יצירת פרטי כניסה לגישה

פרטי הכניסה משמשים לקבלת אסימון גישה משרתי ההרשאות של Google, כדי שהאפליקציה תוכל להפעיל ממשקי Google Workspace API. במדריך הזה מוסבר איך לבחור ולהגדיר את פרטי הכניסה שהאפליקציה צריכה.

הסברים על המונחים שמופיעים בדף הזה זמינים במאמר סקירה כללית על אימות והרשאה.

בחירת פרטי הגישה שמתאימים לכם

פרטי הכניסה הנדרשים תלויים בסוג הנתונים, בפלטפורמה ובמתודולוגיית הגישה של האפליקציה. יש שלושה סוגים של פרטי כניסה:

תרחיש לדוגמה שיטת אימות מידע על שיטת האימות הזו
גישה אנונימית לנתונים שזמינים לציבור באפליקציה. מפתחות API לכן כדאי לוודא שממשק ה-API שבו תרצו להשתמש תומך במפתחות API, לפני שתשתמשו בשיטת האימות הזו.
גישה לנתוני משתמשים כמו כתובת האימייל או הגיל שלהם. מזהה לקוח ב-OAuth האפליקציה שלך צריכה לבקש הסכמה מהמשתמש ולקבל אותה.
גישה לנתונים ששייכים לאפליקציה שלכם או גישה למשאבים בשם משתמשי Google Workspace או Cloud Identity באמצעות הענקת גישה ברמת הדומיין. חשבון שירות כשאפליקציה מבצעת אימות כחשבון שירות, יש לה גישה לכל המשאבים שחשבון השירות מורשה לגשת אליהם.

פרטי כניסה של מפתח API

מפתח API הוא מחרוזת ארוכה שמכילה אותיות רישיות וקטנות, מספרים, קווים תחתונים ומקפים, למשל AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. שיטת האימות הזו משמשת לגישה אנונימית לנתונים שזמינים לציבור, כמו קבצים ב-Google Workspace ששותפו באמצעות הגדרת השיתוף 'כל מי שיש לו את הקישור הזה באינטרנט'. מידע נוסף זמין במאמר שימוש במפתחות API.

כך יוצרים מפתח API:

  1. במסוף Google Cloud, לוחצים על סמל התפריט > APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על Create credentials > API key.
  3. מפתח ה-API החדש מוצג.
    • לוחצים על סמל ההעתקה כדי להעתיק את מפתח ה-API לשימוש בקוד של האפליקציה. מפתח ה-API מופיע גם בקטע API Keys (מפתחות API) בפרטי הכניסה של הפרויקט.
    • כדי למנוע שימוש לא מורשה, מומלץ להגביל את המקומות שבהם אפשר להשתמש במפתח ה-API ואת ממשקי ה-API שאפשר להשתמש בו עבורם. פרטים נוספים זמינים במאמר בנושא הוספת הגבלות על ממשקי API.

פרטי כניסה של מזהה לקוח ב-OAuth

כדי לאמת משתמשי קצה ולגשת לנתוני משתמשים באפליקציה, צריך ליצור מזהה לקוח אחד או יותר ב-OAuth 2.0. מזהה הלקוח משמש לזיהוי של אפליקציה אחת בשרתי OAuth של Google. אם האפליקציה פועלת בכמה פלטפורמות, צריך ליצור מזהה לקוח נפרד לכל פלטפורמה.

בוחרים את סוג האפליקציה כדי לקבל הוראות ספציפיות ליצירת מזהה לקוח ב-OAuth:

אפליקציית אינטרנט

  1. במסוף Google Cloud, עוברים אל תפריט > > Clients.

    כניסה לדף Clients

  2. לוחצים על Create Client.
  3. לוחצים על Application type> Web application.
  4. בשדה Name, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. מוסיפים מזהי URI מורשים שקשורים לאפליקציה:
    • אפליקציות בצד הלקוח (JavaScript) – בקטע מקורות מורשים של JavaScript, לוחצים על הוספת URI. לאחר מכן, מזינים URI לשימוש בבקשות של הדפדפן. הפרמטר הזה מזהה את הדומיינים שמהם האפליקציה יכולה לשלוח בקשות API לשרת OAuth 2.0.
    • אפליקציות בצד השרת (Java,‏ Python ועוד) – בקטע כתובות URI מורשות להפניה אוטומטית, לוחצים על הוספת כתובת URI. לאחר מכן, מזינים URI של נקודת קצה שאליה שרת OAuth 2.0 יכול לשלוח תגובות.
  6. לוחצים על יצירה.

    פרטי הכניסה החדשים שנוצרו מופיעים בקטע מזהי לקוח ב-OAuth 2.0.

    חשוב לשים לב למזהה הלקוח. אין שימוש בסודות לקוח באפליקציות אינטרנט.

Android

  1. במסוף Google Cloud, עוברים אל תפריט > > Clients.

    כניסה לדף Clients

  2. לוחצים על Create Client.
  3. לוחצים על Application type> Android.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'שם החבילה' מזינים את שם החבילה מקובץ AndroidManifest.xml.
  6. בשדה 'טביעת אצבע לאישור SHA-1', מזינים את טביעת האצבע לאישור SHA-1 שנוצרה.
  7. לוחצים על יצירה.

    פרטי הכניסה החדשים שנוצרו מופיעים בקטע OAuth 2.0 Client IDs.

iOS

  1. במסוף Google Cloud, עוברים אל תפריט > > Clients.

    כניסה לדף Clients

  2. לוחצים על Create Client.
  3. לוחצים על Application type> iOS.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה חבילה', מזינים את מזהה החבילה כפי שרשום בקובץ Info.plist של האפליקציה.
  6. אופציונלי: אם האפליקציה מופיעה ב-App Store של אפל, מזינים את מזהה האפליקציה ב-App Store.
  7. אופציונלי: בשדה Team ID (מזהה צוות), מזינים את המחרוזת הייחודית בת 10 התווים שנוצרת על ידי אפל ומוקצית לצוות שלכם.
  8. לוחצים על יצירה.

    פרטי הכניסה החדשים שנוצרו מופיעים בקטע OAuth 2.0 Client IDs.

תוסף ל-Chrome

  1. במסוף Google Cloud, עוברים אל תפריט > > Clients.

    כניסה לדף Clients

  2. לוחצים על Create Client.
  3. לוחצים על Application type (סוג האפליקציה) > Chrome Extension (תוסף ל-Chrome).
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה פריט', מזינים את מחרוזת המזהה הייחודית של האפליקציה, באורך 32 תווים. אפשר למצוא את ערך המזהה הזה בכתובת ה-URL של האפליקציה בחנות האינטרנט של Chrome ובמרכז השליטה למפתחים של חנות האינטרנט של Chrome.
  6. לוחצים על יצירה.

    פרטי הכניסה החדשים שנוצרו מופיעים בקטע OAuth 2.0 Client IDs.

אפליקציה לשולחן העבודה

  1. במסוף Google Cloud, עוברים אל תפריט > > Clients.

    כניסה לדף Clients

  2. לוחצים על Create Client.
  3. לוחצים על Application type> Desktop app.
  4. בשדה Name, מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. לוחצים על Create.

    פרטי הכניסה החדשים שנוצרו מופיעים בקטע OAuth 2.0 Client IDs.

טלוויזיות והתקני קלט עם הגבלות

  1. במסוף Google Cloud, עוברים אל תפריט > > Clients.

    כניסה לדף Clients

  2. לוחצים על Create Client.
  3. לוחצים על Application type> TVs & Limited Input devices.
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. לוחצים על Create.

    פרטי הכניסה החדשים שנוצרו מופיעים בקטע OAuth 2.0 Client IDs.

Universal Windows Platform (UWP)‎

  1. במסוף Google Cloud, עוברים אל תפריט > > Clients.

    כניסה לדף Clients

  2. לוחצים על Create Client.
  3. לוחצים על Application type> Universal Windows Platform (UWP).
  4. בשדה 'שם', מקלידים שם לפרטי הכניסה. השם הזה מוצג רק במסוף Google Cloud.
  5. בשדה 'מזהה החנות', מזינים את הערך של מזהה האפליקציה בחנות Microsoft Store. המזהה הוא ייחודי ומורכב מ-12 תווים. אפשר למצוא את המזהה הזה בכתובת ה-URL של האפליקציה ב-Microsoft Store ובמרכז השותפים.
  6. לוחצים על יצירה.

    פרטי הכניסה החדשים שנוצרו מופיעים בקטע OAuth 2.0 Client IDs.

פרטי כניסה לחשבון שירות

חשבון שירות הוא סוג מיוחד של חשבון, שאפליקציה (ולא אדם) משתמשת בו. אפשר להשתמש בחשבון שירות כדי לגשת לנתונים או לבצע פעולות באמצעות חשבון הרובוט, או כדי לגשת לנתונים בשם משתמשי Google Workspace או Cloud Identity. מידע נוסף זמין במאמר עבודה עם חשבון שירות.

יצירה של חשבון שירות

מסוף Google Cloud

  1. במסוף Google Cloud, לוחצים על סמל התפריט > IAM & Admin > Service Accounts (חשבונות שירות).

    לדף Service accounts

  2. לוחצים על יצירת חשבון שירות.
  3. ממלאים את פרטי חשבון השירות ולוחצים על יצירה והמשך.
  4. אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים בפרויקט Google Cloud. פרטים נוספים זמינים במאמר הענקה, שינוי וביטול גישה למשאבים.
  5. לוחצים על המשך.
  6. אופציונלי: מזינים משתמשים או קבוצות שיכולים לנהל את חשבון השירות הזה ולבצע בו פעולות. פרטים נוספים זמינים במאמר ניהול התחזות לחשבון שירות.
  7. לוחצים על סיום. רושמים את כתובת האימייל של חשבון השירות.

CLI של gcloud

  1. יוצרים את חשבון השירות: 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --display-name="SERVICE_ACCOUNT_NAME"
  2. אופציונלי: מקצים תפקידים לחשבון השירות כדי לתת גישה למשאבים בפרויקט Google Cloud. פרטים נוספים זמינים במאמר הענקה, שינוי וביטול גישה למשאבים.

הקצאת תפקיד לחשבון שירות

צריך להקצות לחשבון שירות תפקיד מוגדר מראש או תפקיד בהתאמה אישית דרך חשבון סופר-אדמין.

  1. במסוף Google Admin, לוחצים על סמל התפריט > חשבון > תפקידי אדמין.

    לדף 'תפקידי אדמין'

  2. מצביעים על התפקיד שרוצים להקצות ולוחצים על הקצאת אדמין.

  3. לוחצים על בחירת חשבונות שירות לתפקיד.

  4. מזינים את כתובת האימייל של חשבון השירות.

  5. לוחצים על הוספה > הקצאת תפקיד.

יצירת פרטי כניסה לחשבון שירות

צריך לקבל אישורים בצורה של זוג מפתחות ציבורי/פרטי. פרטי הכניסה האלה משמשים את הקוד שלכם כדי לאשר פעולות של חשבון שירות באפליקציה.

כדי לקבל פרטי כניסה לחשבון השירות:

  1. במסוף Google Cloud, לוחצים על סמל התפריט > IAM & Admin > Service Accounts (חשבונות שירות).

    לדף Service accounts

  2. בוחרים את חשבון השירות.
  3. לוחצים על מפתחות > הוספת מפתח > יצירת מפתח חדש.
  4. בוחרים באפשרות JSON ולוחצים על Create.

    זוג המפתחות הציבורי/הפרטי החדש נוצר ומורד למחשב שלכם כקובץ חדש. שומרים את קובץ ה-JSON שהורדתם בשם credentials.json בספריית העבודה. הקובץ הזה הוא העותק היחיד של המפתח. מידע על אחסון מאובטח של המפתח זמין במאמר ניהול מפתחות לחשבונות שירות.

  5. לוחצים על סגירה.

אופציונלי: הגדרת הענקת גישה ברמת הדומיין לחשבון שירות

כדי לבצע קריאות ל-API בשם משתמשים בארגון Google Workspace, צריך להעניק לחשבון השירות הרשאת גישה ברמת הדומיין במסוף Google Admin באמצעות חשבון סופר-אדמין. מידע נוסף זמין במאמר הענקת הרשאה ברמת הדומיין לחשבון שירות.

כדי להגדיר הענקת הרשאות ברמת הדומיין לחשבון שירות:

  1. במסוף Google Cloud, לוחצים על סמל התפריט > IAM & Admin > Service Accounts (חשבונות שירות).

    לדף Service accounts

  2. בוחרים את חשבון השירות.
  3. לוחצים על הצגת הגדרות מתקדמות.
  4. בקטע 'הענקת גישה ברמת הדומיין', מחפשים את 'מזהה הלקוח' של חשבון השירות. לוחצים על סמל ההעתקה כדי להעתיק את הערך של מזהה הלקוח ללוח.

  5. אם יש לכם גישת סופר-אדמין לחשבון Google Workspace הרלוונטי, לוחצים על הצגת מסוף Google Admin, נכנסים באמצעות חשבון משתמש סופר-אדמין וממשיכים לפי השלבים האלה.

    אם אין לכם גישת סופר-אדמין לחשבון Google Workspace הרלוונטי, פנו לסופר-אדמין בחשבון הזה ושלחו לו את מזהה הלקוח של חשבון השירות ואת רשימת היקפי ההרשאות של OAuth כדי שהוא יוכל לבצע את השלבים הבאים במסוף Admin.

    1. במסוף Google Admin, לוחצים על סמל התפריט > אבטחה > שליטה בגישה ובנתונים > אמצעי בקרה של API.

      מעבר אל אמצעי בקרה ל-API

    2. לוחצים על ניהול של הענקת גישה ברמת הדומיין.
    3. לוחצים על הוספת חדש.
    4. בשדה Client ID (מזהה הלקוח), מדביקים את מזהה הלקוח שהעתקתם קודם.
    5. בשדה 'היקפי הרשאות של OAuth', מזינים רשימה של היקפי ההרשאות שנדרשים לאפליקציה, כשהם מופרדים בפסיקים. זהו אותו סט של היקפי הרשאות שהגדרתם כשקבעתם את מסך ההסכמה של OAuth.
    6. לוחצים על Authorize.

השלב הבא

הכל מוכן לפיתוח ב-Google Workspace! כדאי לעיין ברשימת מוצרי הפיתוח של Google Workspace ובמאמר בנושא איך לקבל עזרה.