ตั้งค่าคำขอการให้สิทธิ์

ก่อนเริ่มพัฒนา คุณต้องอ่านข้อกำหนดในการให้บริการของ Chrome Policy API, สร้างโปรเจ็กต์ Google Cloud, เปิดใช้ Chrome Policy API และตั้งค่าข้อมูลเข้าสู่ระบบ

API นโยบาย Chrome จะดำเนินการตามสิทธิ์ของบทบาทผู้ดูแลระบบและอยู่ภายใต้ขอบเขตการให้สิทธิ์ที่กำหนดไว้

ขั้นตอนที่ 1: สร้างโปรเจ็กต์ Google Cloud

ต้องมีโปรเจ็กต์ Google Cloud เพื่อใช้ API นโยบาย Chrome โปรเจ็กต์นี้เป็นพื้นฐานในการสร้าง เปิดใช้ และใช้บริการ Google Cloud ทั้งหมด ซึ่งรวมถึงการจัดการ API การเปิดใช้การเรียกเก็บเงิน การเพิ่มและนำผู้ทำงานร่วมกันออก ตลอดจนการจัดการสิทธิ์

หากยังไม่มีโปรเจ็กต์ Google Cloud ที่ต้องการใช้ ให้ทำตามขั้นตอนด้านล่างเพื่อสร้างโปรเจ็กต์ Google Cloud

  1. เปิดคอนโซล Google Cloud
  2. ที่ด้านซ้ายบน ให้คลิกเมนู > IAM และผู้ดูแลระบบ > สร้างโปรเจ็กต์
  3. ในช่องชื่อโปรเจ็กต์ ให้ป้อนชื่อที่สื่อความหมายสำหรับโปรเจ็กต์
  4. ในช่องตำแหน่ง ให้คลิกเรียกดูเพื่อแสดงองค์กรที่พร้อมใช้งานสำหรับการมอบหมาย เลือกองค์กรที่คุณต้องการจัดการนโยบาย Chrome แล้วคลิกเลือก
  5. คลิกสร้าง คอนโซลจะไปที่หน้าแดชบอร์ดและ ระบบจะสร้างโปรเจ็กต์ขึ้นภายในไม่กี่นาที

ขั้นตอนที่ 2: เปิดใช้ Chrome Policy API

วิธีเปิดใช้ Chrome Policy API ในโปรเจ็กต์ Google Cloud

  1. เปิดคอนโซล Google Cloud
  2. เลือกโปรเจ็กต์ Google Cloud ที่ด้านบน
  3. ที่ด้านซ้ายบน ให้คลิกเมนู > API และบริการ > ไลบรารี
  4. ในช่องค้นหา ให้ป้อน "Chrome" แล้วกด Enter
  5. คลิก Chrome Policy API ในรายการผลการค้นหา
  6. คลิกเปิดใช้
  7. หากต้องการเปิดใช้ API เพิ่มเติม ให้ทำขั้นตอนที่ 2-5 ซ้ำ

ขั้นตอนที่ 3: สร้างข้อมูลเข้าสู่ระบบ

คำขอที่ส่งไปยัง Chrome Policy API จะตรวจสอบสิทธิ์ได้ว่าเป็นผู้ใช้ปลายทางหรือบัญชีบริการโรบอต

  1. เปิดคอนโซล Google Cloud
  2. เลือกโปรเจ็กต์ Google Cloud ที่ด้านบน
  3. ที่ด้านซ้ายบน ให้คลิกเมนู > API และบริการ > หน้าจอขอความยินยอม OAuth
  4. เลือกประเภทผู้ใช้สำหรับแอป แล้วคลิกสร้าง
  5. กรอกแบบฟอร์มการลงทะเบียนแอป แล้วคลิกบันทึกและต่อไป

  6. คลิกเพิ่มหรือนำขอบเขตออก แผงควบคุมจะปรากฏขึ้นพร้อมรายการขอบเขตของ API แต่ละรายการที่คุณเปิดใช้ในโปรเจ็กต์ Google Cloud เพิ่มขอบเขตการให้สิทธิ์อย่างใดอย่างหนึ่งต่อไปนี้

    • https://www.googleapis.com/auth/chrome.management.policy
    • https://www.googleapis.com/auth/chrome.management.policy.readonly

    ขอบเขต readonly ไม่อนุญาตให้เปลี่ยนแปลง

ตั้งค่าการตรวจสอบสิทธิ์ผู้ใช้ปลายทางหรือบัญชีบริการ

คลิกตัวเลือกด้านล่างเพื่อดูวิธีการโดยละเอียด

ตัวเลือกที่ 1: ตรวจสอบสิทธิ์ในฐานะผู้ใช้ปลายทางด้วย OAuth 2.0

  1. เปิดคอนโซล Google Cloud
  2. เลือกโปรเจ็กต์ Google Cloud ที่ด้านบน
  3. ที่ด้านซ้ายบน ให้คลิกเมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
  4. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  5. ทำตามขั้นตอนเพื่อสร้างข้อมูลเข้าสู่ระบบ OAuth 2.0

ผู้ดูแลระบบ Chrome ขององค์กรไม่จำเป็นต้องมีการตั้งค่าพิเศษในคอนโซลผู้ดูแลระบบเพื่อตรวจสอบสิทธิ์ OAuth 2.0 ผู้ใช้แอปจะต้องมีสิทธิ์ที่จำเป็นสำหรับบทบาทผู้ดูแลระบบที่เชื่อมโยงกับบัญชีของตน และต้องยอมรับหน้าจอขอความยินยอม OAuth ของแอป

เคล็ดลับ: คุณทดสอบแอปใน OAuth Playground ได้

ตัวเลือกที่ 2: ตรวจสอบสิทธิ์ในฐานะบัญชีบริการ

บัญชีบริการเป็นบัญชีชนิดพิเศษที่แอปพลิเคชันใช้ ไม่ใช่บัญชีบุคคล คุณสามารถใช้บัญชีบริการเพื่อเข้าถึงข้อมูลหรือดำเนินการด้วยบัญชีโรบ็อตเอง หรือเพื่อเข้าถึงข้อมูลในนามของผู้ใช้ได้ ดูรายละเอียดเพิ่มเติมได้ที่การทำความเข้าใจบัญชีบริการ

สร้างบัญชีบริการและข้อมูลเข้าสู่ระบบ

  1. เปิดคอนโซล Google Cloud
  2. เลือกโปรเจ็กต์ Google Cloud ที่ด้านบน
  3. ที่ด้านซ้ายบน ให้คลิกเมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
  4. คลิกสร้างข้อมูลเข้าสู่ระบบ > บัญชีบริการ
  5. ป้อนชื่อบัญชีบริการ แล้วคลิกสร้างและต่อไป
  6. ไม่บังคับ: มอบหมายบทบาทให้บัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud โปรดดูรายละเอียดเพิ่มเติมที่การให้ เปลี่ยนแปลง และเพิกถอนสิทธิ์เข้าถึงทรัพยากร
  7. คลิกต่อไป
  8. ไม่บังคับ: ป้อนผู้ใช้หรือกลุ่มที่จัดการและดำเนินการต่างๆ ด้วยบัญชีบริการนี้ได้ โปรดดูรายละเอียดเพิ่มเติมที่การจัดการการแอบอ้างเป็นบัญชีบริการ
  9. คลิกเสร็จ หลังจากนั้นไม่กี่นาที บัญชีบริการใหม่ของคุณจะปรากฏในรายการ "บัญชีบริการ" (คุณอาจต้องรีเฟรชหน้าเว็บ)
  10. ในรายการ "บัญชีบริการ" ให้คลิกบัญชีบริการที่คุณสร้างขึ้น
  11. คลิกคีย์ > เพิ่มคีย์ > สร้างคีย์ใหม่
  12. เลือก JSON แล้วคลิกสร้าง

    ระบบจะสร้างคู่คีย์สาธารณะ/ส่วนตัวใหม่และดาวน์โหลดลงในเครื่องของคุณเป็นไฟล์ใหม่ ไฟล์นี้เป็นเพียงสำเนาเดียวของคีย์นี้ ดูข้อมูลเกี่ยวกับวิธีจัดเก็บคีย์อย่างปลอดภัยที่หัวข้อการจัดการคีย์ของบัญชีบริการ

ให้สิทธิ์บัญชีบริการในคอนโซลผู้ดูแลระบบ

หากคุณเลือกตรวจสอบสิทธิ์คำขอในฐานะบัญชีบริการ ผู้ดูแลระบบ Chrome ขององค์กรต้องทำตามขั้นตอนเพิ่มเติมในคอนโซลผู้ดูแลระบบเพื่อดำเนินการให้เสร็จสมบูรณ์

ผู้ดูแลระบบ Chrome อาจมอบหมายบทบาทให้กับบัญชีบริการโดยตรงด้วยสิทธิ์สำหรับบทบาทผู้ดูแลระบบที่จำเป็น หรือให้ผู้ดูแลระบบ Chrome ตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนเพื่อให้บัญชีบริการสวมบทบาทเป็นผู้ใช้ที่มีสิทธิ์ที่เหมาะสมและดำเนินการในนามของผู้ดูแลระบบได้

หากต้องการตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการ ผู้ดูแลระบบ Chrome ต้องทำตามขั้นตอนต่อไปนี้ในคอนโซลผู้ดูแลระบบ

  1. เปิดคอนโซลผู้ดูแลระบบ
  2. ที่ด้านซ้ายบน ให้คลิกเมนู > ความปลอดภัย > การเข้าถึงและการควบคุมข้อมูล > การควบคุม API
  3. คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมน
  4. คลิกเพิ่มใหม่
  5. ในช่อง "รหัสไคลเอ็นต์" ให้วางรหัสไคลเอ็นต์ที่เชื่อมโยงกับบัญชีบริการ ดูวิธีค้นหารหัสไคลเอ็นต์ของบัญชีบริการ
  6. ในช่อง "ขอบเขต OAuth" ให้ป้อนรายการขอบเขตที่คั่นด้วยคอมมาของขอบเขตที่แอปพลิเคชันบัญชีบริการกำหนดไว้ นี่คือขอบเขตชุดเดียวกับที่กำหนดไว้เมื่อกำหนดค่าหน้าจอคำยินยอม OAuth
  7. คลิกให้สิทธิ์

ขั้นตอนที่ 4: ทดสอบแอปใน OAuth Playground

  1. เปิดคอนโซล Google Cloud
  2. เลือกโปรเจ็กต์ Google Cloud ที่ด้านบน
  3. ที่ด้านซ้ายบน ให้คลิกเมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ
  4. คลิกสร้างข้อมูลเข้าสู่ระบบ > รหัสไคลเอ็นต์ OAuth
  5. คลิกประเภทแอปพลิเคชัน > เว็บแอปพลิเคชัน
  6. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะปรากฏใน Cloud Console เท่านั้น
  7. ขณะทดสอบ ให้เพิ่ม https://developers.google.com/oauthplayground ลงใน "URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต" คุณนำ URI การเปลี่ยนเส้นทางนี้ออกจากแอปได้เมื่อทดสอบเสร็จแล้ว หากจำเป็น
  8. คลิกสร้าง แล้วคัดลอก "รหัสไคลเอ็นต์" และ "รหัสลับไคลเอ็นต์" ไปยังคลิปบอร์ด
  9. เปิด OAuth 2.0 Playground ในแท็บใหม่
  10. คลิกการกำหนดค่า OAuth 2.0 ที่ด้านขวาบน
  11. เลือกใช้ข้อมูลเข้าสู่ระบบ OAuth ของคุณเอง จากนั้นวาง "รหัสไคลเอ็นต์" และ "รหัสลับไคลเอ็นต์" ที่คุณคัดลอกไว้ในขั้นตอนที่ 8 และคลิกปิด
  12. ทำตามขั้นตอน Playground ของ OAuth 2.0 ทางด้านซ้าย
    • สำหรับ "ขั้นตอนที่ 1: เลือกและให้สิทธิ์ API" ให้เพิ่ม https://www.googleapis.com/auth/chrome.management.policy และขอบเขต API อื่นๆ ที่จำเป็น แล้วคลิกให้สิทธิ์ API
    • สำหรับ "ขั้นตอนที่ 2: รหัสการให้สิทธิ์ Exchange สำหรับโทเค็น" คุณเลือกรีเฟรชโทเค็นอัตโนมัติก่อนหมดอายุได้
    • สำหรับ "ขั้นตอนที่ 3: กำหนดค่าคำขอไปยัง API" ให้ป้อน URI คำขอ API นโยบายของ Chrome โดยแก้ไข "เมธอด HTTP" และการตั้งค่าอื่นๆ ตามต้องการ ตัวอย่างคำขอ URL: https://chromepolicy.googleapis.com/v1/customers/my_customer/policySchemas?filter=chrome.printers

ขั้นตอนที่ 5: ตรวจสอบว่าแอปของคุณเชื่อถือได้

ผู้ดูแลระบบขององค์กรสามารถทำเครื่องหมายแอปว่าเชื่อถือได้หรือถูกบล็อกในคอนโซลผู้ดูแลระบบ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อควบคุมว่าจะให้แอปของบุคคลที่สามและแอปภายในรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง