Configura la API de Devices

En esta página, se explica cómo configurar la API de Cloud Identity Devices. Puedes usar la API de Devices para aprovisionar recursos de forma programática (por ejemplo, administrar Grupos de Google) en nombre de un administrador.

Habilita la API y configura credenciales

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Identity API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Cloud Identity API.

    Enable the API

    8.

    Configura el acceso a la API con una cuenta de servicio con delegación para todo el dominio

    En esta sección, se describe cómo crear y usar una cuenta de servicio para acceder a los recursos de Google Workspace. No se admite la autenticación directa en la API de Devices con una cuenta de servicio, por lo que debes usar este método.

    Crea una cuenta de servicio y configúrala para la delegación de todo el dominio

    Para crear una cuenta de servicio y descargar su clave, haz lo siguiente:

    1. Para crear una cuenta de servicio, haz lo siguiente:

      1. En la Google Cloud consola, ve a la página de cuentas de servicio de IAM:

        Ir a Cuentas de servicio

      2. Haz clic en Crear cuenta de servicio.

      3. En Detalles de la cuenta de servicio, escribe un nombre, un ID y una descripción para la cuenta de servicio y, luego, haz clic en Crear y continuar.

      4. Opcional: En Otorga a esta cuenta de servicio acceso al proyecto, selecciona los roles de IAM que se otorgarán a la cuenta de servicio.

      5. Haz clic en Continuar.

      6. Opcional: En Otorga a los usuarios acceso a esta cuenta de servicio, agrega los usuarios o grupos que pueden usar y administrar la cuenta de servicio.

      7. Haz clic en Listo.

    2. Para permitir que la cuenta de servicio acceda a la API de Devices con la delegación para todo el dominio, sigue las instrucciones que se indican en Configura la delegación para todo el dominio para la cuenta de servicio.

    3. Para crear y descargar una clave de cuenta de servicio, haz lo siguiente:

      1. Haz clic en la dirección de correo electrónico de la cuenta de servicio que creaste.
      2. Haz clic en la pestaña Claves.
      3. En la lista desplegable Agregar clave, selecciona Crear clave nueva.

      4. Haz clic en Crear.

        Se genera y descarga en tu máquina un archivo de credenciales con formato JSON que contiene un nuevo par de claves públicas y privadas. El archivo contiene la única copia de las claves. Tú eres responsable de almacenarla de forma segura. Si pierdes el par de claves, deberás generar uno nuevo.

    Revisa las entradas de registro

    Cuando revises las entradas de registro, ten en cuenta que los registros de auditoría mostrarán las acciones de la cuenta de servicio como si las hubiera iniciado el usuario. Esto se debe a que la delegación en todo el dominio funciona permitiendo que la cuenta de servicio suplante la identidad de un usuario administrador.

    Inicializa las credenciales

    Cuando inicialices la credencial en el código, especifica la dirección de correo electrónico en la que actúa la cuenta de servicio llamando a with_subject() en la credencial. Por ejemplo:

    Python 

    credentials = service_account.Credentials.from_service_account_file(
  'SERVICE_ACCOUNT_CREDENTIAL_FILE',
  scopes=SCOPES).with_subject(USER
)

    Reemplaza lo siguiente:

    • SERVICE_ACCOUNT_CREDENTIAL_FILE: Es el archivo de claves de la cuenta de servicio que creaste anteriormente en este documento.
    • USER: el usuario al que suplanta la cuenta de servicio

    Crea una instancia de un cliente

    En el siguiente ejemplo, se muestra cómo crear una instancia de un cliente mediante las credenciales de la cuenta de servicio.

    Python 

    from google.oauth2 import service_account
import googleapiclient.discovery

SCOPES = ['https://www.googleapis.com/auth/cloud-identity.devices']

def create_service():
  credentials = service_account.Credentials.from_service_account_file(
    'SERVICE_ACCOUNT_CREDENTIAL_FILE',
    scopes=SCOPES
  )

  delegated_credentials = credentials.with_subject('USER')

  service_name = 'cloudidentity'
  api_version = 'v1'
  service = googleapiclient.discovery.build(
    service_name,
    api_version,
    credentials=delegated_credentials)

  return service

    Reemplaza lo siguiente:

    • SERVICE_ACCOUNT_CREDENTIAL_FILE: Es el archivo de claves de la cuenta de servicio que creaste anteriormente en este documento.
    • USER: el usuario al que suplanta la cuenta de servicio

    Ahora puedes comenzar a realizar llamadas a la API de dispositivos.

    Si quieres autenticarte como usuario final, reemplaza el objeto credential de la cuenta de servicio por el objeto credential que puedes obtener en Obtén tokens de OAuth 2.0.

    Instala la biblioteca cliente para Python

    Para instalar la biblioteca cliente de Python, ejecuta el siguiente comando:

      pip install --upgrade google-api-python-client google-auth \
    google-auth-oauthlib google-auth-httplib2

    Para obtener más información sobre la configuración de tu entorno de programación de Python, consulta la Guía de configuración del entorno de desarrollo de Python.