Dienstkonten

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Leitfaden wird erläutert, wie Sie mit Dienstkonten auf die Google Ads API zugreifen können.

Ein Dienstkonto ist ein Konto, das zu Ihrer Anwendung und nicht zu einem bestimmten Endnutzer gehört. Dienstkonten ermöglichen Server-zu-Server-Interaktionen zwischen einer Webanwendung und einem Google-Dienst. Ihre Anwendung ruft Google APIs im Namen des Dienstkontos auf, sodass Nutzer nicht direkt beteiligt sind.

Dienstkonten verwenden einen OAuth2-Ablauf, der keine manuelle Autorisierung erfordert. Stattdessen wird eine Schlüsseldatei verwendet, auf die nur Ihre Anwendung zugreifen kann.

Dienstkonten haben zwei wesentliche Vorteile:

  • Die Autorisierung für den Zugriff auf die Google API erfolgt als Konfigurationsschritt. Damit werden die Probleme vermieden, die mit anderen OAuth2-Abläufen verbunden sind, die Nutzerinteraktionen erfordern.
  • Durch den OAuth2-Assertion-Workflow kann Ihre App bei Bedarf die Identität anderer Nutzer übernehmen.

Voraussetzungen

  • Eine Google Workspace-Domain, deren Inhaber Sie sind, z. B. mydomain.com oder mybusiness.com.
  • Google Ads API-Entwickler-Token und optional ein Testkonto
  • Die Clientbibliothek für die verwendete Sprache.
  • Ein Google API Console-Projekt, das für die Google Ads API konfiguriert wurde
  • Ein Google Ads-Nutzer mit Berechtigungen für das Google Ads-Konto, auf das Sie zugreifen möchten. Google Ads unterstützt keine Verwendung von Dienstkonten ohne Identitätsdiebstahl.

Dienstkontozugriff einrichten

Da der Identitätswechsel für Nutzer nur auf Domainebene gesteuert wird, muss Ihre eigene Domain in Google Workspace registriert sein, wenn Sie Dienstkonten und den Assertion-Workflow mit Google OAuth2 verwenden möchten. Ihre Anwendung und ihre Nutzer können dann alle Nutzer in der Domain imitieren.

  1. Erstellen Sie zuerst ein Dienstkonto und Anmeldedaten.

    Laden Sie den Dienstkontoschlüssel im JSON-Format herunter und notieren Sie sich die Dienstkonto-ID.

  2. Geben Sie die Dienstkonto-ID und den Google Ads API-Bereich (https://www.googleapis.com/auth/adwords) an Ihren Domainadministrator weiter.

    Bitten Sie den Domainadministrator, die domainweite Berechtigung an Ihr Dienstkonto zu delegieren.

  3. Wenn Sie der Domainadministrator sind, folgen Sie der Anleitung in der Hilfe.

Sie können jetzt das Dienstkonto verwenden, um über den OAuth2-Assertion-Workflow auf Ihr Google Ads-Konto zuzugreifen.

Konfiguration der Clientbibliothek

Wählen Sie unten die zu Ihrer Programmiersprache passende Anleitung aus, um Ihre Clientbibliothek zu konfigurieren.

Java

OAuth-Vorgang für Dienstkonto.

.NET

OAuth-Vorgang für Dienstkonto.

Python

OAuth-Vorgang für Dienstkonto.

PHP

OAuth-Vorgang für Dienstkonto.

Ruby

OAuth-Vorgang für Dienstkonto.

Perl

OAuth-Vorgang für Dienstkonto.

Sicherheitsbedenken

Da das Dienstkonto die Delegierung auf Domainebene für Ihre Google Workspace-Domain steuert, müssen Sie die Schlüsseldatei schützen, mit der ein Dienstkonto auf die Google-Dienste zugreifen kann, für die es autorisiert ist. Dies ist insbesondere der Fall, da dieses Dienstkonto die Identität eines beliebigen Nutzers in der Domain übernehmen kann.

Außerdem sollten Dienstkonten erlaubt sein, nur auf die mindestens erforderlichen APIs zuzugreifen. Dies ist eine vorbeugende Maßnahme, um die Datenmenge zu begrenzen, auf die ein Angreifer zugreifen kann, wenn die Schlüsseldatei des Dienstkontos kompromittiert wird.