Создать учетные данные для доступа

Учётные данные используются для получения токена доступа от серверов авторизации Google, чтобы ваше приложение могло вызывать API Google Workspace. В этом руководстве описывается, как выбрать и настроить учётные данные, необходимые вашему приложению.

Определения терминов, встречающихся на этой странице, см. в разделе Обзор аутентификации и авторизации .

Выберите учетные данные доступа, которые подходят именно вам

Требуемые учётные данные зависят от типа данных, платформы и метода доступа вашего приложения. Доступны три типа учётных данных:

Вариант использования Метод аутентификации Об этом методе аутентификации
Получайте анонимный доступ к общедоступным данным в своем приложении. API-ключи Перед использованием этого метода аутентификации убедитесь, что API, который вы хотите использовать, поддерживает ключи API.
Доступ к данным пользователя, таким как адрес электронной почты или возраст. Идентификатор клиента OAuth Требует, чтобы ваше приложение запрашивало и получало согласие пользователя.
Получайте доступ к данным, принадлежащим вашему приложению, или к ресурсам от имени пользователей Google Workspace или Cloud Identity посредством делегирования на уровне домена. Учетная запись службы Когда приложение аутентифицируется как учетная запись службы, оно получает доступ ко всем ресурсам, к которым у учетной записи службы есть разрешение на доступ.

Учетные данные ключа API

Ключ API — это длинная строка, содержащая заглавные и строчные буквы, цифры, символы подчеркивания и дефисы, например, AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe . Этот метод аутентификации используется для анонимного доступа к публично доступным данным, таким как файлы Google Workspace, к которым предоставлен общий доступ с помощью параметра «Любой пользователь Интернета, у которого есть эта ссылка». Подробнее см. в разделе Использование ключей API .

Чтобы создать ключ API:

  1. В консоли Google Cloud перейдите в > API и службы > Учетные данные .

    Перейти к учетным данным

  2. Нажмите Создать учетные данные > Ключ API .
  3. Отобразится ваш новый ключ API.
    • Нажмите «Копировать , чтобы скопировать ключ API для использования в коде вашего приложения. Ключ API также можно найти в разделе «Ключи API» учётных данных вашего проекта.
    • Чтобы предотвратить несанкционированное использование, мы рекомендуем ограничить, где и для каких API можно использовать ключ API. Подробнее см. в разделе «Добавление ограничений API» .

Учетные данные идентификатора клиента OAuth

Для аутентификации конечных пользователей и доступа к их данным в вашем приложении необходимо создать один или несколько идентификаторов клиента OAuth 2.0. Идентификатор клиента используется для идентификации одного приложения на серверах Google OAuth. Если ваше приложение работает на нескольких платформах, необходимо создать отдельный идентификатор клиента для каждой платформы.

Выберите тип приложения для получения конкретных инструкций по созданию идентификатора клиента OAuth:

Веб-приложение

  1. В консоли Google Cloud перейдите в > > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите Тип приложения > Веб-приложение .
  4. В поле «Имя» введите имя учётной записи. Оно отображается только в консоли Google Cloud.
  5. Добавьте авторизованные URI, связанные с вашим приложением:
    • Клиентские приложения (JavaScript) – в разделе «Авторизованные источники JavaScript» нажмите « Добавить URI» . Затем введите URI для использования в запросах браузера. Он определяет домены, с которых ваше приложение может отправлять запросы API на сервер OAuth 2.0.
    • Серверные приложения (Java, Python и другие) — в разделе «Авторизованные URI перенаправления» нажмите « Добавить URI» . Затем введите URI конечной точки, на которую сервер OAuth 2.0 может отправлять ответы.
  6. Нажмите «Создать» .

    Новые учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0» .

    Обратите внимание на идентификатор клиента. Секреты клиента не используются в веб-приложениях.

Андроид

  1. В консоли Google Cloud перейдите в > > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите Тип приложения > Android .
  4. В поле «Имя» введите имя учётной записи. Оно отображается только в консоли Google Cloud.
  5. В поле «Имя пакета» введите имя пакета из файла AndroidManifest.xml .
  6. В поле «Отпечаток сертификата SHA-1» введите сгенерированный отпечаток сертификата SHA-1 .
  7. Нажмите «Создать» .

    Новые учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

iOS

  1. В консоли Google Cloud перейдите в > > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите Тип приложения > iOS .
  4. В поле «Имя» введите имя учётной записи. Оно отображается только в консоли Google Cloud.
  5. В поле «Идентификатор пакета» введите идентификатор пакета, указанный в файле Info.plist приложения.
  6. Необязательно: если ваше приложение представлено в Apple App Store, введите идентификатор App Store.
  7. Необязательно: в поле «Идентификатор команды» введите уникальную строку из 10 символов, сгенерированную Apple и назначенную вашей команде.
  8. Нажмите «Создать» .

    Новые учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Расширение Chrome

  1. В консоли Google Cloud перейдите в > > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите Тип приложения > Расширение Chrome .
  4. В поле «Имя» введите имя учётной записи. Оно отображается только в консоли Google Cloud.
  5. В поле «Идентификатор элемента» введите уникальный 32-символьный идентификатор вашего приложения. Этот идентификатор можно найти в URL-адресе вашего приложения в интернет-магазине Chrome и на панели разработчика интернет-магазина Chrome .
  6. Нажмите «Создать» .

    Новые учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Приложение для ПК

  1. В консоли Google Cloud перейдите в > > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите Тип приложения > Приложение для ПК .
  4. В поле «Имя» введите имя учётной записи. Оно отображается только в консоли Google Cloud.
  5. Нажмите «Создать» .

    Новые учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Телевизоры и устройства ввода с ограниченным доступом

  1. В консоли Google Cloud перейдите в > > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите Тип приложения > Телевизоры и устройства с ограниченными возможностями ввода .
  4. В поле «Имя» введите имя учётной записи. Оно отображается только в консоли Google Cloud.
  5. Нажмите «Создать» .

    Новые учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Универсальная платформа Windows (UWP)

  1. В консоли Google Cloud перейдите в > > Клиенты .

    Перейти к клиентам

  2. Нажмите «Создать клиента» .
  3. Нажмите Тип приложения > Универсальная платформа Windows (UWP) .
  4. В поле «Имя» введите имя учётной записи. Оно отображается только в консоли Google Cloud.
  5. В поле «Идентификатор магазина» введите уникальный 12-значный идентификатор вашего приложения в Microsoft Store. Этот идентификатор можно найти в URL-адресе вашего приложения в Microsoft Store и в Центре партнёров .
  6. Нажмите «Создать» .

    Новые учетные данные появятся в разделе «Идентификаторы клиентов OAuth 2.0».

Учетные данные сервисной учетной записи

Учётная запись службы — это особый тип учётной записи, используемый приложением, а не пользователем. Вы можете использовать учётную запись службы для доступа к данным или выполнения действий с учётной записью робота, а также для доступа к данным от имени пользователей Google Workspace или Cloud Identity. Подробнее см. в разделе «Общие сведения об учётных записях службы» .

Создать учетную запись службы

Консоль Google Cloud

  1. В консоли Google Cloud перейдите в > IAM и администрирование > Учетные записи служб .

    Перейти к учетным записям служб

  2. Нажмите Создать учетную запись службы .
  3. Заполните данные учетной записи службы, затем нажмите «Создать» и продолжите .
  4. Необязательно: назначьте роли своему сервисному аккаунту, чтобы предоставить доступ к ресурсам вашего проекта Google Cloud. Подробнее см. в разделе Предоставление, изменение и отзыв доступа к ресурсам .
  5. Нажмите «Продолжить» .
  6. Необязательно: введите пользователей или группы, которые смогут управлять этой учётной записью службы и выполнять с ней действия. Подробнее см. в разделе Управление олицетворением учётной записи службы .
  7. Нажмите «Готово» . Запишите адрес электронной почты для учётной записи сервиса.

gcloud CLI

  1. Создайте учетную запись службы: 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --display-name="SERVICE_ACCOUNT_NAME"
  2. Необязательно: назначьте роли своему сервисному аккаунту, чтобы предоставить доступ к ресурсам вашего проекта Google Cloud. Подробнее см. в разделе Предоставление, изменение и отзыв доступа к ресурсам .

Назначить роль учетной записи службы

Вам необходимо назначить предопределенную или пользовательскую роль учетной записи службы с помощью учетной записи суперадминистратора.

  1. В консоли администратора Google перейдите в > Учетная запись > Роли администратора .

    Перейти к административным ролям

  2. Наведите указатель мыши на роль, которую вы хотите назначить, а затем нажмите Назначить администратора .

  3. Нажмите Назначить учетные записи служб .

  4. Введите адрес электронной почты учетной записи службы.

  5. Нажмите Добавить > Назначить роль .

Создайте учетные данные для учетной записи службы

Вам необходимо получить учётные данные в виде пары открытого и закрытого ключей. Эти данные используются вашим кодом для авторизации действий сервисной учётной записи в вашем приложении.

Чтобы получить учетные данные для вашей учетной записи службы:

  1. В консоли Google Cloud перейдите в > IAM и администрирование > Учетные записи служб .

    Перейти к учетным записям служб

  2. Выберите свою учетную запись службы.
  3. Нажмите Ключи > Добавить ключ > Создать новый ключ .
  4. Выберите JSON , затем нажмите Создать .

    Ваша новая пара открытого и закрытого ключей будет сгенерирована и загружена на ваш компьютер в виде нового файла. Сохраните загруженный JSON-файл как credentials.json в вашем рабочем каталоге. Этот файл — единственная копия данного ключа. Сведения о безопасном хранении ключа см. в разделе Управление ключами учётной записи службы .

  5. Нажмите «Закрыть» .

Необязательно: настройте делегирование на уровне домена для учетной записи службы.

Для вызова API от имени пользователей в организации Google Workspace вашей учетной записи службы необходимо предоставить делегирование полномочий на уровне домена в консоли администратора Google Workspace с помощью учетной записи суперадминистратора. Подробнее см. в статье Делегирование полномочий на уровне домена учетной записи службы .

Чтобы настроить делегирование полномочий для учетной записи службы на уровне всего домена:

  1. В консоли Google Cloud перейдите в > IAM и администрирование > Учетные записи служб .

    Перейти к учетным записям служб

  2. Выберите свою учетную запись службы.
  3. Нажмите Показать дополнительные настройки .
  4. В разделе «Делегирование на уровне домена» найдите «Идентификатор клиента» вашей учётной записи службы. Нажмите «Копировать , чтобы скопировать значение идентификатора клиента в буфер обмена.

  5. Если у вас есть права суперадминистратора к соответствующей учетной записи Google Workspace, нажмите «Просмотреть консоль администратора Google Workspace» , затем войдите в систему, используя учетную запись суперадминистратора, и продолжите выполнение следующих шагов.

    Если у вас нет прав суперадминистратора для соответствующей учетной записи Google Workspace, обратитесь к суперадминистратору этой учетной записи и отправьте ему идентификатор клиента вашей учетной записи службы и список областей OAuth, чтобы он мог выполнить следующие шаги в консоли администратора.

    1. В консоли администратора Google перейдите в > Безопасность > Управление доступом и данными > Элементы управления API .

      Перейти к элементам управления API

    2. Нажмите «Управление делегированием на уровне домена» .
    3. Нажмите Добавить новый .
    4. В поле «Идентификатор клиента» вставьте скопированный ранее идентификатор клиента.
    5. В поле «Области действия OAuth» введите список областей действия, требуемых вашим приложением, разделённый запятыми. Это тот же набор областей действия, который вы определили при настройке экрана согласия OAuth.
    6. Нажмите «Авторизовать» .

Следующий шаг

Вы готовы к разработке в Google Workspace! Ознакомьтесь со списком продуктов для разработчиков Google Workspace и узнайте, как найти помощь .