สร้างข้อมูลรับรองการเข้าถึง

ข้อมูลเข้าสู่ระบบมีไว้เพื่อรับโทเค็นเพื่อการเข้าถึงจากเซิร์ฟเวอร์การให้สิทธิ์ของ Google เพื่อให้แอปเรียกใช้ Google Workspace API ได้ คู่มือนี้อธิบายวิธีเลือกและตั้งค่าข้อมูลเข้าสู่ระบบที่แอปต้องใช้

ดูคำจำกัดความของคำศัพท์ที่พบในหน้านี้ได้ที่ภาพรวมการตรวจสอบสิทธิ์และการให้สิทธิ์

เลือกข้อมูลเข้าสู่ระบบที่เหมาะกับคุณ

ข้อมูลเข้าสู่ระบบที่จำเป็นจะขึ้นอยู่กับประเภทของข้อมูล แพลตฟอร์ม และวิธีการเข้าถึงของแอป ข้อมูลเข้าสู่ระบบมี 3 ประเภทดังนี้

Use Case วิธีการตรวจสอบสิทธิ์ เกี่ยวกับวิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลที่เผยแพร่ต่อสาธารณะในแอปของคุณได้แบบไม่ระบุตัวตน คีย์ API โปรดตรวจสอบว่า API ที่คุณต้องการใช้รองรับคีย์ API ก่อนที่จะใช้วิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลผู้ใช้ เช่น อีเมลหรืออายุ รหัสไคลเอ็นต์ OAuth แอปต้องส่งคำขอและขอความยินยอมจากผู้ใช้
เข้าถึงข้อมูลที่เป็นของแอปพลิเคชันของคุณเอง หรือเข้าถึงทรัพยากรในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ผ่านการมอบสิทธิ์ทั่วทั้งโดเมน บัญชีบริการ เมื่อแอปตรวจสอบสิทธิ์ว่าเป็นบัญชีบริการแล้ว แอปนั้นจะมีสิทธิ์เข้าถึงทรัพยากรทั้งหมดที่บัญชีบริการมีสิทธิ์เข้าถึง

ข้อมูลเข้าสู่ระบบคีย์ API

คีย์ API เป็นสตริงแบบยาวที่มีอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข ขีดล่าง และขีดกลาง เช่น AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe วิธีการตรวจสอบสิทธิ์นี้ใช้เพื่อเข้าถึงข้อมูลที่พร้อมใช้งานแบบสาธารณะ เช่น ไฟล์ Google Workspace ที่แชร์โดยใช้การตั้งค่าการแชร์ "ทุกคนบนอินเทอร์เน็ตที่มีลิงก์นี้" ดูรายละเอียดเพิ่มเติมได้ที่การใช้คีย์ API

วิธีสร้างคีย์ API

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > คีย์ API
  3. คีย์ API ใหม่จะปรากฏขึ้น
    • คลิกคัดลอก เพื่อคัดลอกคีย์ API เพื่อใช้ในโค้ดของแอป คุณดูคีย์ API ได้ในส่วน "คีย์ API" ของข้อมูลเข้าสู่ระบบของโปรเจ็กต์
    • คลิกจำกัดคีย์เพื่ออัปเดตการตั้งค่าขั้นสูงและจำกัดการใช้คีย์ API โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการใช้ข้อจํากัดของคีย์ API

ข้อมูลเข้าสู่ระบบรหัสไคลเอ็นต์ OAuth

ในการตรวจสอบสิทธิ์ในฐานะผู้ใช้ปลายทางและเข้าถึงข้อมูลผู้ใช้ในแอป คุณต้องสร้างรหัสไคลเอ็นต์ OAuth 2.0 อย่างน้อย 1 รหัส รหัสไคลเอ็นต์ใช้เพื่อระบุแอปเดียวไปยังเซิร์ฟเวอร์ OAuth ของ Google หากแอปทำงานในหลายแพลตฟอร์ม คุณต้องสร้างรหัสไคลเอ็นต์แยกต่างหากสำหรับแต่ละแพลตฟอร์ม

เลือกประเภทแอปพลิเคชันเพื่อดูคำแนะนำเฉพาะเกี่ยวกับวิธีสร้างรหัสไคลเอ็นต์ OAuth ดังนี้

เว็บแอปพลิเคชัน

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > เว็บแอปพลิเคชัน
  4. ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. เพิ่ม URI ที่ได้รับอนุญาตซึ่งเกี่ยวข้องกับแอปของคุณ
    • แอปฝั่งไคลเอ็นต์ (JavaScript) - คลิกเพิ่ม URI ในส่วนต้นทาง JavaScript ที่ได้รับอนุญาต จากนั้นป้อน URI ที่จะใช้สำหรับคำขอของเบราว์เซอร์ แอตทริบิวต์นี้จะระบุโดเมนที่แอปพลิเคชันสามารถส่งคำขอ API ไปยังเซิร์ฟเวอร์ OAuth 2.0
    • แอปฝั่งเซิร์ฟเวอร์ (Java, Python และอื่นๆ) - ในส่วน URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต ให้คลิกเพิ่ม URI จากนั้น ป้อน URI ปลายทางที่เซิร์ฟเวอร์ OAuth 2.0 จะส่งการตอบกลับได้
  6. คลิกสร้าง หน้าจอที่ไคลเอ็นต์ OAuth สร้างขึ้นจะปรากฏขึ้น เพื่อแสดงรหัสไคลเอ็นต์ใหม่และรหัสลับไคลเอ็นต์

    จดรหัสไคลเอ็นต์ และจะไม่ใช้รหัสลับไคลเอ็นต์สำหรับเว็บแอปพลิเคชัน

  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วนรหัสไคลเอ็นต์ OAuth 2.0

Android

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > Android
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "ชื่อแพ็กเกจ" ให้ป้อนชื่อแพ็กเกจจากไฟล์ AndroidManifest.xml
  6. ในช่อง "ลายนิ้วมือของใบรับรอง SHA-1" ให้ป้อนลายนิ้วมือของใบรับรอง SHA-1 ที่สร้างขึ้น
  7. คลิกสร้าง หน้าจอที่ไคลเอ็นต์ OAuth สร้างขึ้นจะปรากฏขึ้น เพื่อแสดงรหัสไคลเอ็นต์ใหม่
  8. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

iOS

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > iOS
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสกลุ่ม" ให้ป้อนตัวระบุกลุ่มตามที่แสดงอยู่ในไฟล์ Info.plist ของแอป
  6. ไม่บังคับ: หากแอปปรากฏใน Apple App Store ให้ป้อน App Store ID
  7. ไม่บังคับ: ในช่อง "รหัสทีม" ให้ป้อนสตริงที่ไม่ซ้ำกันซึ่งมีอักขระ 10 ตัวที่ Apple สร้างขึ้นและมอบหมายให้กับทีมของคุณ
  8. คลิกสร้าง หน้าจอที่ไคลเอ็นต์ OAuth สร้างขึ้นจะปรากฏขึ้น เพื่อแสดงรหัสไคลเอ็นต์ใหม่และรหัสลับไคลเอ็นต์
  9. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

แอป Chrome

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > แอป Chrome
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสแอปพลิเคชัน" ให้ป้อนสตริงรหัสที่มี 32 อักขระที่ไม่ซ้ำกันของแอป คุณสามารถดูค่ารหัสนี้ได้ใน URL ของ Chrome เว็บสโตร์ของแอปและในหน้าแดชบอร์ดสำหรับนักพัฒนาซอฟต์แวร์ Chrome เว็บสโตร์
  6. คลิกสร้าง หน้าจอที่ไคลเอ็นต์ OAuth สร้างขึ้นจะปรากฏขึ้น เพื่อแสดงรหัสไคลเอ็นต์ใหม่และรหัสลับไคลเอ็นต์
  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

แอปบนเดสก์ท็อป

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > แอปบนเดสก์ท็อป
  4. ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง หน้าจอที่ไคลเอ็นต์ OAuth สร้างขึ้นจะปรากฏขึ้น เพื่อแสดงรหัสไคลเอ็นต์ใหม่และรหัสลับไคลเอ็นต์
  6. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วนรหัสไคลเอ็นต์ OAuth 2.0

TV และอุปกรณ์อินพุตที่จำกัด

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > ทีวีและอุปกรณ์อินพุตที่จำกัด
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง หน้าจอที่ไคลเอ็นต์ OAuth สร้างขึ้นจะปรากฏขึ้น เพื่อแสดงรหัสไคลเอ็นต์ใหม่และรหัสลับไคลเอ็นต์
  6. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

Universal Windows Platform (UWP)

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > Universal Windows Platform (UWP)
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสร้านค้า" ให้ป้อนค่ารหัส Microsoft Store ที่ไม่ซ้ำกันซึ่งมี 12 อักขระของแอป คุณจะพบรหัสนี้ใน URL ของ Microsoft Store ของแอปและในศูนย์พาร์ทเนอร์
  6. คลิกสร้าง หน้าจอที่ไคลเอ็นต์ OAuth สร้างขึ้นจะปรากฏขึ้น เพื่อแสดงรหัสไคลเอ็นต์ใหม่และรหัสลับไคลเอ็นต์
  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

ข้อมูลเข้าสู่ระบบบัญชีบริการ

บัญชีบริการเป็นบัญชีชนิดพิเศษที่แอปพลิเคชันใช้ ไม่ใช่บัญชีบุคคล คุณสามารถใช้บัญชีบริการเพื่อเข้าถึงข้อมูลหรือดำเนินการโดยใช้บัญชีโรบ็อต หรือเข้าถึงข้อมูลในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ได้ ดูข้อมูลเพิ่มเติมได้ที่การทำความเข้าใจบัญชีบริการ

สร้างบัญชีบริการ

คอนโซล Google Cloud

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. คลิกสร้างบัญชีบริการ
  3. กรอกรายละเอียดบัญชีบริการ แล้วคลิกสร้างและดำเนินการต่อ
  4. ไม่บังคับ: มอบหมายบทบาทให้บัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud โปรดดูรายละเอียดเพิ่มเติมที่การให้ เปลี่ยนแปลง และเพิกถอนสิทธิ์เข้าถึงทรัพยากร
  5. คลิกต่อไป
  6. ไม่บังคับ: ป้อนผู้ใช้หรือกลุ่มที่จัดการและดำเนินการต่างๆ ด้วยบัญชีบริการนี้ได้ โปรดดูรายละเอียดเพิ่มเติมที่การจัดการการแอบอ้างเป็นบัญชีบริการ
  7. คลิกเสร็จ จดอีเมลสำหรับบัญชีบริการ

gcloud CLI

  1. สร้างบัญชีบริการ:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. ไม่บังคับ: มอบหมายบทบาทให้บัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud โปรดดูรายละเอียดเพิ่มเติมที่การให้ เปลี่ยนแปลง และเพิกถอนสิทธิ์เข้าถึงทรัพยากร

มอบหมายบทบาทให้กับบัญชีบริการ

คุณต้องมอบหมายบทบาทที่กำหนดไว้ล่วงหน้าหรือที่กำหนดเองให้กับบัญชีบริการโดยบัญชีผู้ดูแลระบบขั้นสูง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > บัญชี > บทบาทผู้ดูแลระบบ

    ไปที่บทบาทผู้ดูแลระบบ

  2. ชี้ไปที่บทบาทที่ต้องการมอบหมาย แล้วคลิกมอบหมายผู้ดูแลระบบ

  3. คลิกกำหนดบัญชีบริการ

  4. ป้อนอีเมลของบัญชีบริการ

  5. คลิกเพิ่ม > มอบหมายบทบาท

สร้างข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ

คุณต้องรับข้อมูลเข้าสู่ระบบในรูปแบบคู่คีย์สาธารณะ/ส่วนตัว ข้อมูลเข้าสู่ระบบเหล่านี้ใช้โดยโค้ดของคุณเพื่อให้สิทธิ์การดำเนินการของบัญชีบริการภายในแอป

วิธีรับข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกคีย์ > เพิ่มคีย์ > สร้างคีย์ใหม่
  4. เลือก JSON แล้วคลิกสร้าง

    ระบบจะสร้างคู่คีย์สาธารณะ/ส่วนตัวใหม่และดาวน์โหลดลงในเครื่องของคุณเป็นไฟล์ใหม่ บันทึกไฟล์ JSON ที่ดาวน์โหลดเป็น credentials.json ในไดเรกทอรีการทำงาน ไฟล์นี้เป็นเพียงสำเนาเดียวของคีย์นี้ ดูข้อมูลเกี่ยวกับวิธีจัดเก็บคีย์อย่างปลอดภัยที่การจัดการคีย์ของบัญชีบริการ

  5. คลิกปิด

ไม่บังคับ: ตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการ

หากต้องการเรียกใช้ API ในนามของผู้ใช้ในองค์กร Google Workspace บัญชีบริการของคุณต้องได้รับการมอบสิทธิ์ทั่วทั้งโดเมนในคอนโซลผู้ดูแลระบบ Google Workspace โดยบัญชีผู้ดูแลระบบขั้นสูง ดูข้อมูลเพิ่มเติมได้ที่การมอบอำนาจทั่วโดเมนให้กับบัญชีบริการ

วิธีตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการมีดังนี้

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกแสดงการตั้งค่าขั้นสูง
  4. ในส่วน "การมอบสิทธิ์ทั่วทั้งโดเมน" ให้ค้นหา "รหัสไคลเอ็นต์" ของบัญชีบริการ คลิกคัดลอก เพื่อคัดลอกค่ารหัสไคลเอ็นต์ไปยังคลิปบอร์ด
  5. หากคุณมีสิทธิ์เข้าถึงบัญชี Google Workspace ที่เกี่ยวข้องในระดับผู้ดูแลระบบขั้นสูง ให้คลิก ดูคอนโซลผู้ดูแลระบบ Google Workspace จากนั้นลงชื่อเข้าใช้ด้วยบัญชีผู้ใช้ ของผู้ดูแลระบบขั้นสูง แล้วทำตามขั้นตอนต่อไปนี้

    หากคุณไม่มีสิทธิ์เข้าถึงบัญชี Google Workspace ที่เกี่ยวข้องในระดับผู้ดูแลระบบขั้นสูง โปรดติดต่อผู้ดูแลระบบขั้นสูงของบัญชีนั้น แล้วส่งรหัสไคลเอ็นต์และรายการขอบเขต OAuth ของบัญชีบริการให้ผู้ดูแลระบบ โดยทำตามขั้นตอนต่อไปนี้ในคอนโซลผู้ดูแลระบบ

    1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > ความปลอดภัย > การเข้าถึงและการควบคุมข้อมูล > การควบคุม API

      ไปที่การควบคุม API

    2. คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมน
    3. คลิกเพิ่มใหม่
    4. ในช่อง "รหัสไคลเอ็นต์" ให้วางรหัสไคลเอ็นต์ที่คุณคัดลอกไว้ก่อนหน้านี้
    5. ในช่อง "ขอบเขต OAuth" ให้ป้อนรายการขอบเขตที่คั่นด้วยคอมมาของขอบเขตที่แอปพลิเคชันของคุณต้องการ นี่คือขอบเขตชุดเดียวกับที่คุณกำหนดไว้เมื่อกำหนดค่าหน้าจอคำยินยอม OAuth
    6. คลิกให้สิทธิ์

ขั้นตอนถัดไป

คุณพร้อมที่จะพัฒนา Google Workspace แล้ว ตรวจสอบรายการผลิตภัณฑ์สำหรับนักพัฒนาซอฟต์แวร์ Google Workspace และวิธีค้นหาความช่วยเหลือ