إعداد طلبات التفويض

قبل البدء في تطوير التطبيقات، يجب مراجعة بنود خدمة Chrome Policy API وإنشاء مشروع على Google Cloud وتفعيل Chrome Policy API وإعداد بيانات اعتماد الوصول.

تلتزم واجهة برمجة تطبيقات سياسة Chrome بأذونات دور المشرف وتحكمها نطاقات التفويض المحددة.

الخطوة 1: إنشاء مشروع على Google Cloud

يجب أن يتوفّر مشروع على Google Cloud لاستخدام Chrome Policy API. يشكّل هذا المشروع الأساس لإنشاء جميع خدمات Google Cloud وتفعيلها واستخدامها، بما في ذلك إدارة واجهات برمجة التطبيقات وتفعيل الفوترة وإضافة المتعاونين وإزالتهم وإدارة الأذونات.

إذا لم يكن لديك مشروع على Google Cloud تريد استخدامه، اتّبِع الخطوات التالية لإنشاء مشروع على Google Cloud:

  1. افتح Google Cloud Console.
  2. في أعلى يمين الصفحة، انقر على رمز القائمة > إدارة الهوية وإمكانية الوصول والمشرف > إنشاء مشروع.
  3. في حقل اسم المشروع، أدخِل اسمًا وصفيًا لمشروعك.
  4. في حقل الموقع الجغرافي، انقر على تصفّح لعرض المؤسسات المتاحة للتعيين. اختَر المؤسسة التي تريد إدارة سياسات Chrome لها، ثم انقر على اختيار.
  5. انقر على إنشاء. تنتقل وحدة التحكم إلى صفحة لوحة المعلومات ويتم إنشاء مشروعك في غضون بضع دقائق.

الخطوة 2: تفعيل Chrome Policy API

لتفعيل Chrome Policy API في مشروعك على Google Cloud، يُرجى اتّباع الخطوات التالية:

  1. افتح Google Cloud Console.
  2. في أعلى الصفحة، اختَر مشروعك على Google Cloud.
  3. في أعلى يمين الصفحة، انقر على رمز القائمة > واجهات برمجة التطبيقات والخدمات > المكتبة.
  4. في حقل البحث، أدخِل "Chrome" واضغط على Enter.
  5. في قائمة نتائج البحث، انقر على Chrome Policy API.
  6. انقر على تفعيل.
  7. لتفعيل المزيد من واجهات برمجة التطبيقات، كرِّر الخطوات من 2 إلى 5.

الخطوة 3: إنشاء بيانات اعتماد

يمكن مصادقة الطلبات إلى Chrome Policy API كمستخدم نهائي أو حساب خدمة برنامج روبوت.

  1. افتح Google Cloud Console.
  2. في أعلى الصفحة، اختَر مشروعك على Google Cloud.
  3. في أعلى يمين الصفحة، انقر على رمز القائمة > واجهات برمجة التطبيقات والخدمات > شاشة موافقة OAuth.
  4. اختر نوع المستخدِم لتطبيقك، ثم انقر على إنشاء.
  5. أكمل نموذج تسجيل التطبيق، ثم انقر على حفظ ومتابعة.

  6. انقر على إضافة نطاقات أو إزالتها. تظهر لوحة تحتوي على قائمة بالنطاقات لكل واجهة برمجة تطبيقات تم تفعيلها في مشروع Google Cloud. أضِف أحد نطاقات التفويض التالية:

    • https://www.googleapis.com/auth/chrome.management.policy
    • https://www.googleapis.com/auth/chrome.management.policy.readonly

    لا يسمح نطاق readonly بأيّ عمليات تغيير.

إعداد مصادقة حساب المستخدم أو الخدمة

انقر على أحد الخيارات أدناه للحصول على تعليمات تفصيلية:

الخيار 1: المصادقة كمستخدم نهائي باستخدام OAuth 2.0

  1. افتح Google Cloud Console.
  2. في أعلى الصفحة، اختَر مشروعك على Google Cloud.
  3. في أعلى يمين الصفحة، انقر على رمز القائمة > واجهات برمجة التطبيقات والخدمات > بيانات الاعتماد.
  4. انقر على إنشاء بيانات اعتماد > معرِّف عميل OAuth.
  5. اتّبِع الخطوات لإنشاء بيانات اعتماد OAuth 2.0.

ولا يحتاج مشرف Chrome في المؤسسة إلى أي إعداد خاص في "وحدة تحكُّم المشرف" لمصادقة OAuth 2.0. يجب أن يحصل مستخدمو تطبيقك على أذونات دور المشرف المطلوبة المرتبطة بحساباتهم، وعليهم الموافقة على شاشة الموافقة على OAuth الخاصة بالتطبيق.

ملاحظة: يمكنك اختبار تطبيقك في ساحة بروتوكول OAuth.

الخيار 2: المصادقة كحساب خدمة

حساب الخدمة هو نوع خاص من الحسابات يستخدمه التطبيق، وليس من الأشخاص. يمكنك استخدام حساب الخدمة للوصول إلى البيانات أو تنفيذ إجراءات من خلال حساب الروبوت نفسه أو للوصول إلى البيانات نيابةً عن المستخدمين. لمزيد من التفاصيل، راجِع مقالة فهم حسابات الخدمة.

إنشاء حساب خدمة وبيانات اعتماد

  1. افتح Google Cloud Console.
  2. في أعلى الصفحة، اختَر مشروعك على Google Cloud.
  3. في أعلى يمين الصفحة، انقر على رمز القائمة > واجهات برمجة التطبيقات والخدمات > بيانات الاعتماد.
  4. انقر على إنشاء بيانات اعتماد > حساب الخدمة.
  5. أدخِل اسم حساب الخدمة، ثم انقر على إنشاء ومتابعة.
  6. اختياري: عليك إسناد الأدوار لحساب الخدمة لمنح إذن الوصول إلى موارد مشروعك على Google Cloud. لمزيد من التفاصيل، يُرجى الرجوع إلى منح إذن الوصول إلى الموارد وتغييرها وإلغاؤها.
  7. انقر على متابعة.
  8. اختياري: أدخِل المستخدمين أو المجموعات التي يمكنها إدارة الإجراءات وتنفيذها باستخدام حساب الخدمة هذا. للتعرّف على مزيد من التفاصيل، يُرجى الاطّلاع على المقالة إدارة انتحال هوية حساب الخدمة.
  9. انقر على تم. بعد بضع دقائق، سيظهر حساب الخدمة الجديد في قائمة "حسابات الخدمة". (قد تحتاج إلى إعادة تحميل الصفحة.)
  10. في قائمة "حسابات الخدمة"، انقر على حساب الخدمة الذي أنشأته.
  11. انقر على المفاتيح > إضافة مفاتيح > إنشاء مفتاح جديد.
  12. اختَر JSON، ثم انقر على إنشاء.

    يتم إنشاء زوج المفاتيح العام/الخاص الجديد وتنزيله على جهازك كملف جديد. هذا الملف هو النسخة الوحيدة من هذا المفتاح. للحصول على معلومات عن كيفية تخزين مفتاحك بأمان، يُرجى الاطّلاع على إدارة مفاتيح حساب الخدمة.

تفويض حساب الخدمة في "وحدة تحكُّم المشرف"

إذا اخترت مصادقة الطلبات كحساب خدمة، على مشرف Chrome في المؤسسة تنفيذ خطوات إضافية في وحدة تحكّم المشرف لإكمال العملية.

يمكن لمشرف Chrome إما إسناد دور لحساب الخدمة مباشرةً باستخدام أذونات دور المشرف المطلوبة أو يمكن لمشرف Chrome إعداد تفويض على مستوى النطاق حتى يتمكّن حساب الخدمة من انتحال هوية المستخدمين الذين يملكون الأذونات المناسبة والتصرف نيابةً عنهم.

لإعداد تفويض على مستوى النطاق لحساب الخدمة، على مشرف Chrome اتّباع الخطوات التالية في "وحدة تحكّم المشرف":

  1. افتح وحدة تحكّم المشرف.
  2. في أعلى يمين الصفحة، انقر على رمز القائمة > الأمان > التحكُّم بالوصول والبيانات > عناصر تحكُّم واجهة برمجة التطبيقات.
  3. انقر على إدارة التفويض على مستوى النطاق.
  4. انقر على إضافة جديد.
  5. في حقل "معرّف العميل"، ألصِق معرّف العميل المرتبط بحساب الخدمة. تعرَّف على كيفية العثور على معرِّف العميل لحساب الخدمة.
  6. في الحقل "نطاقات OAuth"، أدخِل قائمة مفصولة بفواصل للنطاقات التي يطلبها تطبيق حساب الخدمة. هذه هي مجموعة النطاقات نفسها التي يتم تحديدها عند ضبط شاشة موافقة OAuth.
  7. انقر على تفويض.

الخطوة 4: اختبار تطبيقك في ساحة بروتوكول OAuth

  1. افتح Google Cloud Console.
  2. في أعلى الصفحة، اختَر مشروعك على Google Cloud.
  3. في أعلى يمين الصفحة، انقر على رمز القائمة > واجهات برمجة التطبيقات والخدمات > بيانات الاعتماد.
  4. انقر على إنشاء بيانات اعتماد > معرِّف عميل OAuth.
  5. انقر على نوع التطبيق > تطبيق الويب.
  6. في حقل "الاسم"، اكتب اسمًا لبيانات الاعتماد. ولا يظهر هذا الاسم إلا في Cloud Console.
  7. خلال وقت الاختبار، أضِف https://developers.google.com/oauthplayground إلى "معرّفات الموارد المنتظمة (URI) المعتمَدة لإعادة التوجيه". يمكنك إزالة معرّف الموارد المنتظم (URI) لإعادة التوجيه هذا من تطبيقك عند الانتهاء من الاختبار، إذا لزم الأمر.
  8. انقر على إنشاء وانسخ "معرِّف العميل" و "سر العميل" إلى الحافظة.
  9. في علامة تبويب جديدة، افتح مساحة عمل OAuth 2.0.
  10. في أعلى يسار الصفحة، انقر على إعدادات OAuth 2.0 .
  11. اختَر استخدام بيانات اعتماد OAuth الخاصة بك. بعد ذلك، الصِق "معرّف العميل" و "سر العميل" اللذين نسختهما في الخطوة 8، وانقر على إغلاق.
  12. على يمين الصفحة، اتّبِع خطوات "مساحة المرح لبروتوكول OAuth 2.0":
    • بالنسبة إلى "الخطوة 1: اختيار واجهات برمجة التطبيقات واعتمادها"، أضِف https://www.googleapis.com/auth/chrome.management.policy وأي نطاقات أخرى مطلوبة لواجهة برمجة التطبيقات، ثم انقر على تفويض واجهات برمجة التطبيقات.
    • بالنسبة إلى "الخطوة 2: استبدال رمز تفويض الرموز المميّزة"، يمكنك اختياريًا تحديد إعادة التحميل التلقائي للرمز المميّز قبل انتهاء صلاحيته.
    • بالنسبة إلى "الخطوة 3: ضبط الطلب لواجهة برمجة التطبيقات"، أدخِل عنوان URI لطلب واجهة برمجة تطبيقات سياسة Chrome، مع تعديل "طريقة HTTP" والإعدادات الأخرى حسب الحاجة. مثال على طلب عنوان URL: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

الخطوة 5: التأكّد من أن تطبيقك موثوق به

يمكن لمشرف المؤسسة وضع علامة على التطبيقات كموثوق بها أو محظورة في وحدة تحكُّم المشرف. لمزيد من التفاصيل، يُرجى الاطِّلاع على اختيار تطبيقات الجهات الخارجية والتطبيقات الداخلية التي يمكنها الوصول إلى بيانات Google Workspace.