Le credenziali vengono utilizzate per ottenere un token di accesso dai server di autorizzazione di Google in modo che l'app possa chiamare le API Google Workspace. Questa guida descrive come scegliere e configurare le credenziali di cui ha bisogno la tua app.
Per le definizioni dei termini presenti in questa pagina, consulta la panoramica di autenticazione e autorizzazione.
Scegli le credenziali di accesso adatte a te
Le credenziali richieste dipendono dal tipo di dati, dalla piattaforma e dalla metodologia di accesso della tua app. Sono disponibili tre tipi di credenziali:
| Caso d'uso | Metodo di autenticazione | Informazioni su questo metodo di autenticazione |
|---|---|---|
| Accedi in modo anonimo ai dati disponibili pubblicamente nella tua app. | Chiavi API | Prima di utilizzare questo metodo di autenticazione, verifica che l'API che vuoi utilizzare supporti le chiavi API. |
| Accedi ai dati utente, ad esempio indirizzo email o età. | ID client OAuth | Richiede che l'app richieda e riceva il consenso dell'utente. |
| Accedi ai dati di proprietà della tua applicazione o alle risorse per conto degli utenti di Google Workspace o Cloud Identity tramite la delega a livello di dominio. | Service account | Quando un'app esegue l'autenticazione come service account, ha accesso a tutte le risorse a cui il service account ha l'autorizzazione ad accedere. |
Credenziali della chiave API
Una chiave API è una stringa lunga contenente lettere maiuscole e minuscole, numeri, trattini bassi e trattini, ad esempio AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Questo metodo di autenticazione viene utilizzato per accedere in modo anonimo ai dati disponibili pubblicamente, ad esempio i file di Google Workspace condivisi utilizzando l'impostazione di condivisione "Chiunque su internet con questo link". Per maggiori dettagli, consulta
Utilizzare le chiavi API.
Per creare una chiave API:
- Nella console Google Cloud, vai a Menu > API e servizi > Credenziali.
- Fai clic su Crea credenziali > Chiave API.
- Viene visualizzata la nuova chiave API.
- Fai clic su Copia per copiare la chiave API da utilizzare in your app's code. La chiave API è disponibile anche nella sezione "Chiavi API" delle credenziali del progetto.
- Per impedire l'uso non autorizzato, ti consigliamo di limitare dove e per quali API può essere utilizzata la chiave API. Per maggiori dettagli, consulta Aggiungere limitazioni API.
Credenziali dell'ID client OAuth
Per autenticare gli utenti finali e accedere ai dati utente nella tua app, devi creare uno o più ID client OAuth 2.0. L'ID client viene utilizzato per identificare una singola app nei server OAuth di Google. Se l'app viene eseguita su più piattaforme, devi creare un ID client separato per ogni piattaforma.Scegli il tuo tipo di applicazione per istruzioni specifiche su come creare un ID client OAuth:
Applicazione web
- Nella console API di Google, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Applicazione web.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console API di Google.
- Aggiungi gli URI autorizzati relativi alla tua app:
- App lato client (JavaScript): in Origini JavaScript autorizzate, fai clic su Aggiungi URI. Poi, inserisci un URI da utilizzare per le richieste del browser. In questo modo vengono identificati i domini da cui l'applicazione può inviare richieste API al server OAuth 2.0.
- App lato server (Java, Python e altro): in URI di reindirizzamento autorizzati, fai clic su Aggiungi URI. Poi, inserisci un URI dell'endpoint a cui il server OAuth 2.0 può inviare le risposte.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in ID client OAuth 2.0.
Prendi nota dell'ID client. I secret client non vengono utilizzati per le applicazioni web.
Android
- Nella console API di Google, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Android.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console API di Google.
- Nel campo "Nome del pacchetto", inserisci il nome del pacchetto dal file
AndroidManifest.xml. - Nel campo "Impronta digitale del certificato SHA-1", inserisci l'impronta digitale del certificato SHA-1 generata.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
iOS
- Nella console API di Google, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > iOS.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console API di Google.
- Nel campo "ID pacchetto", inserisci l'identificatore pacchetto elencato nel file
Info.plistdell'app. - (Facoltativo) Se la tua app è disponibile nell'App Store di Apple, inserisci l'ID App Store.
- (Facoltativo) Nel campo "ID team", inserisci la stringa univoca composta da 10 caratteri generata da Apple e assegnata al tuo team.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Estensione di Chrome
- Nella console API di Google, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Estensione di Chrome.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console API di Google.
- Nel campo "ID articolo", inserisci la stringa ID univoca composta da 32 caratteri della tua app. Puoi trovare questo valore ID nell'URL del Chrome Web Store della tua app e nella Dashboard per sviluppatori del Chrome Web Store.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Applicazione desktop
- Nella console API di Google, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Applicazione desktop.
- Nel campo Nome, digita un nome per la credenziale. Questo nome viene visualizzato solo nella console API di Google.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
TV e dispositivi a input limitato
- Nella console API di Google, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > TV e dispositivi a input limitato.
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console API di Google.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Universal Windows Platform (UWP)
- Nella console API di Google, vai a Menu > Piattaforma di autenticazione Google > Client.
- Fai clic su Crea client.
- Fai clic su Tipo di applicazione > Universal Windows Platform (UWP).
- Nel campo "Nome", digita un nome per la credenziale. Questo nome viene visualizzato solo nella console API di Google.
- Nel campo "ID store", inserisci il valore ID univoco composto da 12 caratteri del Microsoft Store della tua app. Puoi trovare questo ID nell'URL del Microsoft Store della tua app e nel Centro per i partner.
- Fai clic su Crea.
La credenziale appena creata viene visualizzata in "ID client OAuth 2.0".
Credenziali del service account
Un service account è un tipo speciale di account utilizzato da un'applicazione, anziché da una persona. Puoi utilizzare un service account per accedere ai dati o eseguire azioni tramite l'account robot oppure per accedere ai dati per conto degli utenti di Google Workspace o Cloud Identity. Per saperne di più, consulta Informazioni sui service account.Crea un service account
Console API di Google
- Nella console API di Google, vai a Menu > IAM e amministrazione > Service account.
- Fai clic su Crea service account.
- Compila i dettagli del service account, quindi fai clic su Crea e continua.
- (Facoltativo) Assegna ruoli al tuo service account per concedere l'accesso alle risorse del progetto Google Cloud. Per maggiori dettagli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
- Fai clic su Continua.
- (Facoltativo) Inserisci utenti o gruppi che possono gestire ed eseguire azioni con questo service account. Per maggiori dettagli, consulta Gestire la simulazione dell'identità dei service account.
- Fai clic su Fine. Prendi nota dell'indirizzo email del service account.
Interfaccia a riga di comando gcloud
- Crea il service account:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - (Facoltativo) Assegna ruoli al tuo service account per concedere l'accesso alle risorse del progetto Google Cloud. Per maggiori dettagli, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Assegna un ruolo a un service account
Devi assegnare un ruolo predefinito o personalizzato a un service account tramite un account super amministratore.
Nella Console di amministrazione Google, vai a Menu > Account > Ruoli amministratore.
Posiziona il puntatore del mouse sul ruolo che vuoi assegnare, quindi fai clic su Assegna amministratore.
Fai clic su Assegna service account.
Inserisci l'indirizzo email del service account.
Fai clic su Aggiungi > Assegna ruolo.
Crea le credenziali per un service account
Devi ottenere le credenziali sotto forma di coppia di chiavi pubblica/privata. Queste credenziali vengono utilizzate dal codice per autorizzare le azioni del service account all'interno dell'app.Per ottenere le credenziali per il tuo service account:
- Nella console Google Cloud, vai a Menu > IAM e amministrazione > Service account.
- Seleziona il tuo service account.
- Fai clic su Chiavi > Aggiungi chiave > Crea nuova chiave.
- Seleziona JSON, quindi fai clic su Crea.
Una nuova coppia di chiavi pubblica/privata viene generata e scaricata sul tuo computer come nuovo file. Salva il file JSON scaricato come
credentials.jsonnella tua directory di lavoro. Questo file è l'unica copia di questa chiave. Per informazioni su come archiviare la chiave in modo sicuro, consulta Gestire le chiavi dei service account. - Fai clic su Chiudi.
(Facoltativo) Configura la delega a livello di dominio per un service account
Per chiamare le API per conto degli utenti di un'organizzazione Google Workspace, un account super amministratore deve concedere al service account la delega dell'autorità a livello di dominio nella Console di amministrazione Google Workspace. Per saperne di più, consulta Delegare l'autorità a livello di dominio a un service account.Per configurare la delega dell'autorità a livello di dominio per un service account:
- Nella console Google Cloud, vai a Menu > IAM e amministrazione > Service account.
- Seleziona il tuo service account.
- Fai clic su Mostra impostazioni avanzate.
- In "Delega a livello di dominio", trova l'"ID client" del tuo service account. Fai clic su Copia per copiare il valore dell'ID client negli appunti.
Se hai accesso come super amministratore all'account Google Workspace pertinente, fai clic Visualizza Console di amministrazione Google Workspace, poi accedi utilizzando un account utente super amministratore e continua a seguire questi passaggi.
Se non hai accesso come super amministratore all'account Google Workspace pertinente, contatta un super amministratore per quell'account e inviagli l'ID client del tuo service account e l'elenco degli ambiti OAuth in modo che possa completare i seguenti passaggi nella Console di amministrazione.
- Nella Console di amministrazione Google, vai a Menu > Sicurezza > Accesso e controllo dei dati > Controlli API.
- Fai clic su Gestisci delega a livello di dominio.
- Fai clic su Aggiungi nuova.
- Nel campo "ID client", incolla l'ID client che hai copiato in precedenza.
- Nel campo "Ambiti OAuth", inserisci un elenco delimitato da virgole degli ambiti richiesti dalla tua applicazione. Si tratta dello stesso insieme di ambiti che hai definito durante la configurazione della schermata per il consenso OAuth.
- Fai clic su Autorizza.
Passaggio successivo
È tutto pronto per sviluppare su Google Workspace. Consulta l'elenco dei prodotti per sviluppatori di Google Workspace e scopri come trovare assistenza.