Ersteinrichtung

Einrichtung für Entwickler

API-Suite für Cloud-Projekt aktivieren

  • Rufen Sie die Cloud Console auf: https://console.cloud.google.com/.
  • Wählen Sie ein vorhandenes Cloud-Projekt aus oder erstellen Sie ein neues.
  • Öffnen Sie APIs & Services > Enable APIs and Services.
  • Suchen Sie nach „Chrome“.
  • Wählen Sie „Chrome Management API“ aus.
  • Machen Sie sich mit den Nutzungsbedingungen vertraut.
  • Klicken Sie auf Enable.

Anmeldedaten erstellen

Alternative 1: OAuth 2.0-Client-IDs

  • Bevor Sie eine "OAuth 2.0-Client-ID" erstellen können, müssen Sie zuerst den OAuth-Zustimmungsbildschirm mit Informationen zu Ihrer Anwendung konfigurieren. Rufen Sie in der Cloud Console APIs & Services > OAuth consent screen auf.

  • Geben Sie auf der Konfigurationsseite des Zustimmungsbildschirms die Bereiche ein:

    • Fügen Sie für die Reports API Folgendes hinzu: https://www.googleapis.com/auth/chrome.management.reports.readonly
    • Fügen Sie für die App Details API Folgendes hinzu: https://www.googleapis.com/auth/chrome.management.appdetails.readonly
    • Fügen Sie für die Telemetry API Folgendes hinzu: https://www.googleapis.com/auth/chrome.management.telemetry.readonly

    Beachten Sie, dass hinzugefügte Bereiche vertraulich sind. Daher müssen Sie Ihre Anwendung möglicherweise zur Prüfung einreichen. Andernfalls wird Nutzern möglicherweise ein Bildschirm mit einer Sicherheitswarnung angezeigt, wenn Ihre App nicht intern ist.

  • Rufen Sie APIs & Services > Credentials > Create Credentials > OAuth client ID auf und folgen Sie der Anleitung zum Erstellen der Anmeldedaten.

  • Testen Sie Ihre Anwendung optional in OAuth Playground (siehe Anleitung).

Alternative 2: Dienstkonto

  • Öffnen Sie APIs & Services > Credentials > Create Credentials > Service account.
  • Geben Sie den Namen des Dienstkontos ein und klicken Sie auf Create.
  • Erstellen Sie einen Schlüssel für Ihr Dienstkonto. Klicken Sie auf Add Key und erstellen Sie den JSON-Schlüssel. Bewahren Sie die Datei an einem sicheren Ort auf.
  • Verwenden Sie Ihr Dienstkonto mit den erforderlichen Administratorberechtigungen für den Kunden:
    • Der Kunde kann die domainweite Delegierung einrichten. Dann kann das Dienstkonto die Identität eines Nutzers/Administrators mit den entsprechenden Berechtigungen übernehmen (Anleitung).
    • Alternativ kann der Kunde dem Dienstkonto direkt eine Administratorrolle mit den entsprechenden Berechtigungen zuweisen (Anleitung).

Einrichtung für einen Kunden

Je nachdem, welchen Anwendungstyp der Entwickler erstellt hat, hat der Kundenadministrator unterschiedliche Einrichtungsoptionen.

"OAuth 2.0-Client"-Apps

Es ist keine spezielle Einrichtung erforderlich.

App-Nutzer benötigen die erforderlichen Administratorberechtigungen (Anleitung).

App-Nutzer müssen dem OAuth-Pop-up-Zustimmungsbildschirm zustimmen. Optional können Sie dieser App erlauben, domainweite Delegierung zu verwenden (Anleitung), wodurch der OAuth-Pop-up-Zustimmungsbildschirm für Nutzer ausgelassen wird.

Optional können Sie überprüfen, ob die App nicht blockiert ist, oder der App explizit vertrauen (Anleitung).

Dienstkonto-Apps

Dem Dienstkonto müssen die entsprechenden Administratorberechtigungen gewährt werden. Dazu haben Sie zwei Möglichkeiten:

  • Erlauben Sie die domainweite Delegierung, damit das Dienstkonto die Identität eines Administrators mit den entsprechenden Berechtigungen übernehmen kann. Weitere Informationen
  • Weisen Sie dem Dienstkonto Administratorrollen direkt zu. Weitere Informationen

Anleitungen

Apps blockieren oder als vertrauenswürdig einstufen

  • Rufen Sie als Kundenadministrator die Admin-Konsole auf (https://admin.google.com/).
  • Rufen Sie Security > Access and data control > API controls auf.
  • Klicken Sie im Abschnitt App access control auf Manage third party app access.
  • Wenn die App nicht in der Liste „Verbundene Apps“ angezeigt wird, können Sie eine neue App konfigurieren.
  • Sie können die App jetzt blockieren oder ihr ausdrücklich als vertrauenswürdig einstufen.

So aktivieren Sie die domainweite Delegierung

  • Rufen Sie als Kundenadministrator die Admin-Konsole auf (https://admin.google.com/).
  • Rufen Sie Security > Access and data control > API controls > Domain-wide delegation auf.
  • Klicken Sie auf Add new.
  • Geben Sie die Client-ID ein („eindeutige ID des Dienstkontos“ oder „App-Client-ID“).
  • Geben Sie alle erforderlichen OAuth-Bereiche ein. Je nach App müssen Sie möglicherweise Bereiche für mehr als nur die Chrome Management API eingeben, z.B. die Directory API zum Verwalten von Geräten, Nutzern, Browsern, OEs, Gruppen usw.
  • Klicken Sie auf Authorize.

Administratorberechtigungen verwalten

Für verschiedene Teile der Chrome Management APIs sind unterschiedliche Administratorberechtigungen erforderlich. Sehen Sie sich an, welche Administratorberechtigungen für die Reports API, die App Details API oder die Telemetry API erforderlich sind.

So gewähren Sie Berechtigungen:

  • Rufen Sie als Kundenadministrator die Admin-Konsole auf (https://admin.google.com/).
  • Seite Admin roles aufrufen.
  • Suchen Sie nach einer vorhandenen Rolle oder erstellen Sie eine neue Rolle mit den erforderlichen Berechtigungen.
  • Weisen Sie diese Rolle der E-Mail-Adresse des Nutzers oder des Dienstkontos zu.

Anwendung in OAuth Playground testen

  • Wählen Sie in der Cloud Console beim Erstellen einer OAuth-Client-ID für Ihre Anwendung (siehe Abschnitt OAuth 2.0-Client-IDs oben) den Anwendungstyp „Webanwendungen“ aus.
  • Geben Sie einen Namen ein.
  • Fügen Sie dem Feld „Autorisierte Weiterleitungs-URIs“ https://developers.google.com/oauthplayground hinzu, um Ihre App zu testen. Sie können den Weiterleitungs-URI aus Ihrer App entfernen, wenn Sie mit dem Testen fertig sind.
  • Klicken Sie auf Create und kopieren Sie „Client-ID“ und „Clientschlüssel“.
  • Rufen Sie OAuth Playground auf.
  • Klicken Sie rechts oben auf das Zahnradsymbol („OAuth 2.0-Konfiguration“), wählen Sie Use your own OAuth credentials aus und geben Sie „OAuth-Client-ID“ und „OAuth-Clientschlüssel“ ein.

  • Schritte in OAuth Playground ausführen

    • APIs auswählen und autorisieren

      Fügen Sie https://www.googleapis.com/auth/chrome.management.reports.readonly (oder einen anderen API-Bereich) in das Eingabefeld für den Bereich ein und klicken Sie auf „APIs autorisieren“. Autorisieren Sie die Autorisierung mit einem Kundenadministratorkonto. Akzeptieren Sie die Bedingungen.

    • Autorisierungscode gegen Tokens austauschen.

      Klicken Sie auf Exchange authorization code for tokens. Optional: Klicken Sie auf Auto-refresh the token before it expires.

    • Konfigurieren Sie die Anfrage an die API.

      Geben Sie die API-URL in das Textfeld „Anfrage-URI“ ein. Ändern Sie entsprechend der API-Spezifikation „HTTP-Methode“, „Anfragetext eingeben“ usw. Verwenden Sie beispielsweise die folgende URL, um die in Ihrer Organisation installierten Apps zu zählen: https://chromemanagement.googleapis.com/v1alpha1/customers/my_customer/reports:countInstalledApps