Criar credenciais de acesso

As credenciais são usadas para receber um token de acesso dos servidores de autorização do Google para que seu app possa chamar as APIs do Google Workspace. Este guia descreve como escolher e configurar as credenciais necessárias para seu app.

Para definições dos termos encontrados nesta página, consulte a Visão geral de autenticação e autorização.

Escolher a credencial de acesso certa para você

As credenciais necessárias dependem do tipo de dados, plataforma e metodologia de acesso do seu app. Há três tipos de credenciais disponíveis:

Caso de uso	Método de autenticação	Sobre esse método de autenticação
Acessar dados disponíveis publicamente de forma anônima no seu app.	Chaves de API	Verifique se a API que você quer usar é compatível com chaves de API antes de usar esse método de autenticação.
Acessar dados do usuário, como endereço de e-mail ou idade.	ID do cliente OAuth	Exige que seu app solicite e receba o consentimento do usuário.
Acessar dados que pertencem ao seu aplicativo ou recursos de acesso em nome dos usuários do Google Workspace ou do Cloud Identity por delegação em todo o domínio.	Conta de serviço	Quando um app é autenticado como uma conta de serviço, ele tem acesso a todos os recursos que a conta de serviço tem permissão para acessar.

Credenciais de chave de API

Uma chave de API é uma string longa que contém letras maiúsculas e minúsculas, números, sublinhados e hifens, como AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Esse método de autenticação é usado para acessar dados disponíveis publicamente de forma anônima, como arquivos do Google Workspace compartilhados usando a configuração de compartilhamento "Qualquer pessoa na Internet com este link". Para mais detalhes, consulte Como usar chaves de API.

Para criar uma chave de API, siga estas etapas:

1. No console do Google Cloud, acesse Menu menu > APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais > Chave de API.
3. Sua nova chave de API será exibida.
   • Clique em Copiar content_copy para copiar sua chave de API para uso em seu código de aplicativo. A chave de API também pode ser encontrada na seção "Chaves de API" das credenciais do seu projeto.
   • Para evitar o uso não autorizado, recomendamos restringir os locais e as APIs em que a chave de API pode ser usada. Para mais detalhes, consulte Adicionar restrições de API.

Credenciais de ID do cliente OAuth

Para autenticar usuários finais e acessar dados do usuário no app, crie um ou mais IDs do cliente OAuth 2.0. Um ID do cliente é usado para identificar um único app nos servidores OAuth do Google. Se o app for executado em várias plataformas, você precisará criar um ID do cliente separado para cada plataforma.

Escolha o tipo de aplicativo para instruções específicas sobre como criar um ID do cliente OAuth:

Aplicativo da Web

1. No Console de APIs do Google, acesse Menu menu > Plataforma de autenticação do Google > Clientes.

   Acessar clientes

2. Clique em Criar cliente.
3. Clique em Tipo de aplicativo > Aplicativo da Web.
4. No campo Nome, digite um nome para a credencial. Esse nome só é mostrado no Console de APIs do Google.
5. Adicione URIs autorizados relacionados ao seu app:
   • Apps do lado do cliente (JavaScript): em Origens JavaScript autorizadas, clique em Adicionar URI. Em seguida, insira um URI a ser usado para solicitações do navegador. Isso identifica os domínios de onde seu aplicativo pode enviar solicitações de API para o servidor OAuth 2.0.
   • Apps do lado do servidor (Java, Python e outros): em URIs de redirecionamento autorizados, clique em Adicionar URI. Em seguida, insira um URI de endpoint para o qual o servidor OAuth 2.0 pode enviar respostas.
6. Clique em Criar.

   A credencial recém-criada aparece em IDs do cliente OAuth 2.0.

   Anote o ID do cliente. Os secrets do cliente não são usados para aplicativos da Web.

Android

1. No Console de APIs do Google, acesse Menu menu > Plataforma de autenticação do Google > Clientes.

   Acessar clientes

2. Clique em Criar cliente.
3. Clique em Tipo de aplicativo > Android.
4. No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no Console de APIs do Google.
5. No campo "Nome do pacote", insira o nome do pacote do arquivo AndroidManifest.xml.
6. No campo "Impressão digital do certificado SHA-1", insira a impressão digital do certificado SHA-1 gerada.
7. Clique em Criar.

   A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".

iOS

1. No Console de APIs do Google, acesse Menu menu > Plataforma de autenticação do Google > Clientes.

   Acessar clientes

2. Clique em Criar cliente.
3. Clique em Tipo de aplicativo > iOS.
4. No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no Console de APIs do Google.
5. No campo "ID do pacote", insira o identificador do pacote conforme listado no arquivo Info.plist do app.
6. Opcional: se o app aparecer na App Store da Apple, insira o ID da App Store.
7. Opcional: no campo "ID da equipe", insira a string exclusiva de 10 caracteres gerada pela Apple e atribuída à sua equipe.
8. Clique em Criar.

   A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".

Extensão do Chrome

1. No Console de APIs do Google, acesse Menu menu > Plataforma de autenticação do Google > Clientes.

   Acessar clientes

2. Clique em Criar cliente.
3. Clique em Tipo de aplicativo > Extensão do Chrome.
4. No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no Console de APIs do Google.
5. No campo "ID do item", insira a string de ID exclusiva de 32 caracteres do seu app. Você pode encontrar esse valor de ID no URL da Chrome Web Store do app e no Painel de controle do desenvolvedor da Chrome Web Store.
6. Clique em Criar.

   A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".

App para computador

1. No Console de APIs do Google, acesse Menu menu > Plataforma de autenticação do Google > Clientes.

   Acessar clientes

2. Clique em Criar cliente.
3. Clique em Tipo de aplicativo > App para computador.
4. No campo Nome, digite um nome para a credencial. Esse nome só é mostrado no Console de APIs do Google.
5. Clique em Criar.

   A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".

TVs e dispositivos de entrada limitados

1. No Console de APIs do Google, acesse Menu menu > Plataforma de autenticação do Google > Clientes.

   Acessar clientes

2. Clique em Criar cliente.
3. Clique em Tipo de aplicativo > TVs e dispositivos de entrada limitados.
4. No campo "Nome", digite um nome para a credencial. Esse nome só é mostrado no Console de APIs do Google.
5. Clique em Criar.

   A credencial recém-criada aparece em "IDs do cliente OAuth 2.0".

Credenciais da conta de serviço

Uma conta de serviço é um tipo especial de conta usada por um aplicativo, não uma pessoa. Você pode usar uma conta de serviço para acessar dados ou realizar ações pela conta do robô ou para acessar dados em nome dos usuários do Google Workspace ou do Cloud Identity. Para mais informações, consulte as Noções básicas sobre contas de serviço.

Criar uma conta de serviço

Console de APIs do Google

1. No Console de APIs do Google, acesse Menu menu > IAM e administrador > Contas de serviço.

   Acessar a página "Contas de serviço"

2. Clique em Criar conta de serviço.
3. Preencha os detalhes da conta de serviço e clique em Criar e continuar.
4. Opcional: atribua papéis à sua conta de serviço para conceder acesso aos recursos do projeto do Google Cloud. Para mais detalhes, consulte Conceder, alterar e revogar acesso a recursos.
5. Clique em Continuar.
6. Opcional: insira usuários ou grupos que podem gerenciar e realizar ações com essa conta de serviço. Para mais detalhes, consulte Gerenciar a identidade temporária de conta de serviço.
7. Clique em Concluído. Anote o endereço de e-mail da conta de serviço.

CLI gcloud

1. Crie a conta de serviço:

   gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
     --display-name="SERVICE_ACCOUNT_NAME"

2. Opcional: atribua papéis à sua conta de serviço para conceder acesso aos recursos do projeto do Google Cloud. Para mais detalhes, consulte Conceder, alterar e revogar acesso a recursos.

Atribuir um papel a uma conta de serviço

É necessário atribuir um papel predefinido ou função personalizada a uma conta de serviço por uma conta de superadministrador.

1. No Google Admin Console, acesse Menu menu> Conta > Funções do administrador.

   Acessar funções do administrador

2. Aponte para a função que você quer atribuir e clique em Atribuir administrador.

3. Clique em Atribuir contas de serviço.

4. Digite o endereço de e-mail da conta de serviço.

5. Clique em Adicionar > Atribuir papel.

Criar credenciais para uma conta de serviço

É necessário receber credenciais na forma de um par de chaves públicas/privadas. Essas credenciais são usadas pelo seu código para autorizar ações da conta de serviço no app.

Para receber credenciais para sua conta de serviço:

1. No console do Google Cloud, acesse Menu menu > IAM e administrador > Contas de serviço.

   Acessar a página "Contas de serviço"

2. Selecione a conta de serviço.
3. Clique em Chaves > Adicionar chave > Criar nova chave.
4. Selecione JSON e clique em Criar.

   Seu novo par de chave pública/privada é gerado e transferido por download para sua máquina como um novo arquivo. Salve o arquivo JSON transferido por download como credentials.json no seu diretório de trabalho. Esse arquivo é a única cópia da chave. Para informações sobre como armazenar sua chave com segurança, consulte Gerenciar chaves de contas de serviço.

5. Clique em Fechar.

Opcional: configurar a delegação em todo o domínio para uma conta de serviço

Para chamar APIs em nome dos usuários de uma organização do Google Workspace, a conta de serviço precisa receber a delegação de autoridade em todo o domínio no Google Workspace Admin Console por uma conta de superadministrador. Para mais informações, consulte Delegar autoridade em todo o domínio a uma conta de serviço.

Para configurar a delegação de autoridade em todo o domínio para uma conta de serviço:

1. No console do Google Cloud, acesse Menu menu > IAM e administrador > Contas de serviço.

   Acessar a página "Contas de serviço"

2. Selecione a conta de serviço.
3. Clique em Mostrar configurações avançadas.
4. Em "Delegação em todo o domínio", encontre o "ID do cliente" da sua conta de serviço. Clique em Copiar content_copy para copiar o valor do ID do cliente para a área de transferência.

5. Se você tiver acesso de superadministrador à conta do Google Workspace relevante, clique Acessar o Admin Console do Google Workspace e faça login usando uma conta de usuário de superadministrador e continue seguindo estas etapas.

   Se você não tiver acesso de superadministrador à conta do Google Workspace relevante, entre em contato com um superadministrador dessa conta e envie o ID do cliente da conta de serviço e a lista de escopos do OAuth para que ele possa concluir as etapas a seguir no Admin Console.

1. No Google Admin Console, acesse Menu menu > Segurança > Controle de acesso e dados > Controles da API.

   Acessar os controles da API

2. Clique em Gerenciar a delegação em todo o domínio.
3. Clique em Adicionar novo.
4. No campo "ID do cliente", cole o ID do cliente que você copiou anteriormente.
5. No campo "Escopos do OAuth", insira uma lista delimitada por vírgulas dos escopos exigidos pelo aplicativo. Esse é o mesmo conjunto de escopos que você definiu ao configurar a tela de permissão OAuth.
6. Clique em Autorizar.

Próxima etapa

Você está pronto para desenvolver no Google Workspace. Confira a lista de produtos para desenvolvedores do Google Workspace e como encontrar ajuda.