建立存取憑證

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

憑證用於從 Google 的授權伺服器取得存取權杖,讓應用程式能呼叫 Google Workspace API。本指南說明如何選擇及設定應用程式需要的憑證。

如需瞭解本頁所列出的字詞定義,請參閱驗證和授權總覽

憑證類型

需要哪些憑證,取決於應用程式的資料類型、平台和存取方法。可用的憑證類型有三種:

  • API 金鑰 – 使用這個憑證即可匿名存取應用程式中的公開資料。

  • OAuth client ID」(OAuth 用戶端 ID):使用這個憑證來驗證使用者,並存取其資料。應用程式必須要求使用者取得及徵求同意。

  • Service account(服務帳戶) - 使用這個憑證以機器人服務帳戶進行驗證,或透過全網域委派代表 Google Workspace 或 Cloud Identity 使用者存取資源。

提示:請使用 Google Cloud 控制台中的「協助我選擇」選項,根據一系列問題將他們導向正確的憑證選擇。

API 金鑰憑證

API 金鑰是包含大小寫英文字母、數字、底線和連字號的長字串,例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。這種驗證方法可以匿名存取可公開存取的資料,例如「透過網際網路上知道這個連結的網際網路使用者」的 Google Workspace 檔案。詳情請參閱使用 API 金鑰

建立 API 金鑰的方法如下:

  1. 在 Google Cloud Console 中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證] > [API 金鑰]
  3. 畫面上會顯示新的 API 金鑰。
    • 按一下「複製」圖示 ,複製 API 金鑰,以便用於應用程式的程式碼中。您也可以在專案憑證的「API 金鑰」部分中找到 API 金鑰。
    • 按一下 [限制金鑰],即可更新進階設定並限制使用 API 金鑰。詳情請參閱套用 API 金鑰限制

OAuth 用戶端 ID 憑證

如要以使用者的身分進行驗證,並在應用程式中存取使用者資料,您必須建立一或多個 OAuth 2.0 用戶端 ID。用戶端 ID 可讓 Google 的 OAuth 伺服器識別單一應用程式。如果您的應用程式是在多個平台中運作,您必須為各個平台分別建立用戶端 ID。

如需建立 OAuth 用戶端 ID 的操作說明,請選擇您的應用程式類型

網頁應用程式

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證]、[OAuth 用戶端 ID]
  3. 依序按一下 [Application type] > [Web Application]
  4. 在「名稱」欄位中為憑證輸入名稱。這個名稱只會在 Google Cloud Console 中顯示。
  5. 新增與應用程式相關的授權 URI:
    • 用戶端應用程式 (JavaScript):在「授權的 JavaScript 來源」下方,按一下 [新增 URI]。然後輸入要用於瀏覽器要求的 URI。指定應用程式可傳送 API 要求至 OAuth 2.0 伺服器的網域。
    • 伺服器端應用程式 (Java、Python、.NET 等):在「授權重新導向 URI」下方,按一下「新增 URI」。接著輸入端點 URI,以便 OAuth 2.0 伺服器傳送回應。
  6. 按一下「建立」。畫面上會顯示 OAuth 用戶端建立的畫面,其中顯示新的用戶端 ID 和用戶端密鑰。
  7. 記下用戶端 ID。網頁應用程式未用於用戶端密鑰。
  8. 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。
  9. 選用:如果您是為了建立 JavaScript 快速入門導覽課程的需要建立憑證,還必須產生 API 金鑰

Android

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證]、[OAuth 用戶端 ID]
  3. 依序按一下 [應用程式類型] [Android]
  4. 在「名稱」欄位中為憑證輸入名稱。這個名稱只會在 Google Cloud Console 中顯示。
  5. 在「套件名稱」欄位中,輸入 AndroidManifest.xml 檔案中的套件名稱。
  6. 在「SHA-1 憑證指紋」欄位中,輸入產生的 SHA-1 憑證指紋
  7. 按一下「建立」。畫面上會顯示 OAuth 用戶端建立的畫面,其中顯示新的用戶端 ID。
  8. 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

iOS

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證]、[OAuth 用戶端 ID]
  3. 依序按一下 [應用程式類型] [iOS]
  4. 在「名稱」欄位中為憑證輸入名稱。這個名稱只會在 Google Cloud Console 中顯示。
  5. 在「軟體包 ID」欄位中,輸入應用程式 Info.plist 檔案中列出的套件 ID。
  6. 選用:如果您的應用程式出現在 Apple App Store 中,請輸入 App Store ID。
  7. 選用:在「團隊 ID」欄位中,輸入由 Apple 產生並指派給您團隊的專屬 10 個字元字串。
  8. 按一下「建立」。畫面上會顯示 OAuth 用戶端建立的畫面,其中顯示新的用戶端 ID 和用戶端密鑰。
  9. 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

Chrome 應用程式

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證]、[OAuth 用戶端 ID]
  3. 依序按一下 [應用程式類型] [Chrome 應用程式]
  4. 在「名稱」欄位中為憑證輸入名稱。這個名稱只會在 Google Cloud Console 中顯示。
  5. 在「應用程式 ID」欄位中,輸入應用程式專屬的 32 個字元 ID 字串。您可以在應用程式的 Chrome 線上應用程式商店網址和 Chrome 線上應用程式商店開發人員資訊主頁中找到這組 ID 值。
  6. 按一下「建立」。畫面上會顯示 OAuth 用戶端建立的畫面,其中顯示新的用戶端 ID 和用戶端密鑰。
  7. 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

電腦版應用程式

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證]、[OAuth 用戶端 ID]
  3. 依序按一下 [應用程式類型] > [電腦版應用程式]
  4. 在 [名稱] 欄位中,輸入憑證名稱。這個名稱只會在 Google Cloud Console 中顯示。
  5. 按一下「建立」。畫面上會顯示 OAuth 用戶端建立的畫面,其中顯示新的用戶端 ID 和用戶端密鑰。
  6. 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

電視和有限輸入裝置

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證]、[OAuth 用戶端 ID]
  3. 按一下 [應用程式類型] [TV] 和 [有限的輸入裝置]
  4. 在「名稱」欄位中為憑證輸入名稱。這個名稱只會在 Google Cloud Console 中顯示。
  5. 按一下「建立」。畫面上會顯示 OAuth 用戶端建立的畫面,其中顯示新的用戶端 ID 和用戶端密鑰。
  6. 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

通用 Windows 平台 (UWP)

  1. 在 Google Cloud 控制台中,依序點選「選單」圖示 > [API 和服務]

    前往憑證

  2. 按一下 [建立憑證]、[OAuth 用戶端 ID]
  3. 依序按一下 [Application type] > [Universal Windows Platform (UWP)]
  4. 在「名稱」欄位中為憑證輸入名稱。這個名稱只會在 Google Cloud Console 中顯示。
  5. 在「商店 ID」欄位中,輸入應用程式專屬的 12 個字元 Microsoft Store ID 值。你可以在應用程式的 Microsoft Store 網址及合作夥伴中心找到這個 ID。
  6. 按一下「建立」。畫面上會顯示 OAuth 用戶端建立的畫面,其中顯示新的用戶端 ID 和用戶端密鑰。
  7. 按一下「OK」(確定)。新建立的憑證會顯示在「OAuth 2.0 用戶端 ID」下方。

服務帳戶憑證

服務帳戶是一種應用程式所使用的特殊帳戶類型,而非使用者。您可以使用服務帳戶存取資料或利用機器人帳戶執行動作,或代表 Google Workspace 或 Cloud Identity 使用者存取資料。詳情請參閱瞭解服務帳戶一文。

建立服務帳戶

  1. 在 Google Cloud Console 中,依序點選「選單」圖示 > [IAM 與管理員] > [服務帳戶]

    前往「服務帳戶」

  2. 按一下「建立服務帳戶」
  3. 填寫服務帳戶詳細資料,然後按一下 [建立並繼續]
  4. 選用:為服務帳戶指派角色,將存取權授予 Google Cloud 專案資源。詳情請參閱授予、變更及撤銷資源的存取權
  5. 按一下「繼續」
  6. 選用:輸入可透過這個服務帳戶管理及執行動作的使用者或群組。詳情請參閱管理服務帳戶模擬功能
  7. 點選「完成」

為服務帳戶建立憑證

您必須取得公開/私密金鑰組的憑證。您的憑證會使用這些憑證,以便在應用程式中授權服務帳戶動作。

如何取得服務帳戶的憑證:

  1. 在 Google Cloud Console 中,依序點選「選單」圖示 > [IAM 與管理員] > [服務帳戶]

    前往「服務帳戶」

  2. 選取您的服務帳戶。
  3. 依序點選 [金鑰] > [新增金鑰] > [建立新的金鑰]
  4. 選取「JSON」,然後按一下「Create」(建立)

    系統會產生新的公開/私密金鑰組,並以新檔案的形式下載至您的電腦。這個檔案是這組金鑰的唯一副本。如要瞭解如何儲存金鑰,請參閱「管理服務帳戶金鑰」。

  5. 按一下「關閉」

選用:為服務帳戶設定全網域委派功能

如要代表 Google Workspace 機構中的使用者呼叫 API,您的服務帳戶必須在 Google Workspace 管理控制台中將全網域授權的權限授予服務帳戶。詳情請參閱將全網域授權委派給服務帳戶

如何設定服務帳戶的全網域授權委派:

  1. 在 Google Cloud Console 中,依序點選「選單」圖示 > [IAM 與管理員] > [服務帳戶]

    前往「服務帳戶」

  2. 選取您的服務帳戶。
  3. 按一下 [顯示進階設定]
  4. 在「全網域委派」下方,找到你的服務帳戶。「用戶端 ID」。按一下「複製」圖示 ,將用戶端 ID 值複製到剪貼簿。

如果您擁有相關 Google Workspace 帳戶的超級管理員權限,請按一下「查看 Google Workspace 管理控制台」,然後使用超級管理員使用者帳戶登入,並繼續按照下列步驟操作。

如果您不具備相關 Google Workspace 帳戶的超級管理員存取權,請與該帳戶的超級管理員聯絡,並傳送服務帳戶的用戶端 ID 和 OAuth 範圍清單,以便他們在管理控制台中完成下列步驟。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 > [安全性] > [存取權和資料控管] > API 控制項

    前往 API 控制項

  2. 按一下 [管理全網域委派設定]
  3. 按一下 [Add new] (新增)
  4. 在「用戶端 ID」欄位中,貼上您在步驟 5 複製的用戶端 ID。
  5. 在「OAuth 範圍」欄位中,輸入應用程式需要的範圍清單 (以半形逗號分隔)。這與您在設定 OAuth 同意畫面時定義的範圍相同。
  6. 按一下 [授權]。

後續步驟

您已準備好在 Google Workspace 上進行開發作業!參閱 Google Workspace 開發人員產品清單及如何尋求協助