Menyiapkan Devices API
Halaman ini menjelaskan cara menyiapkan Cloud Identity Devices API. Anda dapat menggunakan Devices API untuk menyediakan resource secara terprogram—misalnya mengelola Google Grup—atas nama administrator.
Mengaktifkan API dan menyiapkan kredensial
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Identity API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Identity API.
Menyiapkan akses API menggunakan akun layanan dengan delegasi tingkat domain
Bagian ini menjelaskan cara membuat dan menggunakan akun layanan untuk mengakses resource Google Workspace. Mengautentikasi langsung ke Devices API menggunakan akun layanan tidak didukung, sehingga Anda harus menggunakan metode ini.
Membuat akun layanan dan mengonfigurasinya untuk delegasi tingkat domain
Untuk membuat akun layanan dan mendownload kunci akun layanan, lakukan langkah-langkah berikut:
Untuk membuat akun layanan, lakukan langkah berikut:
Di konsol Google Cloud, buka halaman akun layanan IAM:
Klik
Buat akun layanan.Di bagian Detail akun layanan, ketik nama, ID, dan deskripsi untuk akun layanan, lalu klik Buat dan lanjutkan.
Opsional: Di bagian Berikan akses project ke akun layanan ini, pilih peran IAM yang akan diberikan ke akun layanan.
Klik Lanjutkan.
Opsional: Di bagian Beri pengguna akses ke akun layanan ini, tambahkan pengguna atau grup yang diizinkan untuk menggunakan dan mengelola akun layanan.
Klik Done.
Agar akun layanan dapat mengakses Devices API menggunakan delegasi seluruh domain, ikuti petunjuk di Menyiapkan delegasi seluruh domain untuk akun layanan.
Untuk membuat dan mendownload kunci akun layanan, lakukan langkah-langkah berikut.
- Klik alamat email untuk akun layanan yang Anda buat.
- Klik tab Kunci.
- Di daftar drop-down Add key, pilih Create new key.
Klik Create.
File kredensial berformat JSON, yang berisi pasangan kunci publik dan pribadi baru, dibuat dan didownload ke komputer Anda. File ini berisi satu-satunya salinan kunci. Anda bertanggung jawab untuk menyimpannya dengan aman. Jika kehilangan pasangan kunci, Anda harus membuat yang baru.
Meninjau entri log
Saat meninjau entri log, perhatikan bahwa log audit akan menampilkan tindakan akun layanan sebagai telah dimulai oleh pengguna. Hal ini karena delegasi tingkat domain berfungsi dengan mengizinkan akun layanan meniru identitas pengguna administrator.
Melakukan inisialisasi kredensial
Saat Anda melakukan inisialisasi kredensial dalam kode, tentukan alamat email tempat akun layanan bertindak dengan memanggil with_subject()
pada kredensial.
Contoh:
Python
credentials = service_account.Credentials.from_service_account_file(
'SERVICE_ACCOUNT_CREDENTIAL_FILE',
scopes=SCOPES).with_subject(USER
)
Ganti kode berikut:
SERVICE_ACCOUNT_CREDENTIAL_FILE
: file kunci akun layanan yang Anda buat sebelumnya dalam dokumen iniUSER
: pengguna yang disamarkan oleh akun layanan
Membuat instance klien
Contoh berikut menunjukkan cara membuat instance klien menggunakan kredensial akun layanan.
Python
from google.oauth2 import service_account
import googleapiclient.discovery
SCOPES = ['https://www.googleapis.com/auth/cloud-identity.devices']
def create_service():
credentials = service_account.Credentials.from_service_account_file(
'SERVICE_ACCOUNT_CREDENTIAL_FILE',
scopes=SCOPES
)
delegated_credentials = credentials.with_subject('USER')
service_name = 'cloudidentity'
api_version = 'v1'
service = googleapiclient.discovery.build(
service_name,
api_version,
credentials=delegated_credentials)
return service
Ganti kode berikut:
SERVICE_ACCOUNT_CREDENTIAL_FILE
: file kunci akun layanan yang Anda buat sebelumnya dalam dokumen iniUSER
: pengguna yang disamarkan oleh akun layanan
Sekarang Anda dapat mulai melakukan panggilan ke Devices API.
Untuk mengautentikasi sebagai pengguna akhir, ganti objek credential
dari akun layanan dengan credential
yang dapat Anda dapatkan di Mendapatkan token OAuth 2.0.
Menginstal library klien Python
Untuk menginstal library klien Python, jalankan perintah berikut:
pip install --upgrade google-api-python-client google-auth \
google-auth-oauthlib google-auth-httplib2
Untuk mengetahui informasi selengkapnya tentang cara menyiapkan lingkungan pengembangan Python, lihat Panduan Penyiapan Lingkungan Pengembangan Python.