הגדרה ראשונית

הגדרה למפתח

הפעלה של חבילת API לפרויקט בענן

  • נכנסים אל Cloud Console: https://console.cloud.google.com/.
  • בוחרים פרויקט קיים בענן או יוצרים פרויקט חדש.
  • למעבר אל APIs & Services > Enable APIs and Services.
  • מחפשים את Chrome.
  • בוחרים באפשרות Chrome Management API.
  • מומלץ לקרוא את התנאים וההגבלות.
  • לוחצים על Enable.

ליצירת פרטי כניסה

חלופה 1: מזהי לקוח ב-OAuth 2.0

  • לפני שתהיה לך אפשרות ליצור מזהה לקוח ב-OAuth 2.0, עליך להגדיר את מסך ההסכמה של OAuth עם מידע על האפליקציה שלך. במסוף Cloud, עוברים אל APIs & Services > OAuth consent screen.

  • בדף ההגדרות של מסך ההסכמה, מזינים את ההיקפים:

    • ל-Reports API יש להוסיף: https://www.googleapis.com/auth/chrome.management.reports.readonly
    • ל-App Details API יש להוסיף: https://www.googleapis.com/auth/chrome.management.appdetails.readonly
    • ל-Telemetry API יש להוסיף: https://www.googleapis.com/auth/chrome.management.telemetry.readonly

    לתשומת ליבכם: היקפים שנוספו הם רגישים ולכן ייתכן שתצטרכו לשלוח את האפליקציה לאימות. אחרת, המשתמשים עשויים לראות מסך אזהרת אבטחה אם האפליקציה שלך אינה פנימית.

  • עוברים אל APIs & Services > Credentials > Create Credentials > OAuth client ID ופועלים לפי השלבים ליצירת פרטי הכניסה.

  • לחלופין, אפשר לבדוק את האפליקציה ב-OAuth Playground (ראה הנחיות לביצוע).

חלופה 2: חשבון שירות

  • למעבר אל APIs & Services > Credentials > Create Credentials > Service account.
  • מזינים את השם של חשבון השירות ולוחצים על Create.
  • יוצרים מפתח לחשבון השירות. לוחצים על Add Key ויוצרים מפתח JSON. יש לעקוב אחר הקובץ במקום מאובטח.
  • משתמשים בחשבון השירות עם הרשאות אדמין מתאימות עבור הלקוח:
    • הלקוח יכול להגדיר הענקת גישה ברמת הדומיין, ולאחר מכן חשבון השירות יוכל להתחזות למשתמש/מנהל מערכת שיש לו את ההרשאות המתאימות (למידע נוסף)
    • או הלקוח יכולים להעניק לחשבון השירות תפקיד אדמין עם ההרשאות המתאימות ישירות (ראו כיצד).

הגדרה ללקוח

אפשרויות ההגדרה של האדמין של הלקוח משתנות בהתאם לסוג האפליקציה שהמפתח יצר.

אפליקציות לקוח OAuth 2.0

אין צורך בהגדרה מיוחדת.

למשתמשים באפליקציה נדרשות הרשאות אדמין מתאימות (כאן מוסבר איך).

משתמשי האפליקציה צריכים להביע הסכמה למסך ההסכמה הקופץ של OAuth. יש לך אפשרות לתת לאפליקציה הזו הרשאה להשתמש ב'הענקת גישה ברמת הדומיין' (כאן מוסבר איך), פעולה שתשמיט את מסך ההסכמה הקופץ של OAuth למשתמשים.

אפשר גם לוודא שהאפליקציה לא חסומה או לתת אמון באפליקציה באופן מפורש (כאן מוסבר איך).

אפליקציות חשבון שירות

יש להעניק לחשבון השירות הרשאות אדמין מתאימות. ניתן לעשות זאת בשתי דרכים:

  • מומלץ לאפשר הענקת גישה ברמת הדומיין כדי שחשבון השירות יוכל להתחזות לאדמין שיש לו את ההרשאות המתאימות (כך עושים זאת).
  • להעניק תפקידי אדמין לחשבון השירות באופן ישיר (כך עושים זאת).

מדריכי 'איך עושים'

איך לחסום אפליקציה או לתת לה אמון

  • כאדמין, יש להיכנס למסוף Admin (בכתובת https://admin.google.com/).
  • נווט אל Security > Access and data control > API controls.
  • בקטע App access control, לוחצים על Manage third party app access.
  • אם האפליקציה לא מופיעה ברשימה 'אפליקציות מקושרות', אפשר להגדיר אפליקציה חדשה.
  • עכשיו אפשר לחסום את האפליקציה או לתת לה אמון באופן מפורש.

כיצד להפעיל הענקת גישה ברמת הדומיין

  • כאדמין, יש להיכנס למסוף Admin (בכתובת https://admin.google.com/).
  • נווט אל Security > Access and data control > API controls > Domain-wide delegation.
  • לוחצים על Add new.
  • מזינים מזהה לקוח ('מזהה ייחודי לחשבון שירות' או 'מזהה לקוח אפליקציה').
  • יש להזין את כל ההיקפים הנדרשים של OAuth. בהתאם לאפליקציה, יכול להיות שתצטרכו להזין היקפים נוספים מלבד Chrome Management API, כמו Directory API לניהול מכשירים, משתמשים, דפדפנים, יחידות ארגוניות, קבוצות וכו'.
  • לוחצים על Authorize.

איך לנהל הרשאות אדמין

לחלקים שונים של ממשקי Chrome Management API נדרשות הרשאות אדמין שונות. תוכלו לבדוק אילו הרשאות אדמין נדרשות ב-Reports API, ב-App Details API או ב-Telemetry API.

כדי להעניק הרשאות:

  • כאדמין, יש להיכנס למסוף Admin (בכתובת https://admin.google.com/).
  • ניווט לדף Admin roles.
  • אפשר לחפש תפקיד קיים או ליצור תפקיד חדש עם ההרשאות הנדרשות.
  • מקצים את התפקיד הזה לכתובת האימייל של המשתמש או לכתובת האימייל של חשבון השירות.

איך לבדוק את האפליקציה ב-OAuth Playground

  • במסוף Cloud, כשיוצרים מזהה לקוח OAuth לאפליקציה (ראו למעלה בקטע מזהי לקוחות ב-OAuth 2.0), צריך לבחור את סוג האפליקציה 'אפליקציות אינטרנט'.
  • מזינים שם.
  • כדי לבדוק את האפליקציה, יש להוסיף את https://developers.google.com/oauthplayground לשדה 'מזהי URI מורשים להפניה אוטומטית'. ניתן להסיר את ה-URI של ההפניה מחדש מהאפליקציה לאחר סיום הבדיקה.
  • לוחצים על Create ומעתיקים את 'מזהה הלקוח' ו'סוד הלקוח'.
  • עוברים אל מגרש המשחקים של OAuth
  • לוחצים על סמל גלגל השיניים בפינה השמאלית העליונה ('הגדרת OAuth 2.0'), בוחרים באפשרות Use your own OAuth credentials ומזינים 'מזהה לקוח OAuth' ו'סוד לקוח OAuth'.

  • יש לפעול לפי השלבים הבאים ב-OAuth Playground

    • בוחרים ממשקי API ומאשרים אותם.

      מוסיפים את https://www.googleapis.com/auth/chrome.management.reports.readonly (או היקף אחר לממשק ה-API) בשדה להזנת הקלט של ההיקף ולוחצים על 'אישור ממשקי API'. מתן הרשאה באמצעות חשבון אדמין של לקוח. מאשרים את התנאים.

    • החלפת קוד הרשאה לאסימונים.

      לוחצים על Exchange authorization code for tokens. אפשר גם ללחוץ על Auto-refresh the token before it expires.

    • הגדרת הבקשה ל-API.

      מזינים את כתובת ה-URL של ה-API בתיבת הטקסט 'Request URI'. יש לשנות את 'שיטת HTTP', 'יש להזין את גוף הבקשה' וכו' בהתאם למפרט ה-API. לדוגמה, אפשר להשתמש בכתובת ה-URL הבאה כדי לספור את האפליקציות המותקנות בארגון: https://chromemanagement.googleapis.com/v1alpha1/customers/my_customer/reports:countInstalledApps