaniem dostępu w całej domenie.
    3. Kliknij Dodaj domenę.
    4. W polu Identyfikator klienta wklej skopiowany wcześniej identyfikator klienta.
    5. W polu Zakresy OAuth wpisz rozdzieloną przecinkami listę zakresów wymaganych przez aplikację. Jest to ten sam zestaw zakresów, który został zdefiniowany podczas konfigurowania ekranu zgody OAuth.
    6. Kliknij Autoryzuj.

      Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji znajdziesz w artykule Kontrola dostępu do interfejsów API przy użyciu przekazywania dostępu w całej domenie.

Następny krok

Możesz już tworzyć aplikacje w Google Workspace. Zapoznaj się z listą produktów dla deweloperów Google Workspace i dowiedz się, jak uzyskać pomoc.