憑證用於從 Google 授權伺服器取得存取權杖,讓應用程式可以呼叫 Google Workspace API。本指南說明如何選擇及設定應用程式需要的憑證。
有關本頁詞彙的定義,請參閱驗證和授權總覽。
選擇合適的存取憑證
必要的憑證取決於應用程式的類型、平台和存取方法。可用的憑證類型有三種:
| 用途 | 驗證方式 | 關於這種驗證方法 |
|---|---|---|
| 在應用程式中以匿名方式存取公開資料。 | API 金鑰 | 請先確認您要使用的 API 支援 API 金鑰,再使用這個驗證方法。 |
| 存取使用者資料,例如電子郵件地址或年齡。 | OAuth 用戶端 ID | 規定應用程式必須取得使用者的同意聲明,才能徵求同意聲明。 |
| 透過全網域委派功能,存取自有應用程式的資料,或代表 Google Workspace 或 Cloud Identity 使用者存取資源。 | 服務帳戶 | 應用程式以服務帳戶進行驗證時,即可存取服務帳戶有權存取的所有資源。 |
API 金鑰憑證
API 金鑰是一個長字串,包含大小寫字母、數字、底線和連字號,例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。這種驗證方法可以匿名存取公開資料,例如使用「網際網路上知道這個連結的網際網路使用者」共用設定共用的 Google Workspace 檔案。詳情請參閱「使用 API 金鑰」。
建立 API 金鑰的方法如下:
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「API 金鑰」。
- 系統隨即顯示新的 API 金鑰。
- 按一下「複製」圖示 來複製 API 金鑰,以便用於應用程式的程式碼中。您也可以在專案憑證的「API 金鑰」專區中找到 API 金鑰。
- 按一下「限制金鑰」即可更新進階設定,並限制 API 金鑰的使用。詳情請參閱「套用 API 金鑰限制」。
OAuth 用戶端 ID 憑證
如要以使用者身分進行驗證並在應用程式中存取使用者資料,您必須建立一或多個 OAuth 2.0 用戶端 ID。用戶端 ID 可用來向 Google 的 OAuth 伺服器識別單一應用程式。如果應用程式在多個平台上執行,就必須為每個平台建立不同的用戶端 ID。選擇您的應用程式類型,取得建立 OAuth 用戶端 ID 的具體操作說明:
網頁應用程式
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「網頁應用程式」。
- 在「Name」(名稱) 欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 新增與應用程式相關的授權 URI:
- 用戶端應用程式 (JavaScript):在「已授權的 JavaScript 來源」下方,按一下「新增 URI」。接著,輸入要用於瀏覽器要求的 URI。這會識別應用程式可將 API 要求傳送至 OAuth 2.0 伺服器的網域。
- 伺服器端應用程式 (Java、Python 等):在「已授權的重新導向 URI」下方,按一下「新增 URI」。接著輸入 OAuth 2.0 伺服器可將回應傳送至哪個端點 URI。
- 按一下「建立」,系統隨即會顯示 OAuth 用戶端建立的畫面,顯示您的新用戶端 ID 和用戶端密鑰。
記下用戶端 ID。用戶端密鑰不適用於網頁應用程式。
- 按一下「OK」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
Android
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「Android」。
- 在「名稱」欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「Package name」(套件名稱) 欄位中,輸入
AndroidManifest.xml檔案中的套件名稱。 - 在「SHA-1 憑證指紋」欄位中,輸入您產生的 SHA-1 憑證指紋。
- 按一下「建立」,畫面上會顯示 OAuth 用戶端建立的畫面,顯示您的新用戶端 ID。
- 按一下「OK」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
iOS
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「iOS」。
- 在「名稱」欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「Bundle ID」欄位中,輸入應用程式
Info.plist檔案中列出的軟體包 ID。 - 選用:如果您的應用程式已在 Apple App Store 上架,請輸入 App Store ID。
- 選用:在「團隊 ID」欄位中,輸入由 Apple 產生並指派給團隊的不重複字串 (共 10 個半形字元)。
- 按一下「建立」,系統隨即會顯示 OAuth 用戶端建立的畫面,顯示您的新用戶端 ID 和用戶端密鑰。
- 按一下「OK」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
Chrome 應用程式
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序按一下「應用程式類型」>「Chrome 應用程式」。
- 在「名稱」欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「應用程式 ID」欄位中,輸入應用程式由 32 個字元組成的專屬 ID 字串。您可以在應用程式的 Chrome 線上應用程式商店網址和 Chrome 線上應用程式商店開發人員資訊主頁中找到這個 ID 值。
- 按一下「建立」,系統隨即會顯示 OAuth 用戶端建立的畫面,顯示您的新用戶端 ID 和用戶端密鑰。
- 按一下「OK」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
電腦版應用程式
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「電腦版應用程式」。
- 在「Name」(名稱) 欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 按一下「建立」,系統隨即會顯示 OAuth 用戶端建立的畫面,顯示您的新用戶端 ID 和用戶端密鑰。
- 按一下「OK」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
電視和受限制的輸入裝置
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「電視和有限的輸入裝置」。
- 在「名稱」欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 按一下「建立」,系統隨即會顯示 OAuth 用戶端建立的畫面,顯示您的新用戶端 ID 和用戶端密鑰。
- 按一下「OK」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
通用 Windows 平台 (UWP)
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「API 和服務」>「憑證」。
- 依序按一下「建立憑證」>「OAuth 用戶端 ID」。
- 依序點選「應用程式類型」>「通用 Windows 平台 (UWP)」。
- 在「名稱」欄位中,輸入憑證名稱。這個名稱只會顯示在 Google Cloud 控制台中。
- 在「商店 ID」欄位中,輸入應用程式專屬的 12 個字元 Microsoft Store ID 值。您可以在應用程式的 Microsoft Store 網址和合作夥伴中心中找到這個 ID。
- 按一下「建立」,系統隨即會顯示 OAuth 用戶端建立的畫面,顯示您的新用戶端 ID 和用戶端密鑰。
- 按一下「OK」。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
服務帳戶憑證
服務帳戶是應用程式 (而非使用者) 使用的特殊帳戶。您可以使用服務帳戶存取機器人帳戶的資料或執行操作,或是代表 Google Workspace 或 Cloud Identity 使用者存取資料。詳情請參閱瞭解服務帳戶一文。建立服務帳戶
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「IAM 與管理」>「服務帳戶」。
- 按一下「建立服務帳戶」。
- 填寫服務帳戶詳細資料,然後按一下「建立並繼續」。
- 選用:為服務帳戶指派角色,即可授予 Google Cloud 專案資源的存取權。詳情請參閱授予、變更及撤銷資源的存取權。
- 按一下 [繼續]。
- 選用:輸入可透過這個服務帳戶管理及執行動作的使用者或群組。詳情請參閱管理服務帳戶模擬功能。
- 按一下 [完成]。記下服務帳戶的電子郵件地址。
將角色指派給服務帳戶
您必須使用超級管理員帳戶,將預先建立或自訂角色指派給服務帳戶。
在 Google 管理控制台中,依序點選「選單」圖示 >「帳戶」>「管理員角色」。
將滑鼠遊標移至要指派的角色,然後按一下「指派管理員」。
按一下「指派服務帳戶」。
輸入服務帳戶的電子郵件地址。
依序按一下「新增」>「指派角色」。
建立服務帳戶憑證
您必須以公開/私密金鑰組的形式取得憑證。程式碼會使用這些憑證來授權應用程式中的服務帳戶動作。如要取得服務帳戶的憑證:
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「IAM 與管理」>「服務帳戶」。
- 選取您的服務帳戶。
- 依序按一下「金鑰」>「新增金鑰」>「建立新的金鑰」。
- 選取「JSON」,然後按一下「Create」(建立)。
系統會產生一組新的公開/私密金鑰,並以新檔案的形式下載到您的電腦。將下載的 JSON 檔案儲存為
credentials.json在工作目錄中。這個檔案是該金鑰的唯一副本。如要瞭解如何安全儲存金鑰,請參閱「管理服務帳戶金鑰」。 - 按一下「關閉」。
選用:為服務帳戶設定全網域委派功能
如要代表 Google Workspace 機構中的使用者呼叫 API,您必須讓超級管理員帳戶在 Google Workspace 管理控制台中,將全網域授權委派權限授予您的服務帳戶。詳情請參閱「委派全網域授權給服務帳戶」。如何為服務帳戶設定全網域授權委派:
- 在 Google Cloud 控制台中,依序點選「選單」圖示 >「IAM 與管理」>「服務帳戶」。
- 選取您的服務帳戶。
- 按一下 [顯示進階設定]。
- 在「全網域委派」下方,找出服務帳戶的「用戶端 ID」。按一下「複製」,將用戶端 ID 值複製到剪貼簿。
如果您擁有相關 Google Workspace 帳戶的超級管理員存取權,請按一下「查看 Google Workspace 管理控制台」,然後使用超級管理員使用者帳戶登入,然後繼續完成以下步驟。
如果您沒有相關 Google Workspace 帳戶的超級管理員存取權,請與該帳戶的超級管理員聯絡,並將您服務帳戶的用戶端 ID 和 OAuth 範圍清單傳送給對方,以便對方完成管理控制台中的下列步驟。
- 在 Google 管理控制台中,依序點選「選單」圖示 >「安全性」>「存取權與資料控管」 >「API 控制項」。
- 按一下「管理全網域委派」。
- 按一下 [Add new] (新增)。
- 在「用戶端 ID」欄位中,貼上先前複製的用戶端 ID。
- 在「OAuth 範圍」欄位中,輸入應用程式所要求範圍的半形逗號分隔清單。這組範圍與您在設定 OAuth 同意畫面時定義的一組範圍相同。
- 按一下「授權」。
後續步驟
您現在可以在 Google Workspace 上開發應用程式了!查看 Google Workspace 開發人員產品清單和如何尋求協助。