Menyiapkan & mengizinkan permintaan

Sebelum memulai pengembangan, Anda perlu meninjau Persyaratan Layanan Chrome Policy API, membuat project Google Cloud, mengaktifkan Chrome Policy API, dan menyiapkan kredensial akses.

Chrome Policy API mengikuti izin peran admin dan diatur oleh cakupan otorisasi yang ditentukan.

Langkah 1: Buat project Google Cloud

Project Google Cloud diperlukan untuk menggunakan Chrome Policy API. Project ini membentuk dasar untuk membuat, mengaktifkan, dan menggunakan semua layanan Google Cloud, termasuk mengelola API, mengaktifkan penagihan, menambah dan menghapus kolaborator, serta mengelola izin.

Jika Anda belum memiliki project Google Cloud yang ingin digunakan, ikuti langkah-langkah di bawah ini untuk membuat project Google Cloud:

  1. Buka Google Cloud Console.
  2. Di kiri atas, klik Menu > IAM & Admin > Create a Project.
  3. Di kolom Project Name, masukkan nama deskriptif untuk project Anda.
  4. Di kolom Lokasi, klik Jelajahi untuk menampilkan organisasi yang tersedia untuk ditetapkan. Pilih organisasi yang kebijakan Chrome-nya ingin Anda kelola, lalu klik Pilih.
  5. Klik Create. Konsol akan membuka halaman Dashboard dan project Anda dibuat dalam beberapa menit.

Langkah 2: Aktifkan Chrome Policy API

Untuk mengaktifkan Chrome Policy API di project Google Cloud Anda:

  1. Buka Google Cloud Console.
  2. Di bagian atas, pilih project Google Cloud Anda.
  3. Di kiri atas, klik Menu > APIs & Services > Library.
  4. Di kolom penelusuran, masukkan "Chrome", lalu tekan Enter.
  5. Di daftar hasil penelusuran, klik Chrome Policy API.
  6. Klik Enable.
  7. Untuk mengaktifkan API lainnya, ulangi langkah 2–5.

Langkah 3: Buat kredensial

Permintaan ke Chrome Policy API dapat diautentikasi sebagai pengguna akhir atau akun layanan robot.

  1. Buka Google Cloud Console.
  2. Di bagian atas, pilih project Google Cloud Anda.
  3. Di kiri atas, klik Menu > APIs & Services > Layar persetujuan OAuth.
  4. Pilih jenis pengguna untuk aplikasi Anda, lalu klik Buat.
  5. Isi formulir pendaftaran aplikasi, lalu klik Simpan dan Lanjutkan.

  6. Klik Tambahkan atau hapus cakupan. Sebuah panel akan muncul dengan daftar cakupan untuk setiap API yang telah Anda aktifkan dalam project Google Cloud. Tambahkan salah satu cakupan otorisasi berikut:

    • https://www.googleapis.com/auth/chrome.management.policy
    • https://www.googleapis.com/auth/chrome.management.policy.readonly

    Cakupan readonly tidak mengizinkan operasi mutasi apa pun.

Menyiapkan autentikasi pengguna akhir atau akun layanan

Klik opsi di bawah untuk petunjuk terperinci:

Opsi 1: Mengautentikasi sebagai pengguna akhir dengan OAuth 2.0

  1. Buka Google Cloud Console.
  2. Di bagian atas, pilih project Google Cloud Anda.
  3. Di kiri atas, klik Menu > API & Layanan > Kredensial.
  4. Klik Buat Kredensial > Client ID OAuth.
  5. Ikuti langkah-langkah untuk membuat kredensial OAuth 2.0.

Tidak diperlukan penyiapan khusus di konsol Admin oleh admin Chrome organisasi untuk autentikasi OAuth 2.0. Pengguna aplikasi Anda harus memiliki izin peran admin yang diperlukan yang terkait dengan akun mereka dan menyetujui layar izin OAuth aplikasi.

Tips: Anda dapat menguji aplikasi di OAuth Playground.

Opsi 2: Autentikasi sebagai akun layanan

Akun layanan adalah jenis akun khusus yang digunakan oleh aplikasi, bukan orang. Anda dapat menggunakan akun layanan untuk mengakses data atau melakukan tindakan oleh akun robot itu sendiri, atau untuk mengakses data atas nama pengguna. Untuk detail selengkapnya, lihat Memahami akun layanan.

Membuat akun layanan & kredensial

  1. Buka Google Cloud Console.
  2. Di bagian atas, pilih project Google Cloud Anda.
  3. Di kiri atas, klik Menu > API & Layanan > Kredensial.
  4. Klik Create Credentials > Service account.
  5. Masukkan nama akun layanan, lalu klik Buat dan lanjutkan.
  6. Opsional: Tetapkan peran ke akun layanan Anda untuk memberikan akses ke resource project Google Cloud Anda. Untuk mengetahui detail selengkapnya, lihat Memberikan, mengubah, dan mencabut akses ke resource.
  7. Klik Continue.
  8. Opsional: Masukkan pengguna atau grup yang dapat mengelola dan melakukan tindakan dengan akun layanan ini. Untuk detail selengkapnya, lihat Mengelola peniruan identitas akun layanan.
  9. Klik Done. Setelah beberapa menit, akun layanan baru Anda akan muncul di daftar "Akun Layanan". (Anda mungkin perlu memuat ulang halaman.)
  10. Dalam daftar "Akun Layanan", klik akun layanan yang Anda buat.
  11. Klik Kunci > Tambahkan kunci > Buat kunci baru.
  12. Pilih JSON, lalu klik Create.

    Pasangan kunci umum/pribadi baru Anda dihasilkan dan diunduh ke komputer sebagai file baru. File ini adalah satu-satunya salinan kunci ini. Untuk informasi tentang cara menyimpan kunci Anda dengan aman, lihat Mengelola kunci akun layanan.

Mengizinkan akun layanan di konsol Admin

Jika Anda memilih untuk mengautentikasi permintaan sebagai akun layanan, administrator Chrome organisasi perlu melakukan langkah tambahan di konsol Admin untuk menyelesaikan prosesnya.

Admin Chrome dapat menetapkan peran ke akun layanan secara langsung dengan izin peran admin yang diperlukan, atau admin Chrome dapat menyiapkan delegasi di seluruh domain sehingga akun layanan dapat meniru identitas pengguna dengan izin yang tepat dan bertindak atas nama mereka.

Guna menyiapkan delegasi di seluruh domain untuk akun layanan Anda, admin Chrome harus mengikuti langkah-langkah berikut di konsol Admin:

  1. Buka konsol Admin.
  2. Di kiri atas, klik Menu > Keamanan > Kontrol data dan akses > Kontrol API.
  3. Klik Kelola Delegasi Tingkat Domain.
  4. Klik Tambahkan baru.
  5. Di kolom "ID Klien", tempel ID klien yang terkait dengan akun layanan Anda. Pelajari cara menemukan client ID akun layanan.
  6. Di kolom "Cakupan OAuth", masukkan daftar cakupan yang dipisahkan koma yang diperlukan oleh aplikasi akun layanan. Ini adalah kumpulan cakupan yang sama dengan yang ditetapkan saat mengonfigurasi layar izin OAuth.
  7. Klik Authorize.

Langkah 4: Uji aplikasi Anda di OAuth Playground

  1. Buka Google Cloud Console.
  2. Di bagian atas, pilih project Google Cloud Anda.
  3. Di kiri atas, klik Menu > APIs & Services > Credentials.
  4. Klik Buat Kredensial > Client ID OAuth.
  5. Klik Jenis aplikasi > Aplikasi web.
  6. Di kolom "Nama", ketik nama untuk kredensial. Nama ini hanya ditampilkan di Cloud Console.
  7. Untuk saat pengujian, tambahkan https://developers.google.com/oauthplayground ke "URI pengalihan yang diotorisasi". Anda dapat menghapus URI pengalihan ini dari aplikasi setelah pengujian, jika diperlukan.
  8. Klik Buat dan salin "client ID" dan "rahasia klien" ke papan klip Anda.
  9. Di tab baru, buka OAuth 2.0 Playground.
  10. Di kanan atas, klik Konfigurasi OAuth 2.0 .
  11. Pilih Gunakan kredensial OAuth Anda. Kemudian, tempel "client ID" dan "rahasia klien" yang Anda salin pada langkah 8 dan klik Tutup.
  12. Di sebelah kiri, ikuti langkah-langkah OAuth 2.0 Playground:
    • Untuk "Langkah 1: Pilih & otorisasi API", tambahkan https://www.googleapis.com/auth/chrome.management.policy dan cakupan API lain yang diperlukan, lalu klik Authorize APIs.
    • Untuk "Langkah 2: Kode otorisasi Exchange untuk token", Anda dapat secara opsional memilih Perbarui otomatis token sebelum masa berlakunya habis.
    • Untuk "Langkah 3: Konfigurasikan permintaan ke API", masukkan URI permintaan Chrome Policy API, dengan memodifikasi "Metode HTTP" dan setelan lainnya, sesuai kebutuhan. Contoh permintaan URL: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

Langkah 5: Verifikasi bahwa aplikasi tepercaya

Admin organisasi dapat menandai aplikasi sebagai tepercaya atau diblokir di konsol Admin. Untuk mengetahui detail selengkapnya, lihat Mengontrol aplikasi pihak ketiga & internal yang mengakses data Google Workspace.