Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Antes de começar a desenvolver, você precisa ler os
Termos de Serviço da API Chrome Policy,
criar um projeto do Google Cloud, ativar a API Chrome Policy e configurar
credenciais de acesso.
Um projeto do Google Cloud é necessário para usar a API Chrome Policy. Esse projeto é a base para criar, ativar e usar todos os serviços do Google Cloud, incluindo o gerenciamento de APIs, a ativação de faturamento, a adição e remoção de colaboradores e o gerenciamento de permissões.
Se você ainda não tem um projeto do Google Cloud que queira usar, siga as etapas abaixo para criar um:
No canto superior esquerdo, clique em Menu menu>IAM e administrador>Criar um projeto.
No campo Nome do projeto, digite um nome descritivo para o projeto.
No campo Local, clique em Procurar para exibir as organizações disponíveis para atribuição. Escolha a organização em que você quer
gerenciar as políticas do Chrome e clique em Selecionar.
Clique em Criar. O console navega até a página Painel e o projeto é criado em alguns minutos.
Etapa 2: ativar a API Chrome Policy
Para ativar a API Chrome Policy no seu projeto do Google Cloud, faça o seguinte:
Na parte superior, escolha seu projeto do Google Cloud.
No canto superior esquerdo, clique em Menu menu>APIs e serviços>Tela de permissão OAuth.
Selecione o tipo de usuário do app e clique em Criar.
Preencha o formulário de registro do app e clique em Salvar e continuar.
Clique em Adicionar ou remover escopos. Um painel é exibido com uma lista de escopos de cada API ativada no projeto do Google Cloud. Adicione um dos
seguintes escopos de autorização:
Na parte superior, escolha seu projeto do Google Cloud.
No canto superior esquerdo, clique em Menu menu>APIs e serviços>Credenciais.
Clique em Criar credenciais>ID do cliente OAuth.
Siga as etapas para criar as credenciais do OAuth 2.0.
Nenhuma configuração especial é necessária no Admin Console pelo administrador do Chrome da organização para a autenticação do OAuth 2.0. Os usuários do seu app precisarão ter as permissões necessárias da função de administrador associadas à conta e concordar com a tela de permissão OAuth do app.
Uma conta de serviço é um tipo especial de conta usada por um aplicativo, em vez de
uma pessoa. É possível usar uma conta de serviço para acessar dados ou realizar ações pela própria conta de robô ou para acessar dados em nome dos usuários.
Para mais detalhes, consulte
Noções básicas sobre as contas de serviço.
Clique em Concluído. Depois de alguns minutos, a nova conta vai aparecer na lista "Contas de serviço". Talvez seja necessário atualizar a página.
Na lista "Contas de serviço", clique na conta que você criou.
Clique em Chaves>Adicionar chaves>Criar nova chave.
Selecione JSON e clique em Criar.
Seu novo par de chaves públicas/privadas é gerado e o download dele é feito para sua máquina como um novo arquivo. Esse arquivo é a única cópia dessa chave. Para saber mais sobre como armazenar sua chave com segurança, consulte Como gerenciar chaves de contas de serviço.
Autorizar a conta de serviço no Admin Console
Se você optar por autenticar solicitações como uma conta de serviço, o
administrador do Chrome da organização precisará executar outras etapas no
Admin Console para concluir o processo.
No campo "Escopos do OAuth", digite uma lista delimitada por vírgulas dos escopos exigidos pelo aplicativo da conta de serviço. Esse é o mesmo conjunto de escopos definido na configuração da tela de permissão OAuth.
Na parte superior, escolha seu projeto do Google Cloud.
No canto superior esquerdo, clique em Menu menu>APIs e serviços>Credenciais.
Clique em Criar credenciais>ID do cliente OAuth.
Clique em Tipo de aplicativo>Aplicativo da Web.
No campo "Nome", digite um nome para a credencial. Ele só é exibido no console do Cloud.
Para o momento do teste, adicione https://developers.google.com/oauthplayground a "URIs de redirecionamento autorizados". Você pode remover esse URI de redirecionamento do seu app ao concluir os testes, se necessário.
Clique em Criar e copie o "ID do cliente" e a "chave secreta do cliente" para a área de transferência.
No canto superior direito, clique em Configuração do OAuth 2.0 settings.
Selecione Usar suas próprias credenciais do OAuth. Em seguida, cole o "ID do cliente" e a "chave secreta do cliente" que você copiou na etapa 8 e clique em Fechar.
À esquerda, siga as etapas do OAuth 2.0 Playground:
Em "Etapa 1: selecionar e autorizar APIs", adicione https://www.googleapis.com/auth/chrome.management.policy e outros escopos de API necessários e clique em Autorizar APIs.
Na "Etapa 2: trocar o código de autorização por tokens", selecione Atualizar automaticamente o token antes que ele expire.
Em "Etapa 3: configurar a solicitação para a API", digite o URI da solicitação da API Chrome Policy, modificando o "Método HTTP" e outras configurações, conforme necessário. Exemplo de solicitação de URL: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers
[null,null,["Última atualização 2025-07-25 UTC."],[[["\u003cp\u003eBefore starting development, review the Chrome Policy API Terms of Service, create a Google Cloud project, enable the Chrome Policy API, and set up access credentials.\u003c/p\u003e\n"],["\u003cp\u003eYou need to create a Google Cloud project to utilize the Chrome Policy API, which enables API management, billing, collaboration, and permission control.\u003c/p\u003e\n"],["\u003cp\u003eThe Chrome Policy API allows for end-user or service account authentication, with specific steps provided for setting up each method.\u003c/p\u003e\n"],["\u003cp\u003eTo authorize your application, you may need to configure OAuth consent screen and potentially domain-wide delegation in the Admin console.\u003c/p\u003e\n"],["\u003cp\u003eUse the OAuth Playground for testing your application's functionality and ensure your application is marked as trusted by the organization's administrator in the Admin console.\u003c/p\u003e\n"]]],[],null,["# Set up & authorize requests\n\nBefore you begin developing, you need to review the\n[Chrome Policy API Terms of Service](http://console.cloud.google.com/tos?id=chrome-policy),\ncreate a Google Cloud project, enable the Chrome Policy API, and set up\naccess credentials.\n\nThe Chrome Policy API respects [admin role permissions](/chrome/policy/guides/policy-schemas#namespaces)\nand is governed by defined [authorization scopes](#step_3_create_credentials).\n\nStep 1: Create a Google Cloud project\n-------------------------------------\n\nA Google Cloud project is required to use the Chrome Policy API. This project\nforms the basis for creating, enabling, and using all Google Cloud services,\nincluding managing APIs, enabling billing, adding and removing collaborators,\nand managing permissions.\n\nIf you don't already have a Google Cloud project you want to use, follow the\nsteps below to create a Google Cloud project:\n\n1. Open the [Google Cloud Console](https://console.cloud.google.com/).\n2. At the top-left, click Menu menu \\\u003e **IAM \\& Admin** \\\u003e **Create a Project**.\n3. In the **Project Name** field, enter a descriptive name for your project.\n4. In the **Location** field, click **Browse** to display the organizations available for assignment. Choose the organization for which you want to manage Chrome policies, then click **Select**.\n5. Click **Create**. The console navigates to the Dashboard page and your project is created within a few minutes.\n\nStep 2: Enable the Chrome Policy API\n------------------------------------\n\nTo enable the Chrome Policy API in your Google Cloud project:\n| **Caution:** Before you enable this API, make sure you've reviewed and agreed to the [Chrome Policy API Terms of Service](http://console.cloud.google.com/tos?id=chrome-policy).\n\n1. Open the [Google Cloud Console](https://console.cloud.google.com/).\n2. At the top, choose your Google Cloud project.\n3. At the top-left, click Menu menu \\\u003e **APIs \\& Services** \\\u003e **Library**.\n4. In the search field, enter \"Chrome\" and press **Enter**.\n5. In the list of search results, click **Chrome Policy API**.\n6. Click **Enable**.\n7. To enable more APIs, repeat steps 2--5.\n\nStep 3: Create credentials\n--------------------------\n\nRequests to the Chrome Policy API can be authenticated as an end user or a robot\nservice account.\n\n### Configure the OAuth consent screen\n\n1. Open the [Google Cloud Console](https://console.cloud.google.com/).\n2. At the top, choose your Google Cloud project.\n3. At the top-left, click Menu menu \\\u003e **APIs \\& Services** \\\u003e **OAuth consent screen**.\n4. Select the user type for your app, then click **Create**.\n5. Complete the app registration form, then click **Save and Continue**.\n6. Click **Add or remove scopes**. A panel appears with a list of scopes for\n each API you've enabled in your Google Cloud project. Add one of the\n following authorization scopes:\n\n - `https://www.googleapis.com/auth/chrome.management.policy`\n - `https://www.googleapis.com/auth/chrome.management.policy.readonly`\n\n The `readonly` scope doesn't allow any mutation operations.\n | **Note:** These scopes are categorized as *Sensitive scopes*. An app verification process is only required for apps used outside of an organization.\n\n### Set up end user or service account authentication\n\nClick an option below for detailed instructions:\n\n#### Option 1: Authenticate as an end user with OAuth 2.0\n\n1. Open the [Google Cloud Console](https://console.cloud.google.com/).\n2. At the top, choose your Google Cloud project.\n3. At the top-left, click Menu menu \\\u003e **APIs \\& Services** \\\u003e **Credentials**.\n4. Click **Create Credentials** \\\u003e **OAuth client ID**.\n5. Follow the steps to create the OAuth 2.0 credentials.\n\n\nNo special setup is required in the Admin console by the organization's Chrome\nadmin for OAuth 2.0 authentication. Users of your app will need to have the\n[required admin role permissions](/chrome/policy/guides/policy-schemas#namespaces)\nassociated with their account and need to agree to the app's OAuth consent\nscreen.\n\n\n**Tip:** You can [test your app in the OAuth Playground](#test-your-app).\n\n#### Option 2: Authenticate as a service account\n\n\nA service account is a special kind of account used by an application, rather\nthan a person. You can use a service account to access data or perform actions\nby the robot account itself, or to access data on behalf of users.\nFor more details, refer to\n[Understanding service accounts](https://cloud.google.com/iam/docs/understanding-service-accounts).\n\n#### Create a service account \\& credentials\n\n1. Open the [Google Cloud Console](https://console.cloud.google.com/).\n2. At the top, choose your Google Cloud project.\n3. At the top-left, click Menu menu \\\u003e **APIs \\& Services** \\\u003e **Credentials**.\n4. Click **Create Credentials** \\\u003e **Service account**.\n5. Enter service account name, then click **Create and continue**.\n6. Optional: Assign roles to your service account to grant access to your Google Cloud project's resources. For more details, refer to [Granting, changing, and revoking access to resources](https://cloud.google.com/iam/docs/granting-changing-revoking-access).\n7. Click **Continue**.\n8. Optional: Enter users or groups that can manage and perform actions with this service account. For more details, refer to [Managing service account impersonation](https://cloud.google.com/iam/docs/impersonating-service-accounts).\n9. Click **Done**. After a few minutes, your new service account appears in the \"Service Accounts\" list. (You might need to refresh the page.)\n10. In the \"Service Accounts\" list, click the service account you created.\n11. Click **Keys** \\\u003e **Add keys** \\\u003e **Create new key**.\n12. Select **JSON** , then click **Create** .\n\n Your new public/private key pair is generated and downloaded to your machine as a new file. This file is the only copy of this key. For information about how to store your key securely, see [Managing service account keys](https://cloud.google.com/iam/docs/understanding-service-accounts#managing_service_account_keys).\n\n#### Authorize the service account in the Admin console\n\n\nIf you choose to authenticate requests as a service account, the\norganization's Chrome administrator needs to perform additional steps in the\nAdmin console to complete the process.\n\n\nThe Chrome admin can either [assign a role to the service account directly](https://support.google.com/a/answer/33325)\nwith the [required admin role permissions](/chrome/policy/guides/policy-schemas#namespaces),\nor the Chrome admin can set up domain-wide delegation so the service account\ncan impersonate users with proper permissions and act on their behalf.\n\n\nTo set up domain-wide delegation for your service account, the Chrome admin\nneeds to follow these steps in the Admin console:\n\n1. Open the [Admin console](https://admin.google.com/).\n2. At the top-left, click Menu menu \\\u003e **Security** \\\u003e **Access and data control** \\\u003e **API controls**.\n3. Click **Manage Domain Wide Delegation**.\n4. Click **Add new**.\n5. In the \"Client ID\" field, paste the client ID associated with your service account. [Learn how to find your service account's client ID.](https://developers.google.com/workspace/guides/create-credentials#optional_set_up_domain-wide_delegation_for_a_service_account)\n6. In the \"OAuth Scopes\" field, enter a comma-delimited list of the scopes required by the service account application. This is the same set of scopes defined when configuring the OAuth consent screen.\n7. Click **Authorize**.\n\nStep 4: Test your app in the OAuth Playground\n---------------------------------------------\n\n1. Open the [Google Cloud Console](https://console.cloud.google.com/).\n2. At the top, choose your Google Cloud project.\n3. At the top-left, click Menu menu \\\u003e **APIs \\& Services** \\\u003e **Credentials**.\n4. Click **Create Credentials** \\\u003e **OAuth client ID**.\n5. Click **Application type** \\\u003e **Web application**.\n6. In the \"Name\" field, type a name for the credential. This name is only shown in the Cloud Console.\n7. For the time of testing, add `https://developers.google.com/oauthplayground` to \"Authorized redirect URIs.\" You can remove this redirect URI from your app when done testing, if needed.\n8. Click **Create** and copy the \"client ID\" and \"client secret\" to your clipboard.\n9. In a new tab, open the [OAuth 2.0 Playground](https://developers.google.com/oauthplayground/).\n10. At the top-right, click OAuth 2.0 configuration settings.\n11. Select **Use your own OAuth credentials** . Then, paste the \"client ID\" and \"client secret\" you copied in step 8 and click **Close**.\n12. At the left, follow the OAuth 2.0 Playground steps:\n - For \"Step 1: Select \\& authorize APIs,\" add `https://www.googleapis.com/auth/chrome.management.policy` and any other needed API scopes, then click **Authorize APIs**.\n - For \"Step 2: Exchange authorization code for tokens,\" you can optionally select **Auto-refresh the token before it expires**.\n - For \"Step 3: Configure request to API,\" enter your Chrome Policy API request URI, modifying the \"HTTP Method\" and other settings, as needed. Example URL request: `https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers`\n\nStep 5: Verify your app is trusted\n----------------------------------\n\nAn organization's admin can mark apps as trusted or blocked in the\nAdmin console. For more details, see [Control which third-party \\& internal apps access Google Workspace data](https://support.google.com/a/answer/7281227#zippy=%2Cmanage-access-to-apps-trusted-limited-or-blocked)."]]
