L'API Admin Settings consente agli amministratori dei domini Google Workspace di recuperare e modificare le impostazioni dei propri domini sotto forma di feed dell'API Google Data.
Queste impostazioni del dominio includono molte delle funzionalità disponibili nella Console di amministrazione Google Workspace. Alcuni esempi di utilizzi di questa API includono la creazione di un pannello di controllo personalizzato o l'integrazione dei domini Google Workspace in un ambiente precedente esistente.
L'API Admin Settings implementa il protocollo API di dati di Google. L'API di dati di Google è conforme al modello di pubblicazione e modifica Atom Publishing Protocol (AtomPub). Le richieste HTTP AtomPub utilizzano l'approccio di progettazione RESTful (Representational Set Transfer) per i servizi web. Per ulteriori informazioni, consulta la Guida per gli sviluppatori di dati di Google.
Pubblico
Questo documento è rivolto agli sviluppatori che vogliono scrivere applicazioni client in grado di modificare e recuperare informazioni sui domini Google Workspace. Fornisce esempi di interazioni di base dell'API Admin Settings utilizzando XML e HTTP non elaborati.
In questo documento si presuppone che tu conosca le idee generali alla base del protocollo dell'API di dati di Google e che tu abbia familiarità con la Console di amministrazione Google Workspace. Per ulteriori informazioni sulla Console di amministrazione, vedi Utilizzare la Console di amministrazione.
Per iniziare
Creazione di un account
L'API Admin Settings è abilitata per gli account Google Workspace. Registrati per creare un account Google Workspace a scopo di test. Il servizio Impostazioni amministratore utilizza Account Google, quindi se hai già un account in un dominio Google Workspace, non devi fare altro.
Informazioni sui tipi di feed dell'API Admin Settings
L'API Admin Settings consente di gestire le seguenti categorie di impostazioni dominio:
- Impostazioni Single Sign-On
Il servizio Single Sign-On (SSO) basato su SAML consente agli utenti di utilizzare gli stessi dati di accesso e la stessa password sia per i servizi ospitati di Google Workspace sia per gli altri servizi ospitati all'interno della tua organizzazione. In particolare, quando si utilizza SSO, un'applicazione web ospitata, come Google Workspace, reindirizza gli utenti al provider di identità della tua organizzazione per l'autenticazione degli utenti quando eseguono l'accesso. Per informazioni dettagliate, vedi Informazioni sull'accesso SSO basato su SAML per Google Workspace.
La configurazione del servizio SSO prevede l'inserimento delle informazioni necessarie al servizio Google Workspace per comunicare con il provider di identità che archivia le credenziali degli utenti informazioni di accesso, nonché per configurare i link a cui indirizzare gli utenti per effettuare l'accesso, uscire e modificare le loro password. L'API Admin Settings ti consente di aggiornare e recuperare queste impostazioni in modo programmatico. Google usa la chiave pubblica generata per verificare questa richiesta SSO con il tuo provider di identità e che la risposta SAML della chiave privata non sia stata modificata durante la trasmissione di rete.
Per un breve riepilogo specifico dell'utilizzo delle impostazioni SSO per l'API, recupera il certificato di chiave pubblica dal tuo provider di identità, registra la chiave pubblica con Google e configura le impostazioni delle query SSO basate su SAML. Per i messaggi di errore, vedi Risoluzione dei problemi relativi all'accesso SSO:- Genera le tue chiavi: con il tuo provider di identità, genera un set di chiavi pubbliche e private utilizzando gli algoritmi DSA o RSA. La chiave pubblica è contenuta in un certificato in formato X.509. Per saperne di più sulle chiavi di firma Single Sign-On basate su SAML, consulta l'articolo Generazione di chiavi e certificati per il servizio Single Sign-On di Google Workspace.
- Registrati con Google: utilizza le impostazioni Single Sign-On dell'API Admin Settings per registrare il certificato di chiave pubblica con Google.
- Configura le impostazioni SSO: utilizza le impostazioni Single Sign-On dell'API Admin Settings per configurare le impostazioni utilizzate per la comunicazione con i server del provider di identità del dominio.
- Impostazioni gateway e routing
Questo feed consente agli amministratori di dominio di controllare il routing delle email per i loro domini.
Le operazioni di routing della posta elettronica consentono agli amministratori di specificare le impostazioni di routing della posta a livello di dominio. Questa funzionalità è simile alla funzionalità di routing dell'email delle impostazioni di Gmail della Console di amministrazione. Per ulteriori informazioni, vedi Routing email e Configurazione della doppia consegna della funzionalità di routing dell'email.
Esempio di richiesta e risposta XML dell'API Admin Settings
Questo documento fornisce esempi di codice di richieste e risposte API delle impostazioni di amministrazione di base che utilizzano XML e HTTP non elaborati. Questo esempio di lingua predefinita del dominio mostra la sintassi completa XML e HTTP per il corpo di una voce di richiesta e risposta, comune a ogni operazione:
Per modificare l'impostazione del gateway email in uscita del dominio, invia un PUT
HTTP all'URL del feed del gateway:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway
La lingua predefinita del dominio PUT
per la richiesta AtomPub entry
XML è:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom'
xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</atom:entry>
Ad eccezione delle proprietà e dei valori specifici dell'operazione, gli elementi atom:property
rappresentano una singola coppia chiave-valore contenente informazioni su una proprietà che vuoi recuperare o aggiornare. Sono comuni a tutti gli corpi delle richieste dell'API Admin Settings.
L'elemento entry
della risposta in lingua predefinita del dominio restituisce le proprietà smartHost
e smtpMode
insieme alla sintassi XML comune a tutti i corpi di risposta dell'API Admin Settings:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<id>https://apps-apis.google.com/a/feeds/domain/2.0/domainName/email/gateway</id>
<updated>2008-12-17T23:59:23.887Z</updated>
<link rel='self' type='application/atom+xml' href='https://apps-apis.google.com/a/feeds/domain/
2.0/domainName/email/gateway'/>
<link rel='edit' type='application/atom+xml' href='https://apps-apis.google.com/a/feeds/domain/
2.0/domainName/email/gateway'/>
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</entry>
Gestione delle impostazioni Single Sign-On
La funzionalità Single Sign-On (SSO) di Google Workspace consente agli utenti di accedere a più servizi senza dover inserire dati di accesso e password una sola volta. Questa password viene archiviata dal provider di identità del dominio, non da Google Workspace. Per ulteriori informazioni, consulta la pagina SSO del Centro assistenza. Le seguenti sezioni mostrano il formato XML utilizzato per le impostazioni Single Sign-On.
Recupero delle impostazioni Single Sign-On
Per recuperare le impostazioni Single Sign-On, invia un GET
HTTP all'URL del feed generale SSO e includi un'intestazione Authorization
come descritto in Autenticazione nel servizio Impostazioni amministratore. Per i messaggi di errore, vedi Risoluzione dei problemi relativi all'accesso SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/general
Questa operazione non ha parametri nel corpo della richiesta.
Una risposta corretta restituisce un codice di stato HTTP 200 OK
, insieme a un feed AtomPub con le impostazioni SSO del dominio.
Il file XML della risposta GET restituisce le proprietà samlSignonUri
, samlLogoutUri
, changePasswordUri
, enableSSO
, ssoWhitelist
e useDomainSpecificIssuer
:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon'/>
...
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout'/>
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword'/>
<apps:property name='enableSSO' value='true'/>
<apps:property name='ssoWhitelist' value='CIDR formatted IP address'/>
<apps:property name='useDomainSpecificIssuer' value='false'/>
</entry>
Le proprietà includono:
- samlSignonUri
- L'URL del provider di identità a cui Google Workspace invia la richiesta SAML per l'autenticazione utente.
- samlLogoutUri
- L'indirizzo a cui verranno indirizzati gli utenti quando si disconnettono dall'applicazione web.
- changePasswordUri
- L'indirizzo a cui verranno inviati gli utenti quando vorranno cambiare la password SSO per l'applicazione web.
- enableSSO
- Abilita l'accesso SSO basato su SAML per questo dominio. Se hai già configurato le impostazioni SSO e successivamente hai impostato
enableSSO
suenableSSO=false
, le impostazioni inserite in precedenza vengono comunque salvate. - ssoWhitelist
- Una ssoWhitelist è un indirizzo IP per la maschera di rete nel formato CIDR (Classless Inter-Domain Routing). ssoWhitelist determina quali utenti accedono tramite SSO e quali accedono utilizzando la pagina di autenticazione dell'account Google Workspace. Se non viene specificata alcuna maschera, tutti gli utenti accederanno utilizzando SSO. Per ulteriori informazioni, consulta la sezione Come funzionano le maschere di rete.
- useDomainSpecificIssuer
- Nella richiesta SAML al provider di identità è possibile utilizzare un emittente specifico del dominio. Sebbene non sia necessaria per la maggior parte delle implementazioni SSO, questa funzionalità è utile nelle grandi aziende che utilizzano un unico provider di identità per autenticare un'intera organizzazione con più sottodomini. L'assegnazione all'emittente del dominio specifico determina il sottodominio da associare alla richiesta. Per ulteriori informazioni, vedi Come funziona l'elemento Issuer nella richiesta SAML?
Se per qualche motivo la richiesta non va a buon fine, viene restituito un codice di stato diverso. Per ulteriori informazioni sui codici di stato delle API di dati di Google, consulta Codici di stato HTTP.
Aggiornamento delle impostazioni Single Sign-On
Per aggiornare le impostazioni SSO di un dominio, devi prima recuperare le impostazioni SSO utilizzando l'operazione Recupero delle impostazioni Single Sign-On, modificarle e quindi invia una richiesta PUT
all'URL del feed SSO. Assicurati che il valore <id>
nella voce aggiornata corrisponda esattamente al <id>
della voce esistente. Includi un'intestazione Authorization
come descritto in Autenticazione nel servizio API Admin Settings. Per i messaggi di errore, vedi Risoluzione dei problemi relativi all'accesso SSO.
Durante l'aggiornamento delle impostazioni Single Sign-On, invia un HTTP PUT all'URL del feed generale SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/general
Il corpo XML della richiesta PUT
è:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
<apps:property name='enableSSO' value='false' />
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon' />
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout' />
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword' />
<apps:property name='ssoWhitelist' value='127.0.0.1/32' />
<apps:property name='useDomainSpecificIssuer' value='false'/>
</atom:entry>
Una risposta corretta restituisce un codice di stato HTTP 200 OK
, insieme a un feed AtomPub con le impostazioni SSO.
Il file XML della risposta PUT
è:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='samlSignonUri' value='http://www.example.com/sso/signon'/>
<apps:property name='samlLogoutUri' value='http://www.example.com/sso/logout'/>
<apps:property name='changePasswordUri' value='http://www.example.com/sso/changepassword'/>
<apps:property name='enableSSO' value='false'/>
<apps:property name='ssoWhitelist' value='127.0.0.1/32'/>
<apps:property name='useDomainSpecificIssuer' value='false'/>
</entry>
Se per qualche motivo la richiesta non va a buon fine, viene restituito un codice di stato diverso. Per ulteriori informazioni sui codici di stato delle API di dati di Google, consulta Codici di stato HTTP.
Le modifiche alle impostazioni Single Sign-On non sono consentite se il cliente target ha attivato l'approvazione da più parti per le azioni sensibili. Le richieste non andranno a buon fine con errorCode="1811"
e reason="LegacyInboundSsoChangeNotAllowedWithMultiPartyApproval"
.
Recupero della chiave di firma Single Sign-On
Per recuperare la chiave di firma Single Sign-On, invia un GET
HTTP all'URL del feed della chiave di firma SSO e includi un'intestazione Authorization
come descritto in Autenticazione nel servizio Impostazioni amministratore. Per i messaggi di errore, vedi Risoluzione dei problemi relativi all'accesso SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/signingkey
Questa operazione non ha parametri nel corpo della richiesta.
Una risposta corretta restituisce un codice di stato HTTP 200 OK
, insieme a un feed AtomPub con la chiave di firma.
Il file XML risposta GET
restituisce la proprietà signingKey
:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='signingKey' value='yourBase64EncodedPublicKey'/>
</entry>
Se per qualche motivo la richiesta non va a buon fine, viene restituito un codice di stato diverso. Per ulteriori informazioni sui codici di stato delle API di dati di Google, consulta Codici di stato HTTP.
Aggiornamento della chiave di firma Single Sign-On
Per aggiornare la chiave di firma SSO di un dominio, devi prima recuperarla utilizzando l'operazione Recupero della chiave di firma Single Sign-On, modificala e invia una richiesta PUT
all'URL del feed della chiave di firma SSO. Assicurati che il valore <id>
nella voce aggiornata corrisponda esattamente al <id>
della voce esistente. Per saperne di più sulle chiavi di firma Single Sign-On basate su SAML, consulta l'articolo Generazione di chiavi e certificati per il servizio Single Sign-On di Google Workspace.
Durante l'aggiornamento della chiave di firma Single Sign-On, invia un'istruzione HTTP PUT
all'URL del feed della chiave di firma SSO:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/sso/signingkey
Il file XML della richiesta PUT
è:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='signingKey' value='yourBase64EncodedPublicKey'/>
</atom:entry>
Le modifiche alle impostazioni Single Sign-On non sono consentite se il cliente target ha attivato l'approvazione da più parti per le azioni sensibili. Le richieste non andranno a buon fine con errorCode="1811"
e reason="LegacyInboundSsoChangeNotAllowedWithMultiPartyApproval"
.
Gestione del gateway e del routing della posta
La sezione Gateway della posta in uscita mostra in che modo l'API Admin Settings supporta il routing in uscita della posta inviata dagli utenti del tuo dominio. La sezione sul routing della posta elettronica mostra come indirizzare i messaggi a un altro server di posta.
Recupero delle impostazioni del gateway di posta in uscita
Per recuperare le impostazioni del gateway email in uscita, invia un messaggio HTTP GET
all'URL del feed del gateway e includi un'intestazione Authorization
come descritto in Autenticazione nel servizio Impostazioni amministratore:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway
Questa operazione non ha parametri nel corpo della richiesta.
Una risposta corretta restituisce un codice di stato HTTP 200 OK insieme a un feed AtomPub con le informazioni sullo stato del gateway email.
La risposta GET
restituisce le proprietà smartHost
e smtpMode
. Per ulteriori informazioni su queste proprietà, consulta Aggiornare le impostazioni del gateway di posta in uscita.
Un esempio di possibile risposta è:
<?xml version='1.0' encoding='UTF-8'?>
<entry xmlns='http://www.w3.org/2005/Atom' xmlns:apps='http://schemas.google.com/apps/2006'>
...
<apps:property name='smartHost' value='smtpout.domain.com'/>
<apps:property name='smtpMode' value='SMTP'/>
</entry>
Se per qualche motivo la richiesta non va a buon fine, viene restituito un codice di stato diverso. Per ulteriori informazioni sui codici di stato delle API di dati di Google, consulta Codici di stato HTTP.
Aggiornamento delle impostazioni del gateway di posta in uscita
Per aggiornare l'impostazione del gateway email in uscita di un dominio, invia una richiesta PUT
HTTP all'URL del feed del gateway:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/email/gateway
Il file XML della richiesta PUT
è:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='smartHost' value='smtp.out.domain.com' />
<apps:property name='smtpMode' value='SMTP' />
</atom:entry>
Le proprietà della richiesta sono:
- smartHost
- Si tratta dell'indirizzo IP o del nome host del server SMTP. Google Workspace instrada la posta in uscita a questo server.
- smtpMode
- Il valore predefinito è SMTP. Un altro valore, SMTP_TLS, protegge una connessione con TLS durante la consegna del messaggio. di Gemini Advanced.
Una risposta corretta restituisce un codice di stato HTTP 200 OK
, insieme al feed AtomPub con lo stato delle impostazioni del gateway email.
Se per qualche motivo la richiesta non va a buon fine, viene restituito un codice di stato diverso. Per ulteriori informazioni sui codici di stato delle API di dati di Google, consulta Codici di stato HTTP.
Gestione delle impostazioni di routing della posta
Innanzitutto, crea una richiesta XML:
<atom:entry xmlns:atom='http://www.w3.org/2005/Atom' xmlns:apps="http://schemas.google.com/apps/2006">
<apps:property name='routeDestination' value='route-smtp.domain.com'/>
<apps:property name='routeRewriteTo' value='true'/>
<apps:property name='routeEnabled' value='true'/>
<apps:property name='bounceNotifications' value='true'/>
<apps:property name='accountHandling' value='can be either allAccounts | provisionedAccounts | unknownAccounts'/>
</atom:entry>
Le proprietà della richiesta sono:
- routeDestination
- Questa destinazione è il nome host o l'indirizzo IP del server di posta SMTP-In a cui viene instradata l'email. Per Google deve essere risolto il nome host o l'indirizzo IP. Per maggiori dettagli sulla risoluzione dei nomi host della posta, vedi Programma pilota di Google Workspace con routing dell'email.
- routeRewriteTo
- Se il valore è true, il campo
to:
della busta SMTP del messaggio viene modificato nel nome host di destinazione (utente@destinazione) e il messaggio viene recapitato a questo indirizzo utente sul server di posta di destinazione. Sefalse
, l'email viene recapitata all'indirizzo emailto:
del messaggio originale (utente@nome host originale) sul server di posta di destinazione. È un'operazione simile a "Modifica la busta SMTP" della Console di amministrazione. dell'ambientazione. Per ulteriori informazioni, vedi Impostazioni dominio per il routing dell'email. - routeEnabled
- Se
true
, la funzionalità di routing dell'email è attivata. Sefalse
, la funzionalità è disattivata. - bounceNotifications
- Se
true
, Google Workspace è abilitato a inviare notifiche di mancato recapito al mittente quando una consegna non va a buon fine. - accountHandling
Questa impostazione determina in che modo i diversi tipi di utenti del dominio sono interessati dal routing della posta:
allAccounts
: recapita tutte le email a questa destinazione.provisionedAccounts
: invia la posta a questa destinazione se l'utente esiste in Google Workspace.unknownAccounts
: invia la posta a questa destinazione se l'utente non esiste in Google Workspace. È simile all'opzione "Email di recapito per" nella Console di amministrazione. dell'ambientazione. Per ulteriori informazioni sui prerequisiti e su come utilizzare il routing della posta, vedi Impostazioni dominio per il routing della posta. ~ Per pubblicare questa richiesta, invia unPOST
HTTP all'URL del feed di routing dell'email e includi un'intestazioneAuthorization
come descritto in Autenticazione nel servizio Impostazioni amministratore:
https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/emailrouting
Una risposta corretta restituisce un codice di stato HTTP 200 OK
, insieme a un feed AtomPub con le informazioni di archivio.
Se per qualche motivo la richiesta non va a buon fine, viene restituito un codice di stato diverso. Per ulteriori informazioni sui codici di stato delle API di dati di Google, consulta Codici di stato HTTP.
Ritiro degli endpoint il 31 ottobre 2018
Abbiamo ritirato i seguenti endpoint nell'ambito di questo annuncio. Sono stati ritirati il 31 ottobre 2018 e non sono più disponibili.
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/defaultLanguage
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/organizationName
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/currentNumberOfUsers
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/general/maximumNumberOfUsers
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/supportPIN
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/customerPIN
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/adminSecondaryEmail
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/edition
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/creationTime
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/accountInformation/countryCode
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/appearance/customLogo
- https://apps-apis.google.com/a/feeds/domain/2.0/{domainName}/verification/mx