ข้อมูลเข้าสู่ระบบใช้เพื่อรับโทเค็นเพื่อการเข้าถึงจากเซิร์ฟเวอร์การให้สิทธิ์ของ Google เพื่อให้แอปของคุณเรียก Google Workspace API ได้ คําแนะนํานี้จะอธิบายวิธีเลือกและตั้งค่าข้อมูลรับรองที่แอปของคุณต้องการ
สําหรับคําจํากัดความของคําศัพท์ที่พบในหน้านี้ โปรดดูที่ภาพรวมการตรวจสอบสิทธิ์และการให้สิทธิ์
เลือกข้อมูลรับรองการเข้าถึงที่เหมาะกับคุณ
ข้อมูลรับรองที่กําหนดจะขึ้นอยู่กับประเภทข้อมูล แพลตฟอร์ม และวิธีการในการเข้าถึงของแอป โดยมีข้อมูลเข้าสู่ระบบ 3 ประเภท ได้แก่
กรณีการใช้งาน | วิธีการตรวจสอบสิทธิ์ | เกี่ยวกับวิธีการตรวจสอบสิทธิ์นี้ |
---|---|---|
เข้าถึงข้อมูลที่เปิดเผยต่อสาธารณะโดยไม่ระบุชื่อในแอปของคุณ | คีย์ API | ตรวจสอบว่า API ที่ต้องการใช้รองรับคีย์ API ก่อนวิธีการตรวจสอบสิทธิ์นี้ |
เข้าถึงข้อมูลผู้ใช้ เช่น ที่อยู่อีเมลหรืออายุ | รหัสไคลเอ็นต์ OAuth | แอปพลิเคชันของคุณต้องขอและได้รับความยินยอมจากผู้ใช้ |
เข้าถึงข้อมูลที่เป็นของแอปพลิเคชันหรือทรัพยากรการเข้าถึงของคุณเองในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ผ่านการมอบสิทธิ์ทั่วทั้งโดเมน | บัญชีบริการ | เมื่อแอปตรวจสอบสิทธิ์เป็นบัญชีบริการ แอปนั้นจะมีสิทธิ์เข้าถึงทรัพยากรทั้งหมดที่บัญชีบริการมีสิทธิ์เข้าถึงได้ |
ข้อมูลรับรองคีย์ API
คีย์ API เป็นสตริงยาวที่ประกอบด้วยอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข ขีดล่าง และขีดกลาง เช่น AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
วิธีการตรวจสอบสิทธิ์นี้ใช้เพื่อเข้าถึงข้อมูลที่เข้าถึงได้แบบสาธารณะโดยไม่ระบุชื่อ เช่น ไฟล์ Google Workspace ที่แชร์โดยใช้การตั้งค่าการแชร์ "ทุกคนในอินเทอร์เน็ตที่มีลิงก์นี้" โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการใช้คีย์ API
วิธีสร้างคีย์ API
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > คีย์ API
- คีย์ API ใหม่จะปรากฏขึ้น
- คลิกคัดลอก เพื่อคัดลอกคีย์ API เพื่อใช้ในโค้ดของแอป คีย์ API ยังอยู่ในส่วน "คีย์ API" ของข้อมูลรับรองของโปรเจ็กต์ด้วย
- คลิกจํากัดคีย์เพื่ออัปเดตการตั้งค่าขั้นสูงและจํากัดการใช้คีย์ API โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการใช้การจํากัดคีย์ API
ข้อมูลรับรองของรหัสไคลเอ็นต์ OAuth
ในการตรวจสอบสิทธิ์ในฐานะผู้ใช้ปลายทางและเข้าถึงข้อมูลผู้ใช้ในแอปของคุณ คุณต้องสร้างรหัสไคลเอ็นต์ OAuth 2.0 อย่างน้อย 1 รายการ รหัสไคลเอ็นต์ใช้เพื่อระบุแอปเดี่ยว ไปยังเซิร์ฟเวอร์ OAuth ของ Google หากแอปทํางานบนหลายแพลตฟอร์ม คุณต้องสร้างรหัสไคลเอ็นต์แยกกันสําหรับแต่ละแพลตฟอร์มเลือกประเภทแอปพลิเคชันเพื่อดูคําแนะนําเฉพาะในการสร้างรหัสไคลเอ็นต์ OAuth ดังนี้
เว็บแอปพลิเคชัน
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
- คลิกประเภทแอปพลิเคชัน > เว็บแอปพลิเคชัน
- ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏเฉพาะในคอนโซล Google Cloud
- เพิ่ม URI ที่ได้รับอนุญาตซึ่งเกี่ยวข้องกับแอปของคุณ ดังนี้
- แอปฝั่งไคลเอ็นต์ (JavaScript) - ในส่วนต้นทาง JavaScript ที่ได้รับอนุญาต ให้คลิกเพิ่ม URI จากนั้น ป้อน URI ที่จะใช้สําหรับคําขอเบราว์เซอร์ ซึ่งจะระบุโดเมนที่แอปพลิเคชันสามารถส่งคําขอ API ไปยังเซิร์ฟเวอร์ OAuth 2.0
- แอปฝั่งเซิร์ฟเวอร์ (Java, Python และอื่นๆ) - ในส่วน URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต ให้คลิกเพิ่ม URI จากนั้นป้อน URI ปลายทางที่เซิร์ฟเวอร์ OAuth 2.0 ส่งการตอบกลับได้
- คลิกสร้าง หน้าจอไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
จดรหัสไคลเอ็นต์ ไม่มีการใช้รหัสลับไคลเอ็นต์กับเว็บแอปพลิเคชัน
- คลิกตกลง ข้อมูลรับรองที่สร้างขึ้นใหม่จะปรากฏในรหัสไคลเอ็นต์ OAuth 2.0
Android
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
- คลิกประเภทแอปพลิเคชัน > Android
- ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏเฉพาะในคอนโซล Google Cloud
- ในช่อง "ชื่อแพ็กเกจ" ป้อนชื่อแพ็กเกจจากไฟล์
AndroidManifest.xml
ของคุณ - ในช่อง "ลายนิ้วมือสําหรับใบรับรอง SHA-1" ให้ป้อนลายนิ้วมือสําหรับใบรับรอง SHA-1 ที่สร้างขึ้น
- คลิกสร้าง หน้าจอไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์ใหม่
- คลิกตกลง ข้อมูลรับรองที่สร้างขึ้นใหม่จะปรากฏใน "รหัสไคลเอ็นต์ OAuth 2.0"
iOS
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
- คลิกประเภทแอปพลิเคชัน > iOS
- ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏเฉพาะในคอนโซล Google Cloud
- ในช่อง "รหัสชุด" ให้ป้อนรหัสชุดซอฟต์แวร์ดังที่แสดงในไฟล์
Info.plist
ของแอป - ไม่บังคับ: หากแอปของคุณปรากฏใน Apple App Store ให้ป้อนรหัส App Store
- ไม่บังคับ: ในช่อง "รหัสทีม" ให้ป้อนสตริง 10 อักขระที่ไม่ซ้ํากันซึ่งสร้างโดย Apple และกําหนดให้กับทีมของคุณ
- คลิกสร้าง หน้าจอไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
- คลิกตกลง ข้อมูลรับรองที่สร้างขึ้นใหม่จะปรากฏใน "รหัสไคลเอ็นต์ OAuth 2.0"
แอป Chrome
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
- คลิกประเภทแอปพลิเคชัน > แอป Chrome
- ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏเฉพาะในคอนโซล Google Cloud
- ในช่อง "รหัสแอปพลิเคชัน" ให้ป้อนสตริงรหัส 32 อักขระที่ไม่ซ้ํากันของแอป คุณสามารถดูค่ารหัสนี้ใน URL ของ Chrome เว็บสโตร์ของแอปและในหน้าแดชบอร์ดสําหรับนักพัฒนาซอฟต์แวร์ Chrome เว็บสโตร์
- คลิกสร้าง หน้าจอไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
- คลิกตกลง ข้อมูลรับรองที่สร้างขึ้นใหม่จะปรากฏใน "รหัสไคลเอ็นต์ OAuth 2.0"
แอปบนเดสก์ท็อป
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
- คลิกประเภทแอปพลิเคชัน > แอปบนเดสก์ท็อป
- ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏเฉพาะในคอนโซล Google Cloud
- คลิกสร้าง หน้าจอไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
- คลิกตกลง ข้อมูลรับรองที่สร้างขึ้นใหม่จะปรากฏในรหัสไคลเอ็นต์ OAuth 2.0
ทีวีและอุปกรณ์อินพุตที่จํากัด
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
- คลิกประเภทแอปพลิเคชัน > ทีวีและอุปกรณ์อินพุตที่จํากัด
- ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏเฉพาะในคอนโซล Google Cloud
- คลิกสร้าง หน้าจอไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
- คลิกตกลง ข้อมูลรับรองที่สร้างขึ้นใหม่จะปรากฏใน "รหัสไคลเอ็นต์ OAuth 2.0"
Universal Windows Platform (UWP)
- ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
- คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
- คลิกประเภทแอปพลิเคชัน > Universal Windows Platform (UWP)
- ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏเฉพาะในคอนโซล Google Cloud
- ในช่อง "Store ID" ให้ป้อนค่ารหัสที่ไม่ซ้ํากันซึ่งมีจํานวน 12 อักขระของ Microsoft Store คุณค้นหารหัสนี้ได้ใน URL ของ Microsoft Store ของแอปและในศูนย์พาร์ทเนอร์
- คลิกสร้าง หน้าจอไคลเอ็นต์ OAuth จะปรากฏขึ้นเพื่อแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
- คลิกตกลง ข้อมูลรับรองที่สร้างขึ้นใหม่จะปรากฏใน "รหัสไคลเอ็นต์ OAuth 2.0"
ข้อมูลรับรองของบัญชีบริการ
บัญชีบริการเป็นบัญชีประเภทพิเศษที่แอปพลิเคชันใช้ ไม่ใช่บุคคล คุณสามารถใช้บัญชีบริการเพื่อเข้าถึงข้อมูลหรือดําเนินการต่างๆ โดยใช้บัญชีหุ่นยนต์ หรือเข้าถึงข้อมูลในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ได้ ดูข้อมูลเพิ่มเติมได้ที่การทําความเข้าใจบัญชีบริการสร้างบัญชีบริการ
- ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ
- คลิกสร้างบัญชีบริการ
- กรอกรายละเอียดบัญชีบริการ แล้วคลิกสร้างและดําเนินการต่อ
- ไม่บังคับ: มอบหมายบทบาทให้กับบัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud โปรดดูรายละเอียดเพิ่มเติมในหัวข้อการให้ เปลี่ยน และเพิกถอนสิทธิ์เข้าถึงทรัพยากร
- คลิกต่อไป
- ไม่บังคับ: ป้อนผู้ใช้หรือกลุ่มที่สามารถจัดการและดําเนินการด้วยบัญชีบริการนี้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการจัดการการแอบอ้างเป็นบัญชีบริการ
- คลิกเสร็จสิ้น จดบันทึกที่อยู่อีเมลของบัญชีบริการ
มอบหมายบทบาทให้กับบัญชีบริการ
คุณต้องมอบหมายบทบาทที่กําหนดไว้ล่วงหน้าหรือที่กําหนดเองให้กับบัญชีบริการโดยบัญชีผู้ดูแลระบบขั้นสูง
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > บัญชี > บทบาทผู้ดูแลระบบ
ชี้ที่บทบาทที่ต้องการมอบหมาย แล้วคลิกมอบหมายผู้ดูแลระบบ
คลิกมอบหมายบัญชีบริการ
ป้อนที่อยู่อีเมลของบัญชีบริการ
คลิกเพิ่ม > มอบหมายบทบาท
สร้างข้อมูลรับรองสําหรับบัญชีบริการ
คุณจะต้องขอข้อมูลรับรองในรูปแบบของคู่คีย์สาธารณะ/ส่วนตัว โค้ดเหล่านี้ใช้ข้อมูลรับรองเหล่านี้เพื่อให้สิทธิ์การดําเนินการของบัญชีบริการภายในแอปวิธีรับข้อมูลรับรองสําหรับบัญชีบริการ
- ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ
- เลือกบัญชีบริการ
- คลิกคีย์ > เพิ่มคีย์ > สร้างคีย์ใหม่
- เลือก JSON แล้วคลิกสร้าง
ระบบจะสร้างคู่คีย์สาธารณะ/ส่วนตัวใหม่และดาวน์โหลดลงในเครื่องเป็นไฟล์ใหม่ ไฟล์นี้เป็นเพียงสําเนาเดียวของคีย์นี้ ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีจัดเก็บคีย์อย่างปลอดภัยที่การจัดการคีย์ของบัญชีบริการ
- คลิกปิด
ไม่บังคับ: ตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสําหรับบัญชีบริการ
หากต้องการเรียกใช้ API ในนามของผู้ใช้ในองค์กร Google Workspace บัญชีผู้ดูแลระบบขั้นสูงจะต้องได้รับสิทธิ์ทั่วทั้งโดเมนในคอนโซลผู้ดูแลระบบของ Google Workspace ดูข้อมูลเพิ่มเติมได้ในการมอบสิทธิ์ทั่วทั้งโดเมนให้กับบัญชีบริการวิธีตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสําหรับบัญชีบริการมีดังนี้
- ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ
- เลือกบัญชีบริการ
- คลิกแสดงการตั้งค่าขั้นสูง
- ค้นหา "รหัสไคลเอ็นต์" ของบัญชีบริการในส่วน "การมอบสิทธิ์ทั่วทั้งโดเมน" คลิกคัดลอก เพื่อคัดลอกค่ารหัสไคลเอ็นต์ไปยังคลิปบอร์ด
หากคุณมีสิทธิ์การเข้าถึงขั้นสูงของผู้ดูแลระบบสําหรับบัญชี Google Workspace ที่เกี่ยวข้อง ให้คลิกดูคอนโซลผู้ดูแลระบบ Google Workspace แล้วลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบขั้นสูง แล้วทําตามขั้นตอนต่อไปนี้
หากคุณไม่มีสิทธิ์การเข้าถึงขั้นสูงของผู้ดูแลระบบสําหรับบัญชี Google Workspace ที่เกี่ยวข้อง โปรดติดต่อผู้ดูแลระบบขั้นสูงสําหรับบัญชีนั้น แล้วส่งรหัสไคลเอ็นต์ของบัญชีบริการและรายการขอบเขต OAuth ให้กับบัญชีดังกล่าวเพื่อให้ผู้ดูแลระบบทําตามขั้นตอนต่อไปนี้ในคอนโซลผู้ดูแลระบบได้
- ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > ความปลอดภัย > การเข้าถึงและการควบคุมข้อมูล > การควบคุม API
- คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมน
- คลิกเพิ่มใหม่
- ในช่อง "รหัสไคลเอ็นต์" ให้วางรหัสไคลเอ็นต์ที่คุณคัดลอกไว้ก่อนหน้านี้
- ในช่อง "ขอบเขต OAuth" ให้ป้อนรายการขอบเขตที่แอปพลิเคชันกําหนดโดยคั่นด้วยเครื่องหมายจุลภาค นี่คือขอบเขตชุดเดียวกับที่คุณได้กําหนดไว้เมื่อกําหนดค่าหน้าจอคํายินยอม OAuth
- คลิกให้สิทธิ์
ขั้นตอนถัดไป
คุณพร้อมที่จะพัฒนาบน Google Workspace แล้ว ตรวจสอบรายการผลิตภัณฑ์สําหรับนักพัฒนาซอฟต์แวร์ Google Workspace และวิธีค้นหาความช่วยเหลือ