Configurare e autorizzare le richieste

Prima di iniziare a sviluppare, devi esaminare i Termini di servizio dell'API Chrome Policy, creare un progetto Google Cloud, abilitare l'API Chrome Policy e configurare le credenziali di accesso.

L'API Chrome Policy rispetta le autorizzazioni del ruolo di amministratore ed è regolata da ambiti di autorizzazione definiti.

Passaggio 1: crea un progetto Google Cloud

Per utilizzare l'API Chrome Policy è necessario un progetto Google Cloud. Questo progetto costituisce la base per creare, abilitare e utilizzare tutti i servizi Google Cloud, tra cui la gestione delle API, l'abilitazione della fatturazione, l'aggiunta e la rimozione di collaboratori e la gestione delle autorizzazioni.

Se non hai ancora un progetto Google Cloud da utilizzare, segui i passaggi riportati di seguito per crearne uno:

  1. Apri la console Google Cloud.
  2. In alto a sinistra, fai clic su Menu > IAM e amministrazione > Crea un progetto.
  3. Nel campo Nome progetto, inserisci un nome descrittivo per il progetto.
  4. Nel campo Località, fai clic su Sfoglia per visualizzare le organizzazioni disponibili per l'assegnazione. Scegli l'organizzazione per cui vuoi gestire i criteri di Chrome, quindi fai clic su Seleziona.
  5. Fai clic su Crea. La console passa alla pagina Dashboard e il tuo progetto viene creato in pochi minuti.

Passaggio 2: attiva l'API Chrome Policy

Per attivare l'API Chrome Policy nel tuo progetto Google Cloud:

  1. Apri la console Google Cloud.
  2. In alto, scegli il tuo progetto Google Cloud.
  3. In alto a sinistra, fai clic su Menu > API e servizi > Libreria.
  4. Nel campo di ricerca, inserisci "Chrome" e premi Invio.
  5. Nell'elenco dei risultati di ricerca, fai clic su API Chrome Policy.
  6. Fai clic su Abilita.
  7. Per abilitare altre API, ripeti i passaggi da 2 a 5.

Passaggio 3: crea le credenziali

Le richieste all'API Chrome Policy possono essere autenticate come account di servizio robot o utente finale.

  1. Apri la console Google Cloud.
  2. In alto, scegli il tuo progetto Google Cloud.
  3. In alto a sinistra, fai clic su Menu > API e servizi > Schermata consenso OAuth.
  4. Seleziona il tipo di utente per l'app, poi fai clic su Crea.
  5. Completa il modulo di registrazione dell'app, poi fai clic su Salva e continua.
  6. Fai clic su Aggiungi o rimuovi ambiti. Viene visualizzato un riquadro con un elenco degli ambiti per ogni API abilitata nel progetto Google Cloud. Aggiungi uno dei seguenti ambiti di autorizzazione:

    • https://www.googleapis.com/auth/chrome.management.policy
    • https://www.googleapis.com/auth/chrome.management.policy.readonly

    L'ambito readonly non consente operazioni di modifica.

Configura l'autenticazione degli account di servizio o degli utenti finali

Per istruzioni dettagliate, fai clic su una delle seguenti opzioni:

Opzione 1: esegui l'autenticazione come utente finale con OAuth 2.0

  1. Apri la console Google Cloud.
  2. In alto, scegli il tuo progetto Google Cloud.
  3. In alto a sinistra, fai clic su Menu > API e servizi > Credenziali.
  4. Fai clic su Crea credenziali > ID client OAuth.
  5. Segui i passaggi per creare le credenziali OAuth 2.0.

L'amministratore di Chrome dell'organizzazione non richiede alcuna configurazione speciale nella Console di amministrazione per l'autenticazione OAuth 2.0. Gli utenti della tua app dovranno avere le autorizzazioni del ruolo di amministratore necessarie associate al proprio account e dovranno accettare la schermata per il consenso OAuth dell'app.

Suggerimento:puoi testare la tua app in OAuth Playground.

Opzione 2: esegui l'autenticazione come account di servizio

Un account di servizio è un tipo speciale di account utilizzato da un'applicazione anziché da una persona. Puoi utilizzare un account di servizio per accedere ai dati o eseguire azioni dall'account robot stesso o per accedere ai dati per conto degli utenti. Per maggiori dettagli, consulta Informazioni sugli account di servizio.

Creare un account di servizio e le credenziali

  1. Apri la console Google Cloud.
  2. In alto, scegli il tuo progetto Google Cloud.
  3. In alto a sinistra, fai clic su Menu > API e servizi > Credenziali.
  4. Fai clic su Crea credenziali > Account di servizio.
  5. Inserisci il nome dell'account di servizio, quindi fai clic su Crea e continua.
  6. (Facoltativo) Assegna i ruoli al tuo account di servizio per concedere l'accesso alle risorse del tuo progetto Google Cloud. Per maggiori dettagli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
  7. Fai clic su Continua.
  8. (Facoltativo) Inserisci gli utenti o i gruppi che possono gestire ed eseguire azioni con questo account di servizio. Per maggiori dettagli, vedi Gestire l'impersonificazione degli account di servizio.
  9. Fai clic su Fine. Dopo qualche minuto, il nuovo account di servizio viene visualizzato nell'elenco "Account di servizio". Potrebbe essere necessario aggiornare la pagina.
  10. Nell'elenco "Account di servizio", fai clic sull'account di servizio che hai creato.
  11. Fai clic su Chiavi > Aggiungi chiavi > Crea nuova chiave.
  12. Seleziona JSON, quindi fai clic su Crea.

    La nuova coppia di chiavi pubblica/privata viene generata e scaricata sul tuo computer come nuovo file. Questo file è l'unica copia di questa chiave. Per informazioni su come memorizzare la chiave in modo sicuro, vedi Gestire le chiavi degli account di servizio.

Autorizzare l'account di servizio nella Console di amministrazione

Se scegli di autenticare le richieste come account di servizio, l'amministratore di Chrome dell'organizzazione deve eseguire passaggi aggiuntivi nella Console di amministrazione per completare il processo.

L'amministratore di Chrome può assegnare un ruolo direttamente all'account di servizio con le autorizzazioni del ruolo di amministratore necessarie oppure può configurare la delega a livello di dominio in modo che l'account di servizio possa impersonare gli utenti con le autorizzazioni appropriate e agire per loro conto.

Per configurare la delega a livello di dominio per il tuo account di servizio, l'amministratore di Chrome deve seguire questi passaggi nella Console di amministrazione:

  1. Apri la Console di amministrazione.
  2. In alto a sinistra, fai clic su Menu > Sicurezza > Accesso e controllo dei dati > Controlli API.
  3. Fai clic su Gestisci delega a livello di dominio.
  4. Fai clic su Aggiungi nuovo.
  5. Nel campo "ID client", incolla l'ID client associato al tuo account di servizio. Scopri come trovare l'ID client del tuo account di servizio.
  6. Nel campo "Ambiti OAuth", inserisci un elenco delimitato da virgole degli ambiti richiesti dall'applicazione dell'account di servizio. Si tratta dello stesso insieme di ambiti definiti durante la configurazione della schermata per il consenso OAuth.
  7. Fai clic su Autorizza.

Passaggio 4: testa l'app in OAuth Playground

  1. Apri la console Google Cloud.
  2. In alto, scegli il tuo progetto Google Cloud.
  3. In alto a sinistra, fai clic su Menu > API e servizi > Credenziali.
  4. Fai clic su Crea credenziali > ID client OAuth.
  5. Fai clic su Tipo di applicazione > Applicazione web.
  6. Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console Cloud.
  7. Per il momento del test, aggiungi https://developers.google.com/oauthplayground a "URI di reindirizzamento autorizzati". Se necessario, puoi rimuovere questo URI di reindirizzamento dalla tua app al termine dei test.
  8. Fai clic su Crea e copia i valori di "Client-ID" e "client secret" negli appunti.
  9. Apri OAuth 2.0 Playground in una nuova scheda.
  10. In alto a destra, fai clic su Configurazione OAuth 2.0 .
  11. Seleziona Utilizza le tue credenziali OAuth. Poi, incolla i valori "client ID" e "client secret" che hai copiato durante il passaggio 8 e fai clic su Chiudi.
  12. A sinistra, segui i passaggi per OAuth 2.0 Playground:
    • In "Passaggio 1: seleziona e autorizza le API", aggiungi https://www.googleapis.com/auth/chrome.management.policy e tutti gli altri ambiti API necessari, poi fai clic su Autorizza API.
    • Per "Passaggio 2: scambia il codice di autorizzazione per i token", puoi selezionare Aggiorna automaticamente il token prima che scada.
    • Per il "Passaggio 3: configura la richiesta all'API", inserisci l'URI della richiesta dell'API Chrome Policy, modificando il "Metodo HTTP" e altre impostazioni, se necessario. Esempio di richiesta di URL: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

Passaggio 5: verifica che l'app sia attendibile

L'amministratore di un'organizzazione può contrassegnare le app come attendibili o bloccate nella Console di amministrazione. Per maggiori dettagli, vedi Specificare quali app di terze parti e interne possono accedere ai dati di Google Workspace.