สร้างข้อมูลรับรองการเข้าถึง

ระบบจะใช้ข้อมูลเข้าสู่ระบบเพื่อรับโทเค็นการเข้าถึงจากเซิร์ฟเวอร์การให้สิทธิ์ของ Google เพื่อให้แอปเรียก Google Workspace API ได้ คู่มือนี้อธิบายวิธี เลือกและตั้งค่าข้อมูลเข้าสู่ระบบที่แอปของคุณต้องการ

ดูคำจำกัดความของคำศัพท์ที่พบในหน้านี้ได้ที่ภาพรวมการตรวจสอบสิทธิ์และการให้สิทธิ์

เลือกข้อมูลเข้าสู่ระบบที่เหมาะกับคุณ

ข้อมูลเข้าสู่ระบบที่จำเป็นต้องใช้จะขึ้นอยู่กับประเภทข้อมูล แพลตฟอร์ม และวิธีการเข้าถึง ของแอป โดยมีข้อมูลเข้าสู่ระบบ 3 ประเภทให้เลือกใช้ ดังนี้

กรณีการใช้งาน วิธีการตรวจสอบสิทธิ์ เกี่ยวกับวิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลที่เผยแพร่ต่อสาธารณะโดยไม่ระบุตัวตนในแอป คีย์ API ตรวจสอบว่า API ที่คุณต้องการใช้รองรับคีย์ API ก่อน ใช้วิธีการตรวจสอบสิทธิ์นี้
เข้าถึงข้อมูลผู้ใช้ เช่น อีเมลหรืออายุ รหัสไคลเอ็นต์ OAuth กำหนดให้แอปของคุณต้องขอและรับความยินยอมจากผู้ใช้
เข้าถึงข้อมูลที่เป็นของแอปพลิเคชันของคุณเองหรือเข้าถึงทรัพยากร ในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ผ่านการมอบสิทธิ์ระดับโดเมน บัญชีบริการ เมื่อแอปตรวจสอบสิทธิ์ในฐานะบัญชีบริการ แอปจะมีสิทธิ์เข้าถึงทรัพยากรทั้งหมดที่บัญชีบริการมีสิทธิ์เข้าถึง

ข้อมูลเข้าสู่ระบบคีย์ API

คีย์ API คือสตริงยาวที่มีตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก ตัวเลข ขีดล่าง และขีดกลาง เช่น AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe วิธีการตรวจสอบสิทธิ์นี้ใช้เพื่อเข้าถึงข้อมูลที่เปิดเผยต่อสาธารณะโดยไม่ระบุตัวตน เช่น ไฟล์ Google Workspace ที่แชร์โดยใช้การตั้งค่าการแชร์ "ทุกคนบนอินเทอร์เน็ต ที่มีลิงก์นี้" ดูรายละเอียดเพิ่มเติมได้ที่การใช้คีย์ API

วิธีสร้างคีย์ API

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > API และบริการ > ข้อมูลเข้าสู่ระบบ

    ไปที่ข้อมูลเข้าสู่ระบบ

  2. คลิกสร้างข้อมูลเข้าสู่ระบบ > คีย์ API
  3. ระบบจะแสดงคีย์ API ใหม่
    • คลิกคัดลอก เพื่อคัดลอกคีย์ API สำหรับใช้ ในโค้ดของแอป คุณยังดูคีย์ API ได้ในส่วน "คีย์ API" ของข้อมูลเข้าสู่ระบบของโปรเจ็กต์ ด้วย
    • เราขอแนะนำให้จำกัดตำแหน่งและ API ที่ใช้คีย์ API ได้เพื่อป้องกันการใช้งานที่ไม่ได้รับอนุญาต ดูรายละเอียดเพิ่มเติมได้ที่ เพิ่มการจำกัด API

ข้อมูลเข้าสู่ระบบรหัสไคลเอ็นต์ OAuth

หากต้องการตรวจสอบสิทธิ์ผู้ใช้ปลายทางและเข้าถึงข้อมูลผู้ใช้ในแอป คุณต้อง สร้างรหัสไคลเอ็นต์ OAuth 2.0 อย่างน้อย 1 รายการ รหัสไคลเอ็นต์ใช้เพื่อระบุแอปเดี่ยวไปยังเซิร์ฟเวอร์ OAuth ของ Google หากแอปทำงานบนหลายแพลตฟอร์ม คุณต้องสร้างรหัสไคลเอ็นต์แยกต่างหากสำหรับแต่ละแพลตฟอร์ม

เลือกประเภทแอปพลิเคชัน เพื่อดูวิธีการสร้างรหัสไคลเอ็นต์ OAuth โดยเฉพาะ

เว็บแอปพลิเคชัน

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > > ไคลเอ็นต์

    ไปที่ลูกค้า

  2. คลิกสร้างไคลเอ็นต์
  3. คลิกประเภทแอปพลิเคชัน > เว็บแอปพลิเคชัน
  4. ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. เพิ่ม URI ที่ได้รับอนุญาตซึ่งเกี่ยวข้องกับแอปของคุณ
    • แอปฝั่งไคลเอ็นต์ (JavaScript) - ในส่วนต้นทาง JavaScript ที่ได้รับอนุญาต ให้คลิกเพิ่ม URI จากนั้นป้อน URI ที่จะใช้สำหรับคำขอของเบราว์เซอร์ ซึ่งจะระบุโดเมนที่แอปพลิเคชันของคุณสามารถส่งคำขอ API ไปยังเซิร์ฟเวอร์ OAuth 2.0 ได้
    • แอปฝั่งเซิร์ฟเวอร์ (Java, Python และอื่นๆ) - ในส่วน URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต ให้คลิกเพิ่ม URI จากนั้นป้อน URI ของปลายทางที่เซิร์ฟเวอร์ OAuth 2.0 สามารถส่งการตอบกลับได้
  6. คลิกสร้าง

    ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วนรหัสไคลเอ็นต์ OAuth 2.0

    จดรหัสไคลเอ็นต์ ระบบจะไม่ใช้รหัสลับไคลเอ็นต์สำหรับเว็บแอปพลิเคชัน

Android

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > > ไคลเอ็นต์

    ไปที่ลูกค้า

  2. คลิกสร้างไคลเอ็นต์
  3. คลิกประเภทแอปพลิเคชัน > Android
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "ชื่อแพ็กเกจ" ให้ป้อนชื่อแพ็กเกจจากไฟล์ AndroidManifest.xml
  6. ในช่อง "ลายนิ้วมือใบรับรอง SHA-1" ให้ป้อนลายนิ้วมือใบรับรอง SHA-1 ที่สร้างขึ้น
  7. คลิกสร้าง

    ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

iOS

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > > ไคลเอ็นต์

    ไปที่ลูกค้า

  2. คลิกสร้างไคลเอ็นต์
  3. คลิกประเภทแอปพลิเคชัน > iOS
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสชุด" ให้ป้อนรหัสชุดซอฟต์แวร์ตามที่แสดงในไฟล์ Info.plist ของแอป
  6. ไม่บังคับ: หากแอปปรากฏใน Apple App Store ให้ป้อนรหัส App Store
  7. ไม่บังคับ: ในช่อง "รหัสทีม" ให้ป้อนสตริงแบบ 10 อักขระที่ไม่ซ้ำกันซึ่งสร้างโดย Apple และกำหนดให้กับทีมของคุณ
  8. คลิกสร้าง

    ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

ส่วนขยาย Chrome

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > > ไคลเอ็นต์

    ไปที่ลูกค้า

  2. คลิกสร้างไคลเอ็นต์
  3. คลิกประเภทแอปพลิเคชัน > ส่วนขยาย Chrome
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสสินค้า" ให้ป้อนสตริงรหัส 32 อักขระที่ไม่ซ้ำกันของแอป คุณดูค่ารหัสนี้ได้ใน URL ของ Chrome เว็บสโตร์ของแอปและในแดชบอร์ดสำหรับนักพัฒนาซอฟต์แวร์ Chrome เว็บสโตร์
  6. คลิกสร้าง

    ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

แอปบนเดสก์ท็อป

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > > ไคลเอ็นต์

    ไปที่ลูกค้า

  2. คลิกสร้างไคลเอ็นต์
  3. คลิกประเภทแอปพลิเคชัน > แอปเดสก์ท็อป
  4. ในช่องชื่อ ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง

    ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

ทีวีและอุปกรณ์อินพุตที่จำกัด

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > > ไคลเอ็นต์

    ไปที่ลูกค้า

  2. คลิกสร้างไคลเอ็นต์
  3. คลิกประเภทแอปพลิเคชัน > ทีวีและอุปกรณ์ที่มีอินพุตจำกัด
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. คลิกสร้าง

    ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

Universal Windows Platform (UWP)

  1. ในคอนโซล Google Cloud ให้ไปที่เมนู > > ไคลเอ็นต์

    ไปที่ลูกค้า

  2. คลิกสร้างไคลเอ็นต์
  3. คลิกประเภทแอปพลิเคชัน > Universal Windows Platform (UWP)
  4. ในช่อง "ชื่อ" ให้พิมพ์ชื่อของข้อมูลเข้าสู่ระบบ ชื่อนี้จะแสดงในคอนโซล Google Cloud เท่านั้น
  5. ในช่อง "รหัสร้านค้า" ให้ป้อนค่ารหัส Microsoft Store ที่ไม่ซ้ำกันของแอปซึ่งมี 12 อักขระ คุณดูรหัสนี้ได้ใน URL ของ Microsoft Store ของแอปและในPartner Center
  6. คลิกสร้าง

    ข้อมูลเข้าสู่ระบบที่สร้างขึ้นใหม่จะปรากฏในส่วน "รหัสไคลเอ็นต์ OAuth 2.0"

ข้อมูลเข้าสู่ระบบบัญชีบริการ

บัญชีบริการเป็นบัญชีชนิดพิเศษที่แอปพลิเคชันใช้ ไม่ใช่บุคคล คุณใช้บัญชีบริการเพื่อเข้าถึงข้อมูลหรือดำเนินการ โดยบัญชีหุ่นยนต์ หรือเพื่อเข้าถึงข้อมูลในนามของผู้ใช้ Google Workspace หรือ Cloud Identity ได้ ดูข้อมูลเพิ่มเติมได้ที่ทำความเข้าใจบัญชีบริการ

สร้างบัญชีบริการ

คอนโซล Google Cloud

  1. ใน Google Cloud Console ให้ไปที่เมนู > IAM & Admin > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. คลิกสร้างบัญชีบริการ
  3. กรอกรายละเอียดบัญชีบริการ แล้วคลิกสร้างและต่อไป
  4. ไม่บังคับ: มอบหมายบทบาทให้กับบัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud ดูรายละเอียดเพิ่มเติมได้ที่การให้ เปลี่ยน และเพิกถอนสิทธิ์เข้าถึงทรัพยากร
  5. คลิกต่อไป
  6. ไม่บังคับ: ป้อนผู้ใช้หรือกลุ่มที่จัดการและดำเนินการกับบัญชีบริการนี้ได้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อการจัดการการแอบอ้างเป็นบัญชีบริการ
  7. คลิกเสร็จสิ้น จดอีเมลของบัญชีบริการไว้

gcloud CLI

  1. สร้างบัญชีบริการโดยทำดังนี้ 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
  --display-name="SERVICE_ACCOUNT_NAME"
  2. ไม่บังคับ: มอบหมายบทบาทให้กับบัญชีบริการเพื่อให้สิทธิ์เข้าถึงทรัพยากรของโปรเจ็กต์ Google Cloud ดูรายละเอียดเพิ่มเติมได้ที่การให้ เปลี่ยน และเพิกถอนสิทธิ์เข้าถึงทรัพยากร

มอบหมายบทบาทให้กับบัญชีบริการ

คุณต้องมอบหมายบทบาทที่สร้างไว้ล่วงหน้าหรือกำหนดเองให้กับบัญชีบริการโดยใช้บัญชีผู้ดูแลระบบขั้นสูง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > บัญชี > บทบาทผู้ดูแลระบบ

    ไปที่บทบาทของผู้ดูแลระบบ

  2. ชี้ไปที่บทบาทที่ต้องการมอบหมาย แล้วคลิกมอบหมายเป็นผู้ดูแลระบบ

  3. คลิกมอบหมายบัญชีบริการ

  4. ป้อนอีเมลของบัญชีบริการ

  5. คลิกเพิ่ม > มอบหมายบทบาท

สร้างข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ

คุณต้องขอรับข้อมูลเข้าสู่ระบบในรูปแบบคู่คีย์สาธารณะ/ส่วนตัว โค้ดของคุณใช้ข้อมูลเข้าสู่ระบบเหล่านี้เพื่อให้สิทธิ์การดำเนินการของบัญชีบริการภายในแอป

วิธีรับข้อมูลเข้าสู่ระบบสำหรับบัญชีบริการ

  1. ใน Google Cloud Console ให้ไปที่เมนู > IAM & Admin > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกคีย์ > เพิ่มคีย์ > สร้างคีย์ใหม่
  4. เลือก JSON แล้วคลิกสร้าง

    ระบบจะสร้างคู่คีย์สาธารณะ/ส่วนตัวใหม่และดาวน์โหลดลงในเครื่องของคุณเป็นไฟล์ใหม่ บันทึกไฟล์ JSON ที่ดาวน์โหลดเป็น credentials.json ใน ไดเรกทอรีการทำงาน ไฟล์นี้เป็นสำเนาเดียวของคีย์นี้ ดูข้อมูลเกี่ยวกับวิธีจัดเก็บคีย์อย่างปลอดภัยได้ที่การจัดการคีย์ของบัญชีบริการ

  5. คลิกปิด

ไม่บังคับ: ตั้งค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการ

หากต้องการเรียกใช้ API ในนามของผู้ใช้ในองค์กร Google Workspace บัญชีบริการของคุณต้องได้รับมอบสิทธิ์ทั่วทั้งโดเมนใน คอนโซลผู้ดูแลระบบ Google Workspace จากบัญชีผู้ดูแลระบบขั้นสูง ดูข้อมูลเพิ่มเติมได้ที่การมอบสิทธิ์ทั่วทั้งโดเมนให้กับบัญชีบริการ

วิธีกำหนดค่าการมอบสิทธิ์ทั่วทั้งโดเมนสำหรับบัญชีบริการมีดังนี้

  1. ใน Google Cloud Console ให้ไปที่เมนู > IAM & Admin > บัญชีบริการ

    ไปที่บัญชีบริการ

  2. เลือกบัญชีบริการ
  3. คลิกแสดงการตั้งค่าขั้นสูง
  4. ในส่วน "การมอบสิทธิ์ทั่วทั้งโดเมน" ให้ค้นหา "รหัสไคลเอ็นต์" ของบัญชีบริการ คลิกคัดลอก เพื่อคัดลอกค่ารหัสไคลเอ็นต์ไปยังคลิปบอร์ด

  5. หากคุณมีสิทธิ์เข้าถึงระดับผู้ดูแลระบบขั้นสูงในบัญชี Google Workspace ที่เกี่ยวข้อง ให้คลิกดูคอนโซลผู้ดูแลระบบของ Google Workspace จากนั้นลงชื่อเข้าใช้โดยใช้บัญชีผู้ใช้ระดับผู้ดูแลระบบขั้นสูง แล้วทำตามขั้นตอนเหล่านี้ต่อ

    หากคุณไม่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบขั้นสูงในบัญชี Google Workspace ที่เกี่ยวข้อง โปรดติดต่อผู้ดูแลระบบขั้นสูงของบัญชีนั้น แล้วส่ง Client ID ของบัญชีบริการ และรายการขอบเขต OAuth เพื่อให้ผู้ดูแลระบบทำตามขั้นตอนต่อไปนี้ในคอนโซลผู้ดูแลระบบได้

    1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู > ความปลอดภัย > การเข้าถึงและการควบคุมข้อมูล > การควบคุม API

      ไปที่การควบคุม API

    2. คลิกจัดการการมอบสิทธิ์ทั่วทั้งโดเมน
    3. คลิกเพิ่มใหม่
    4. ในช่อง "รหัสไคลเอ็นต์" ให้วางรหัสไคลเอ็นต์ที่คัดลอกไว้ก่อนหน้านี้
    5. ในช่อง "ขอบเขต OAuth" ให้ป้อนรายการขอบเขตที่แอปพลิเคชันของคุณต้องการโดยคั่นด้วยคอมมา นี่คือชุดขอบเขตเดียวกันกับที่คุณกำหนดเมื่อกำหนดค่าหน้าจอขอความยินยอม OAuth
    6. คลิกให้สิทธิ์

ขั้นตอนถัดไป

คุณพร้อมที่จะพัฒนาแอปใน Google Workspace แล้ว ดูรายการ ผลิตภัณฑ์สำหรับนักพัฒนาแอปของ Google Workspace และ วิธีขอรับความช่วยเหลือ