สร้างข้อมูลรับรองการเข้าถึง

ระบบจะใช้ข้อมูลเข้าสู่ระบบเพื่อรับโทเค็นการเข้าถึงจากเซิร์ฟเวอร์การให้สิทธิ์ของ Google เพื่อให้แอปเรียกใช้ Google Workspace API ได้ คู่มือนี้จะอธิบายวิธีเลือกและตั้งค่าข้อมูลเข้าสู่ระบบที่แอปของคุณต้องใช้

ดูคำจำกัดความของคำศัพท์ที่พบในหน้านี้ได้ที่ภาพรวมการตรวจสอบสิทธิ์และการให้สิทธิ์

เลือกข้อมูลเข้าสู่ระบบที่เหมาะกับคุณ

ข้อมูลเข้าสู่ระบบที่จําเป็นจะขึ้นอยู่กับประเภทข้อมูล แพลตฟอร์ม และวิธีการเข้าถึงของแอป โดยข้อมูลเข้าสู่ระบบมี 3 ประเภทดังนี้

กรณีการใช้งาน วิธีการตรวจสอบสิทธิ์ เกี่ยวกับวิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลที่เผยแพร่ต่อสาธารณะแบบไม่ระบุตัวตนในแอป คีย์ API ตรวจสอบว่า API ที่คุณต้องการใช้รองรับคีย์ API ก่อนใช้วิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลผู้ใช้ เช่น อีเมลหรืออายุ รหัสไคลเอ็นต์ OAuth กําหนดให้แอปของคุณขอและได้รับความยินยอมจากผู้ใช้
เข้าถึงข้อมูลที่เป็นของแอปพลิเคชันของคุณเองหรือเข้าถึงทรัพยากรในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ผ่านการมอบสิทธิ์ทั่วทั้งโดเมน บัญชีบริการ เมื่อแอปตรวจสอบสิทธิ์เป็นบัญชีบริการ แอปจะมีสิทธิ์เข้าถึงทรัพยากรทั้งหมดที่บัญชีบริการมีสิทธิ์เข้าถึง

ข้อมูลเข้าสู่ระบบคีย์ API

คีย์ API คือสตริงขนาดยาวที่มีอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข ขีดล่าง และขีดกลาง เช่น AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe วิธีการตรวจสอบสิทธิ์นี้ใช้เพื่อเข้าถึงข้อมูลแบบไม่ระบุตัวตนซึ่งพร้อมใช้งานแบบสาธารณะ เช่น ไฟล์ Google Workspace ที่แชร์โดยใช้การตั้งค่าการแชร์ "ทุกคนในอินเทอร์เน็ตที่มีลิงก์นี้" ดูรายละเอียดเพิ่มเติมได้ที่การใช้คีย์ API

วิธีสร้างคีย์ API

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > คีย์ API
  3. คีย์ API ใหม่จะปรากฏขึ้น
    • คลิกคัดลอก เพื่อคัดลอกคีย์ API ไปใช้ในโค้ดของแอป หรือจะดูคีย์ API ในส่วน "คีย์ API" ของข้อมูลเข้าสู่ระบบของโปรเจ็กต์ก็ได้
    • คลิกจำกัดคีย์เพื่ออัปเดตการตั้งค่าขั้นสูงและจำกัดการใช้คีย์ API ดูรายละเอียดเพิ่มเติมได้ที่การใช้ข้อจำกัดของคีย์ API

ข้อมูลเข้าสู่ระบบรหัสไคลเอ็นต์ OAuth

หากต้องการตรวจสอบสิทธิ์ผู้ใช้ปลายทางและเข้าถึงข้อมูลผู้ใช้ในแอป คุณต้องสร้างรหัสไคลเอ็นต์ OAuth 2.0 อย่างน้อย 1 รายการ รหัสไคลเอ็นต์ใช้เพื่อระบุแอปเดี่ยวไปยังเซิร์ฟเวอร์ OAuth ของ Google หากแอปทำงานบนหลายแพลตฟอร์ม คุณจะต้องสร้างรหัสไคลเอ็นต์แยกต่างหากสำหรับแต่ละแพลตฟอร์ม

เลือกประเภทแอปพลิเคชันเพื่อดูคำแนะนำเฉพาะเกี่ยวกับวิธีสร้างรหัสไคลเอ็นต์ OAuth

เว็บแอปพลิเคชัน

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > เว็บแอปพลิเคชัน
  4. พิมพ์ชื่อของข้อมูลเข้าสู่ระบบในช่องชื่อ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. เพิ่ม URI ที่ได้รับอนุญาตที่เกี่ยวข้องกับแอปของคุณ
    • แอปฝั่งไคลเอ็นต์ (JavaScript) - ในส่วนต้นทาง JavaScript ที่ได้รับอนุญาต ให้คลิกเพิ่ม URI จากนั้นป้อน URI เพื่อใช้สำหรับคำขอของเบราว์เซอร์ ซึ่งจะระบุโดเมนที่แอปพลิเคชันสามารถส่งคําขอ API ไปยังเซิร์ฟเวอร์ OAuth 2.0 ได้
    • แอปฝั่งเซิร์ฟเวอร์ (Java, Python และอื่นๆ) - คลิกเพิ่ม URI ในส่วน URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต จากนั้นป้อน URI ปลายทางที่เซิร์ฟเวอร์ OAuth 2.0 สามารถส่งการตอบกลับได้
  6. คลิกสร้าง หน้าจอ "สร้างไคลเอ็นต์ OAuth แล้ว" จะปรากฏขึ้นพร้อมแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่

    จดรหัสไคลเอ็นต์ไว้ รหัสลับไคลเอ็นต์ไม่ได้ใช้สําหรับเว็บแอปพลิเคชัน

  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วนรหัสไคลเอ็นต์ OAuth 2.0

Android

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > Android
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "ชื่อแพ็กเกจ" ให้ป้อนชื่อแพ็กเกจจากไฟล์ AndroidManifest.xml
  6. ในช่อง "ลายนิ้วมือใบรับรอง SHA-1" ให้ป้อนลายนิ้วมือใบรับรอง SHA-1 ที่สร้างขึ้น
  7. คลิกสร้าง หน้าจอ "สร้างไคลเอ็นต์ OAuth แล้ว" จะปรากฏขึ้นพร้อมแสดงรหัสไคลเอ็นต์ใหม่
  8. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

iOS

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > iOS
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสกลุ่ม" ให้ป้อนรหัสกลุ่มตามที่แสดงในไฟล์ Info.plist ของแอป
  6. ไม่บังคับ: หากแอปปรากฏใน Apple App Store ให้ป้อนรหัส App Store
  7. ไม่บังคับ: ในช่อง "รหัสทีม" ให้ป้อนสตริงแบบ 10 อักขระที่ไม่ซ้ำกันซึ่งสร้างโดย Apple และกำหนดให้กับทีมของคุณ
  8. คลิกสร้าง หน้าจอ "สร้างไคลเอ็นต์ OAuth แล้ว" จะปรากฏขึ้นพร้อมแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  9. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

แอป Chrome

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > แอป Chrome
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสแอปพลิเคชัน" ให้ป้อนสตริงรหัสยาว 32 อักขระที่ไม่ซ้ำกันของแอป คุณสามารถดูค่ารหัสนี้ได้ใน URL ของ Chrome เว็บสโตร์ของแอปและในหน้าแดชบอร์ดสำหรับนักพัฒนาซอฟต์แวร์ Chrome เว็บสโตร์
  6. คลิกสร้าง หน้าจอ "สร้างไคลเอ็นต์ OAuth แล้ว" จะปรากฏขึ้นพร้อมแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

แอปบนเดสก์ท็อป

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > แอปเดสก์ท็อป
  4. พิมพ์ชื่อของข้อมูลเข้าสู่ระบบในช่องชื่อ ชื่อนี้จะแสดงเฉพาะในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง หน้าจอ "สร้างไคลเอ็นต์ OAuth แล้ว" จะปรากฏขึ้นพร้อมแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  6. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วนรหัสไคลเอ็นต์ OAuth 2.0

ทีวีและอุปกรณ์อินพุตที่จำกัด

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > ทีวีและอุปกรณ์อินพุตแบบจำกัด
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง หน้าจอ "สร้างไคลเอ็นต์ OAuth แล้ว" จะปรากฏขึ้นพร้อมแสดงรหัสไคลเอ็นต์และรหัสลับไคลเอ็นต์ใหม่
  6. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

Universal Windows Platform (UWP)

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  3. คลิกประเภทแอปพลิเคชัน > แพลตฟอร์ม Universal Windows (UWP)
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสร้านค้า" ให้ป้อนค่ารหัส Microsoft Store แบบ 12 อักขระที่ไม่ซ้ำกันของแอป คุณจะพบรหัสนี้ใน URL ของ Microsoft Store ของแอปและใน Partner Center
  6. คลิกสร้าง หน้าจอที่สร้างไคลเอ็นต์ OAuth จะปรากฏขึ้น ซึ่งจะแสดงรหัสไคลเอ็นต์ใหม่และรหัสลับไคลเอ็นต์ของคุณ
  7. คลิกตกลง ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

ข้อมูลเข้าสู่ระบบบัญชีบริการ

บัญชีบริการคือบัญชีชนิดพิเศษที่แอปพลิเคชันใช้ ไม่ใช่บุคคล คุณสามารถใช้บัญชีบริการเพื่อเข้าถึงข้อมูลหรือดําเนินการต่างๆ ด้วยบัญชีโรบ็อต หรือเพื่อเข้าถึงข้อมูลในนามของผู้ใช้ Google Workspace หรือ Cloud Identity โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการทำความเข้าใจบัญชีบริการ

สร้างบัญชีบริการ

คอนโซล Google Cloud

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. คลิกสร้างบัญชีบริการ
  3. กรอกรายละเอียดบัญชีบริการ แล้วคลิกสร้างและต่อไป
  4. ไม่บังคับ: มอบหมายบทบาทให้กับบัญชีบริการเพื่อมอบสิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud ดูรายละเอียดเพิ่มเติมได้ที่การให้ เปลี่ยน และเพิกถอนสิทธิ์เข้าถึงทรัพยากร
  5. คลิกต่อไป
  6. ไม่บังคับ: ป้อนผู้ใช้หรือกลุ่มที่จัดการและดําเนินการกับบัญชีบริการนี้ได้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการจัดการการแอบอ้างเป็นบัญชีบริการ
  7. คลิกเสร็จสิ้น จดอีเมลสำหรับบัญชีบริการ

gcloud CLI

  1. สร้างบัญชีบริการ โดยทำดังนี้ 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --display-name="SERVICE_ACCOUNT_NAME"
  2. ไม่บังคับ: มอบหมายบทบาทให้กับบัญชีบริการเพื่อมอบสิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการให้ การเปลี่ยนแปลง และการเพิกถอนสิทธิ์เข้าถึงทรัพยากร

มอบหมายบทบาทให้กับบัญชีบริการ

คุณต้องมอบหมายบทบาทที่สร้างไว้ล่วงหน้าหรือกำหนดเองให้กับบัญชีบริการด้วยบัญชีผู้ดูแลระบบขั้นสูง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > บัญชี > บทบาทผู้ดูแลระบบ

    ไปที่บทบาทของผู้ดูแลระบบ

  2. ชี้ไปที่บทบาทที่ต้องการมอบหมาย แล้วคลิกมอบหมายผู้ดูแลระบบ

  3. คลิกมอบหมายบัญชีบริการ

  4. ป้อนอีเมลของบัญชีบริการ

  5. คลิกเพิ่ม > มอบหมายบทบาท

สร้างข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ

คุณจะต้องขอรับข้อมูลเข้าสู่ระบบในรูปแบบคู่คีย์สาธารณะ/ส่วนตัว โค้ดจะใช้ข้อมูลเข้าสู่ระบบเหล่านี้เพื่อให้สิทธิ์การดำเนินการของบัญชีบริการภายในแอป

วิธีรับข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกคีย์ > เพิ่มคีย์ > สร้างคีย์ใหม่
  4. เลือก JSON แล้วคลิกสร้าง

    ระบบจะสร้างคู่คีย์สาธารณะ/ส่วนตัวใหม่และดาวน์โหลดลงในเครื่องของคุณเป็นไฟล์ใหม่ บันทึกไฟล์ JSON ที่ดาวน์โหลดเป็น credentials.json ในไดเรกทอรีการทำงาน ไฟล์นี้เป็นสำเนาเดียวของคีย์นี้ ดูข้อมูลเกี่ยวกับวิธีจัดเก็บคีย์ให้ปลอดภัยที่หัวข้อการจัดการคีย์ของบัญชีบริการ

  5. คลิกปิด

ไม่บังคับ: ตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการ

หากต้องการเรียกใช้ API ในนามของผู้ใช้ในองค์กร Google Workspace บัญชีบริการของคุณต้องได้รับสิทธิ์ทั่วทั้งโดเมนจากบัญชีผู้ดูแลระบบขั้นสูงในคอนโซลผู้ดูแลระบบของ Google Workspace ดูข้อมูลเพิ่มเติมได้ที่การมอบอำนาจทั่วโดเมนให้กับบัญชีบริการ

วิธีตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการ

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > IAM และผู้ดูแลระบบ > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกแสดงการตั้งค่าขั้นสูง
  4. ค้นหา "รหัสไคลเอ็นต์" ของบัญชีบริการในส่วน "การมอบสิทธิ์ทั่วทั้งโดเมน" คลิกคัดลอก เพื่อคัดลอกค่ารหัสไคลเอ็นต์ไปยังคลิปบอร์ด

  5. หากคุณมีสิทธิ์เข้าถึงระดับผู้ดูแลระบบขั้นสูงในบัญชี Google Workspace ที่เกี่ยวข้อง ให้คลิกดูคอนโซลผู้ดูแลระบบ Google Workspace จากนั้นลงชื่อเข้าใช้ด้วยบัญชีผู้ใช้ระดับผู้ดูแลระบบขั้นสูง แล้วทำตามขั้นตอนเหล่านี้ต่อ

    หากคุณไม่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบขั้นสูงในบัญชี Google Workspace ที่เกี่ยวข้อง ให้ติดต่อผู้ดูแลระบบขั้นสูงของบัญชีดังกล่าวและส่งรหัสไคลเอ็นต์ของบัญชีบริการและรายการขอบเขต OAuth ไปให้เพื่อให้ดำเนินการตามขั้นตอนต่อไปนี้ในคอนโซลผู้ดูแลระบบ

    1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > ความปลอดภัย > การเข้าถึงและการควบคุมข้อมูล > การควบคุม API

      ไปที่การควบคุม API

    2. คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมน
    3. คลิกเพิ่มใหม่
    4. ในช่อง "รหัสไคลเอ็นต์" ให้วางรหัสไคลเอ็นต์ที่คัดลอกไว้ก่อนหน้านี้
    5. ในช่อง "ขอบเขต OAuth" ให้ป้อนรายการขอบเขตที่แอปพลิเคชันต้องใช้ซึ่งคั่นด้วยคอมมา ซึ่งเป็นชุดขอบเขตเดียวกับที่คุณกำหนดไว้เมื่อกำหนดค่าหน้าจอขอความยินยอม OAuth
    6. คลิกให้สิทธิ์

ขั้นตอนถัดไป

คุณพร้อมที่จะพัฒนาใน Google Workspace แล้ว โปรดตรวจสอบรายการผลิตภัณฑ์สำหรับนักพัฒนาแอป Google Workspace และวิธีค้นหาความช่วยเหลือ