Tạo thông tin xác thực truy cập

Thông tin đăng nhập được dùng để lấy mã truy cập từ các máy chủ uỷ quyền của Google để ứng dụng của bạn có thể gọi các API của Google Workspace. Tài liệu này mô tả cách chọn và thiết lập thông tin đăng nhập mà ứng dụng của bạn cần.

Chọn thông tin đăng nhập truy cập phù hợp với bạn

Thông tin đăng nhập bắt buộc phụ thuộc vào loại dữ liệu, nền tảng và phương pháp truy cập của ứng dụng. Có 3 loại thông tin đăng nhập:

Trường hợp sử dụng Phương pháp xác thực Giới thiệu về phương thức xác thực này
Truy cập ẩn danh vào dữ liệu có sẵn công khai trong ứng dụng của bạn. Khoá API Kiểm tra để đảm bảo API bạn muốn sử dụng hỗ trợ khoá API trước khi dùng phương thức xác thực này.
Truy cập vào dữ liệu người dùng, chẳng hạn như địa chỉ email hoặc độ tuổi của họ. Mã ứng dụng OAuth Yêu cầu ứng dụng của bạn phải yêu cầu và nhận được sự đồng ý của người dùng.
Truy cập vào dữ liệu do ứng dụng của bạn sở hữu, các tài liệu được chia sẻ cụ thể (chẳng hạn như Google Trang tính) hoặc truy cập vào các tài nguyên của Google Workspace thay mặt người dùng thông qua việc uỷ quyền trên toàn miền. Tài khoản dịch vụ Khi một ứng dụng xác thực dưới dạng tài khoản dịch vụ, ứng dụng đó sẽ có quyền truy cập vào tất cả tài nguyên mà tài khoản dịch vụ có quyền truy cập.

Để biết định nghĩa của các thuật ngữ trên trang này, hãy xem bài viết Tổng quan về quy trình xác thực và uỷ quyền.

Thông tin đăng nhập khoá API

Khoá API là một chuỗi dài chứa các chữ cái viết hoa và viết thường, số, dấu gạch dưới và dấu gạch nối, chẳng hạn như AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Phương thức xác thực này được dùng để truy cập ẩn danh vào dữ liệu có sẵn công khai, chẳng hạn như các tệp Google Workspace được chia sẻ bằng chế độ cài đặt chia sẻ "Bất kỳ ai trên Internet có đường liên kết này". Để biết thêm thông tin, hãy xem bài viết Quản lý khoá API.

Cách tạo khoá API:

  1. Trong bảng điều khiển Cloud, hãy chuyển đến Trình đơn > API và Dịch vụ > Thông tin đăng nhập.

    Chuyển đến phần Thông tin đăng nhập

  2. Nhấp vào Tạo thông tin đăng nhập > Khoá API.
  3. Khoá API mới của bạn sẽ xuất hiện.
    • Nhấp vào biểu tượng Sao chép để sao chép khoá API nhằm sử dụng trong mã của ứng dụng. Bạn cũng có thể tìm thấy khoá API trong phần "Khoá API" của thông tin đăng nhập dự án.
    • Để ngăn việc sử dụng trái phép, bạn nên hạn chế vị trí và API mà khoá API có thể được dùng. Để biết thêm thông tin, hãy xem bài viết Thêm các hạn chế về API.

Thông tin đăng nhập mã ứng dụng OAuth

Để xác thực người dùng cuối và truy cập vào dữ liệu người dùng trong ứng dụng của mình, bạn cần tạo một hoặc nhiều Mã ứng dụng khách OAuth 2.0. Mã ứng dụng khách được dùng để xác định một ứng dụng duy nhất cho các máy chủ OAuth của Google. Nếu ứng dụng của bạn chạy trên nhiều nền tảng, bạn phải tạo một mã ứng dụng khách riêng cho mỗi nền tảng.

Chọn loại ứng dụng của bạn để xem hướng dẫn cụ thể về cách tạo mã ứng dụng OAuth:

Ứng dụng web

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > Nền tảng xác thực của Google > Ứng dụng.

    Chuyển đến mục Ứng dụng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Ứng dụng web.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Bảng điều khiển Google Cloud.
  5. Thêm các URI được uỷ quyền liên quan đến ứng dụng của bạn:
    • Ứng dụng phía máy khách (JavaScript)–Trong phần Nguồn gốc JavaScript được uỷ quyền, hãy nhấp vào Thêm URI. Sau đó, hãy nhập một URI để dùng cho các yêu cầu của trình duyệt. URI này xác định các miền mà ứng dụng của bạn có thể gửi yêu cầu API đến máy chủ OAuth 2.0.
    • Ứng dụng phía máy chủ (Java, Python và các ứng dụng khác)–Trong phần URI chuyển hướng được uỷ quyền, hãy nhấp vào Thêm URI. Sau đó, hãy nhập một URI điểm cuối mà máy chủ OAuth 2.0 có thể gửi phản hồi.
  6. Nhấp vào Tạo.

    Thông tin đăng nhập mới tạo sẽ xuất hiện trong phần Mã ứng dụng khách OAuth 2.0.

    Xin lưu ý rằng khoá bí mật của ứng dụng không được dùng cho các ứng dụng web.

Android

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > Nền tảng xác thực của Google > Ứng dụng.

    Chuyển đến mục Ứng dụng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Android.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Bảng điều khiển Google Cloud.
  5. Trong trường Tên gói, hãy nhập tên gói từ tệp AndroidManifest.xml.
  6. Trong trường Dấu vân tay chứng chỉ SHA-1, hãy nhập dấu vân tay chứng chỉ SHA-1 mà bạn đã tạo.
  7. Nhấp vào Tạo.

    Thông tin đăng nhập mới tạo sẽ xuất hiện trong phần "Mã ứng dụng khách OAuth 2.0".

iOS

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > Nền tảng xác thực của Google > Ứng dụng.

    Chuyển đến mục Ứng dụng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > iOS.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Bảng điều khiển Google Cloud.
  5. Trong trường Mã nhận dạng gói, hãy nhập giá trị nhận dạng gói có trong tệp Info.plist của ứng dụng.
  6. Không bắt buộc: Nếu ứng dụng của bạn xuất hiện trong Apple App Store, hãy nhập Mã App Store.
  7. Không bắt buộc: Trong trường Mã nhóm, hãy nhập chuỗi gồm 10 ký tự riêng biệt do Apple tạo và chỉ định cho nhóm của bạn.
  8. Nhấp vào Tạo.

    Thông tin đăng nhập mới tạo sẽ xuất hiện trong phần "Mã ứng dụng khách OAuth 2.0".

Tiện ích của Chrome

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > Nền tảng xác thực của Google > Ứng dụng.

    Chuyển đến mục Ứng dụng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Tiện ích của Chrome.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Bảng điều khiển Google Cloud.
  5. Trong trường Mã mặt hàng, hãy nhập chuỗi mã gồm 32 ký tự riêng biệt của ứng dụng. Bạn có thể tìm thấy giá trị mã này trong URL Cửa hàng Chrome trực tuyến của ứng dụng và trong Trang tổng quan dành cho nhà phát triển Cửa hàng Chrome trực tuyến.
  6. Nhấp vào Tạo.

    Thông tin đăng nhập mới tạo sẽ xuất hiện trong phần "Mã ứng dụng khách OAuth 2.0".

Ứng dụng dành cho máy tính

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > Nền tảng xác thực của Google > Ứng dụng.

    Chuyển đến mục Ứng dụng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Ứng dụng dành cho máy tính.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Bảng điều khiển Google Cloud.
  5. Nhấp vào Tạo.

    Thông tin đăng nhập mới tạo sẽ xuất hiện trong phần "Mã ứng dụng khách OAuth 2.0".

TV và thiết bị đầu vào giới hạn

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > Nền tảng xác thực của Google > Ứng dụng.

    Chuyển đến mục Ứng dụng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > TV và thiết bị đầu vào giới hạn.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Bảng điều khiển Google Cloud.
  5. Nhấp vào Tạo.

    Thông tin đăng nhập mới tạo sẽ xuất hiện trong phần "Mã ứng dụng khách OAuth 2.0".

Thông tin đăng nhập tài khoản dịch vụ

Tài khoản dịch vụ là một loại tài khoản đặc biệt mà ứng dụng sử dụng, thay vì một người. Bạn có thể sử dụng tài khoản dịch vụ để truy cập vào dữ liệu hoặc thực hiện các hành động bằng tài khoản robot hoặc để truy cập vào dữ liệu thay mặt người dùng Google Workspace hoặc Cloud Identity. Để biết thêm thông tin, hãy xem Tổng quan về tài khoản dịch vụ.

Xin lưu ý rằng các vai trò Quản lý danh tính và quyền truy cập (IAM) được định cấu hình trong Bảng điều khiển Google Cloud không cấp quyền truy cập vào các tài sản của Google Workspace (chẳng hạn như Trang tính hoặc Gmail). Để cấp cho tài khoản dịch vụ quyền truy cập vào các tài nguyên của Google Workspace, bạn có thể sử dụng những cách sau:

Nếu ứng dụng của bạn cần... Nơi định cấu hình...
Truy cập vào các tệp cụ thể (chẳng hạn như Google Trang tính) Chia sẻ trực tiếp tài liệu của một tệp hoặc thư mục với địa chỉ email của tài khoản dịch vụ
Thực hiện hoạt động quản trị miền (chẳng hạn như tạo người dùng Google Workspace) Chỉ định trực tiếp vai trò quản trị cho tài khoản dịch vụ
Truy cập vào dữ liệu người dùng trên toàn miền (chẳng hạn như đọc email hoặc sự kiện trong Lịch Google của bất kỳ người dùng nào) Cho phép tài khoản dịch vụ sử dụng tính năng uỷ quyền trên toàn miền

Tạo một tài khoản dịch vụ

Bạn có thể tạo tài khoản dịch vụ bằng Bảng điều khiển Google Cloud hoặc công cụ dòng lệnh gcloud.

Bảng điều khiển Google Cloud

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > IAM và Quản trị > Tài khoản dịch vụ.

    Chuyển đến phần Tài khoản dịch vụ

    Các bước còn lại sẽ xuất hiện trong Bảng điều khiển Google Cloud.

  2. Chọn một dự án trên Google Cloud.
  3. Nhấp vào Tạo tài khoản dịch vụ.
  4. Nhập tên tài khoản dịch vụ để xuất hiện trong Bảng điều khiển Google Cloud.
  5. Nếu bạn không muốn thiết lập chế độ kiểm soát quyền truy cập ngay, hãy nhấp vào Xong để hoàn tất việc tạo tài khoản dịch vụ. Để thiết lập chế độ kiểm soát quyền truy cập ngay, hãy nhấp vào Tạo và tiếp tục rồi chuyển sang bước tiếp theo.
  6. Không bắt buộc: Chỉ định vai trò cho tài khoản dịch vụ để cấp quyền truy cập vào các tài nguyên của dự án trên Google Cloud ngoài các tài nguyên của Google Workspace. Để biết thêm thông tin, hãy tham khảo bài viết Quản lý quyền truy cập vào dự án, thư mục và tổ chức.
  7. Nhấp vào Tiếp tục.
  8. Không bắt buộc: Nhập người dùng hoặc nhóm có thể quản lý và thực hiện các hành động bằng tài khoản dịch vụ này. Để biết thêm thông tin, hãy tham khảo bài viết Giả mạo tài khoản dịch vụ.
  9. Nhấp vào Xong để hoàn tất việc tạo tài khoản dịch vụ.

    Ghi lại địa chỉ email của tài khoản dịch vụ.

gcloud CLI

  1. Tạo tài khoản dịch vụ:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. Không bắt buộc: Chỉ định vai trò cho tài khoản dịch vụ để cấp quyền truy cập vào các tài nguyên của dự án trên Google Cloud ngoài các tài nguyên của Google Workspace. Để biết thêm thông tin, hãy tham khảo bài viết Quản lý quyền truy cập vào dự án, thư mục và tổ chức.

Truy cập trực tiếp vào các tệp Google Workspace bằng tài khoản dịch vụ

Nếu ứng dụng của bạn chỉ cần đọc hoặc ghi các tệp cụ thể (chẳng hạn như Google Trang tính hoặc thư mục Google Drive), thì bạn không cần chỉ định vai trò quản trị hoặc định cấu hình tính năng uỷ quyền trên toàn miền. Thay vào đó, bạn có thể chia sẻ trực tiếp các tệp riêng lẻ với địa chỉ email của tài khoản dịch vụ bằng giao diện người dùng tiêu chuẩn. Bạn có thể coi địa chỉ email của tài khoản dịch vụ là tài khoản người dùng trong chế độ cài đặt chia sẻ của tài liệu mà không cần có đặc quyền quản trị.

Cách cấp quyền truy cập:

  1. Sao chép địa chỉ email của tài khoản dịch vụ. Ví dụ: my-service-account@my-project.iam.gserviceaccount.com.
  2. Mở tài liệu Trang tính hoặc thư mục Drive mà bạn muốn truy cập.
  3. Nhấp vào Chia sẻ.
  4. Thêm địa chỉ email của tài khoản dịch vụ và chỉ định cấp truy cập thích hợp (chẳng hạn như Người chỉnh sửa hoặc Người xem).
  5. Bỏ chọn Thông báo cho mọi người (vì tài khoản dịch vụ không có hộp thư đến nên sẽ không nhận được email gửi lời mời, nhưng quyền vẫn được cấp).
  6. Nhấp vào Chia sẻ.

Tạo khoá tài khoản dịch vụ

Bạn cần lấy thông tin đăng nhập ở dạng cặp khoá công khai/riêng tư. Mã của bạn sử dụng thông tin đăng nhập này để cho phép các hành động của tài khoản dịch vụ trong ứng dụng.

Cách tạo khoá tài khoản dịch vụ:

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > IAM và Quản trị > Tài khoản dịch vụ.

    Chuyển đến phần Tài khoản dịch vụ

    Các bước còn lại sẽ xuất hiện trong Bảng điều khiển Google Cloud.

  2. Chọn một dự án trên Google Cloud.
  3. Nhấp vào địa chỉ email của tài khoản dịch vụ mà bạn muốn tạo khoá.
  4. Nhấp vào thẻ Khoá.
  5. Nhấp vào trình đơn thả xuống Thêm khoá, sau đó chọn Tạo khoá mới.
  6. Chọn JSON làm Loại khoá rồi nhấp vào Tạo.

    Cặp khoá công khai/riêng tư mới của bạn sẽ được tạo và tải xuống máy của bạn dưới dạng tệp khoá tài khoản dịch vụ. Lưu tệp JSON đã tải xuống dưới dạng credentials.json trong thư mục làm việc. Tệp này là bản sao duy nhất của khoá này. Sau khi bạn tải tệp khoá xuống, bạn không thể tải lại tệp đó. Để biết thông tin về cách lưu trữ khoá an toàn, hãy xem Các phương pháp hay nhất để quản lý khoá tài khoản dịch vụ.

Chỉ định vai trò quản trị viên Google Workspace cho tài khoản dịch vụ

Bạn có thể chỉ định bất kỳ vai trò nào được tạo sẵn hoặc tuỳ chỉnh của Google Workspace cho tài khoản dịch vụ, ngoại trừ vai trò Quản trị viên cấp cao.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn > Tài khoản > Vai trò quản trị viên.

    Chuyển đến phần Vai trò quản trị viên

    Bạn phải đăng nhập với tư cách là Quản trị viên cấp cao để thực hiện tác vụ này.

    Các bước còn lại sẽ xuất hiện trong Bảng điều khiển dành cho quản trị viên của Google.

  2. Trỏ đến vai trò mà bạn muốn chỉ định, nhấp vào trình đơn thả xuống Actions (Hành động) rồi chọn Assign admin (Chỉ định quản trị viên).

  3. Nhấp vào Assign service accounts (Chỉ định tài khoản dịch vụ).

  4. Nhập địa chỉ email của tài khoản dịch vụ.

  5. Nhấp vào Thêm > Chỉ định vai trò.

Không bắt buộc: Thiết lập tính năng uỷ quyền trên toàn miền cho tài khoản dịch vụ

Sử dụng tính năng uỷ quyền trên toàn miền khi ứng dụng của bạn cần truy cập vào dữ liệu Google Workspace thay mặt nhiều người dùng riêng lẻ trong tổ chức của bạn (chẳng hạn như gửi email bằng API Gmail) mà không cần sự đồng ý của từng người dùng. Để gọi các API thay mặt người dùng trong tổ chức Google Workspace, hãy cấp cho tài khoản dịch vụ của bạn quyền uỷ quyền trên toàn miền trong Bảng điều khiển dành cho quản trị viên của Google bằng tài khoản Quản trị viên cấp cao. Để biết thêm thông tin, hãy xem bài viết Uỷ quyền trên toàn miền cho tài khoản dịch vụ.

Cách thiết lập quyền uỷ quyền trên toàn miền cho tài khoản dịch vụ:

  1. Trong Bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > IAM và Quản trị > Tài khoản dịch vụ.

    Chuyển đến phần Tài khoản dịch vụ

  2. Chọn một dự án trên Google Cloud.
  3. Nhấp vào địa chỉ email của tài khoản dịch vụ mà bạn muốn thiết lập tính năng uỷ quyền trên toàn miền.
  4. Nhấp vào Hiển thị cài đặt nâng cao.
  5. Trong phần "Uỷ quyền trên toàn miền", hãy tìm "Mã ứng dụng" của tài khoản dịch vụ.
  6. Nhấp vào biểu tượng Sao chép để sao chép giá trị mã ứng dụng vào bảng nhớ tạm.
  7. Nếu bạn có quyền Quản trị viên cấp cao đối với tài khoản Google Workspace có liên quan, hãy nhấp vào Xem Bảng điều khiển dành cho quản trị viên của Google Workspace, đăng nhập bằng tài khoản người dùng quản trị viên cấp cao rồi tiếp tục làm theo các bước này.

    Nếu bạn không có quyền quản trị viên cấp cao đối với tài khoản Google Workspace có liên quan, hãy liên hệ với quản trị viên cấp cao của tài khoản đó. Gửi cho họ mã ứng dụng của tài khoản dịch vụ và danh sách các Phạm vi OAuth mà ứng dụng của bạn yêu cầu để họ có thể hoàn tất các bước sau trong Bảng điều khiển dành cho quản trị viên của Google.

    1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn > Bảo mật > Quyền truy cập và kiểm soát dữ liệu > Chế độ kiểm soát API.

      Chuyển đến phần Chế độ kiểm soát API

    2. Nhấp vào Quản lý việc uỷ quyền trên toàn miền.
    3. Nhấp vào Thêm mới.
    4. Trong trường Mã ứng dụng, hãy dán mã ứng dụng mà bạn đã sao chép trước đó.
    5. Trong trường Phạm vi OAuth , hãy nhập danh sách các phạm vi mà ứng dụng của bạn yêu cầu, được phân tách bằng dấu phẩy. Đây là cùng một tập hợp phạm vi mà bạn đã xác định khi định cấu hình màn hình xin phép OAuth.
    6. Nhấp vào Uỷ quyền.

      Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Để biết thêm thông tin, hãy xem bài viết Kiểm soát quyền truy cập API bằng tính năng uỷ quyền trên toàn miền.

Bước tiếp theo

Bạn đã sẵn sàng phát triển trên Google Workspace! Xem danh sách các sản phẩm dành cho nhà phát triển của Google Workspacecách tìm trợ giúp.