Wstępna konfiguracja

Konfiguracja dla dewelopera

Włącz pakiet interfejsów API dla projektu w chmurze

  • Otwórz konsolę Cloud: https://console.cloud.google.com/.
  • Wybierz istniejący projekt w chmurze lub utwórz nowy.
  • Otwórz: APIs & Services > Enable APIs and Services.
  • Wyszukaj „Chrome”.
  • Kliknij „Chrome Management API”.
  • Zapoznaj się z Warunkami korzystania z usługi.
  • Kliknij Enable.

Utwórz dane logowania

Wersja alternatywna 1: identyfikatory klienta OAuth 2.0

  • Zanim utworzysz „Identyfikator klienta OAuth 2.0”, musisz najpierw skonfigurować ekran zgody OAuth z informacjami o Twojej aplikacji. W Cloud Console kliknij APIs & Services > OAuth consent screen.

  • Na stronie konfiguracji ekranu zgody wpisz zakresy:

    • Do interfejsu Reports API dodaj: https://www.googleapis.com/auth/chrome.management.reports.readonly
    • Do interfejsu App Details API dodaj: https://www.googleapis.com/auth/chrome.management.appdetails.readonly
    • Do interfejsu Telemetry API dodaj: https://www.googleapis.com/auth/chrome.management.telemetry.readonly

    Dodane zakresy są wrażliwe, więc konieczne może być przesłanie aplikacji do weryfikacji. W przeciwnym razie użytkownicy mogą zobaczyć ekran z ostrzeżeniem dotyczącym bezpieczeństwa, jeśli aplikacja nie jest wewnętrzną.

  • Otwórz APIs & Services > Credentials > Create Credentials > OAuth client ID i postępuj zgodnie z instrukcjami, aby utworzyć dane logowania.

  • Opcjonalnie przetestuj aplikację w OAuth Playground (zobacz instrukcje).

Opcja alternatywna 2: konto usługi

  • Otwórz: APIs & Services > Credentials > Create Credentials > Service account.
  • Wpisz nazwę konta usługi i kliknij Create.
  • Utwórz klucz dla konta usługi. Kliknij Add Key i utwórz klucz „json”. Miej plik w bezpiecznym miejscu.
  • Używaj konta usługi z odpowiednimi uprawnieniami administratora dla klienta:
    • Klient może skonfigurować przekazywanie dostępu w całej domenie, a następnie konto usługi może przyjmować tożsamość użytkownika/administratora z odpowiednimi uprawnieniami (zobacz jak).
    • lub klient może przypisać rolę administratora z odpowiednimi uprawnieniami bezpośrednio do konta usługi (zobacz, jak to zrobić).

Skonfiguruj dla klienta

W zależności od typu aplikacji utworzonego przez dewelopera administrator klienta ma różne opcje konfiguracji.

Aplikacje „Klient OAuth 2.0”

Nie jest wymagana żadna specjalna konfiguracja.

Użytkownicy aplikacji potrzebują odpowiednich uprawnień administratora (zobacz, jak to zrobić).

Użytkownicy aplikacji muszą wyrazić zgodę na wyskakujące okienko z prośbą o zgodę na wykorzystanie danych OAuth. Opcjonalnie możesz zezwolić tej aplikacji na korzystanie z przekazywania w całej domenie (zobacz, jak to zrobić), co spowoduje pominięcie wyskakującego okienka zgody OAuth u użytkowników.

Opcjonalnie sprawdź, czy aplikacja nie jest zablokowana, czy jako zaufana aplikacja (więcej informacji).

Aplikacje typu „Konto usługi”

Konto usługi musi mieć odpowiednie uprawnienia administratora. Możesz to zrobić na 2 sposoby:

  • Zezwalaj na przekazywanie dostępu w całej domenie, aby konto usługi mogło przyjmować tożsamość administratora z odpowiednimi uprawnieniami (zobacz instrukcje).
  • Przypisz role administratora bezpośrednio do konta usługi (zobacz jak).

Instrukcje

Jak zablokować aplikację lub zaufać aplikacji

  • Jako administrator klienta otwórz konsolę administracyjną (https://admin.google.com/).
  • Wejdź na Security > Access and data control > API controls.
  • W sekcji App access control kliknij Manage third party app access.
  • Jeśli nie widzisz jej na liście „Połączone aplikacje”, możesz skonfigurować nową aplikację.
  • Teraz możesz zablokować aplikację lub oznaczyć ją jako zaufaną.

Jak włączyć przekazywanie dostępu w całej domenie

  • Jako administrator klienta otwórz konsolę administracyjną (https://admin.google.com/).
  • Wejdź na Security > Access and data control > API controls > Domain-wide delegation.
  • Kliknij Add new.
  • Wpisz identyfikator klienta („unikalny identyfikator konta usługi” lub „identyfikator klienta aplikacji”).
  • Wpisz wszystkie niezbędne zakresy OAuth. W zależności od aplikacji może być konieczne wpisanie zakresów nie tylko dla interfejsu API zarządzania Chrome, np. interfejsu Directory API do zarządzania urządzeniami, użytkownikami, przeglądarkami, jednostkami organizacyjnymi, grupami itp.
  • Kliknij Authorize.

Jak zarządzać uprawnieniami administratora

W przypadku różnych sekcji interfejsów API do zarządzania Chrome wymagane są różne uprawnienia administratora. Sprawdź, które uprawnienia administratora są wymagane w przypadku interfejsów Reports API, App Details API lub Telemetry API.

Aby przyznać uprawnienia:

  • Jako administrator klienta otwórz konsolę administracyjną (https://admin.google.com/).
  • Otwórz stronę Admin roles.
  • Znajdź istniejącą rolę lub utwórz nową z odpowiednimi uprawnieniami.
  • Przypisz tę rolę do adresu e-mail użytkownika lub konta usługi.

Jak przetestować aplikację w OAuth Playground

  • Podczas tworzenia identyfikatora klienta OAuth dla aplikacji w konsoli Cloud (patrz sekcja Identyfikatory klienta OAuth 2.0) wybierz typ aplikacji „Aplikacje internetowe”.
  • Wypełnij pole „Nazwa”.
  • Aby przetestować swoją aplikację, dodaj https://developers.google.com/oauthplayground w polu „Autoryzowane identyfikatory URI przekierowania”. Po zakończeniu testowania możesz usunąć z aplikacji identyfikator URI przekierowania.
  • Kliknij Create i skopiuj „identyfikator klienta” oraz „klucz klienta”.
  • Otwórz protokół OAuth Playground.
  • Kliknij ikonę koła zębatego w prawym górnym rogu („Konfiguracja protokołu OAuth 2.0”), wybierz Use your own OAuth credentials i wpisz „Identyfikator klienta OAuth” oraz „Tajny klucz klienta OAuth”.

  • Wykonaj te czynności w OAuth Playground

    • Wybierz i autoryzuj interfejsy API.

      Dodaj https://www.googleapis.com/auth/chrome.management.reports.readonly (lub inny zakres interfejsu API) w polu do wprowadzania zakresu i kliknij „Autoryzuj interfejsy API”. Autoryzuj przy użyciu konta administratora klienta. Zaakceptuj warunki.

    • Wymiana kodu autoryzacji tokenów.

      Kliknij Exchange authorization code for tokens. Opcjonalnie kliknij Auto-refresh the token before it expires.

    • Skonfiguruj żądanie do interfejsu API.

      W polu tekstowym „Identyfikator URI żądania” wpisz adres URL interfejsu API. Zmodyfikuj „HTTP Method” (Metoda HTTP), „Wpisz treść żądania” itp. zgodnie ze specyfikacją interfejsu API. Aby na przykład zliczyć wszystkie aplikacje zainstalowane w organizacji, użyj tego adresu URL: https://chromemanagement.googleapis.com/v1alpha1/customers/my_customer/reports:countInstalledApps