Como configurar a API Policy
Nesta página, explicamos como configurar a API Cloud Identity Policy.
Antes de começar
Instalar a biblioteca de cliente do Python
Para instalar a biblioteca de cliente Python, execute o seguinte comando:
pip install --upgrade google-api-python-client google-auth \
google-auth-oauthlib google-auth-httplib2
Para mais informações sobre a configuração do ambiente de desenvolvimento do Python, consulte o Guia de configuração do ambiente de desenvolvimento do Python.
Ative a API e configure as credenciais da conta de serviço
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Enable the Cloud Identity API.
-
Create a service account:
-
In the Google Cloud console, go to the Create service account page.
Go to Create service account - Select your project.
-
In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.
In the Service account description field, enter a description. For example,
Service account for quickstart
. - Click Create and continue.
-
Grant the Project > Owner role to the service account.
To grant the role, find the Select a role list, then select Project > Owner.
- Click Continue.
-
Click Done to finish creating the service account.
Do not close your browser window. You will use it in the next step.
-
-
Create a service account key:
- In the Google Cloud console, click the email address for the service account that you created.
- Click Keys.
- Click Add key, and then click Create new key.
- Click Create. A JSON key file is downloaded to your computer.
- Click Close.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
-
Enable the Cloud Identity API.
-
Create a service account:
-
In the Google Cloud console, go to the Create service account page.
Go to Create service account - Select your project.
-
In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.
In the Service account description field, enter a description. For example,
Service account for quickstart
. - Click Create and continue.
-
Grant the Project > Owner role to the service account.
To grant the role, find the Select a role list, then select Project > Owner.
- Click Continue.
-
Click Done to finish creating the service account.
Do not close your browser window. You will use it in the next step.
-
-
Create a service account key:
- In the Google Cloud console, click the email address for the service account that you created.
- Click Keys.
- Click Add key, and then click Create new key.
- Click Create. A JSON key file is downloaded to your computer.
- Click Close.
Autenticar como uma conta de serviço com delegação em todo o domínio
Se você é um administrador que gerencia políticas de identidade ou se quer fornecer a uma conta privilégios em todo o domínio para que ela possa gerenciar as Políticas do Google em nome dos administradores, faça a autenticação como uma conta de serviço e conceda privilégios em todo o domínio à conta de serviço.
Para saber mais sobre como configurar a delegação em todo o domínio, consulte Controlar o acesso à API com a delegação em todo o domínio.
Para autenticar como conta de serviço. Consulte
Como usar o OAuth 2.0 para aplicativos de servidor para servidor.
Em seguida, ao inicializar a credencial no código, especifique o endereço de e-mail
em que a conta de serviço atua chamando with_subject()
na credencial.
Exemplo:
Python
credentials = service_account.Credentials.from_service_account_file(
SERVICE_ACCOUNT_FILE, scopes=SCOPES).with_subject(ADMIN_EMAIL)
O código de exemplo detalhado para chamar a API Policy, incluindo o código de autenticação, está disponível em Listar e recuperar políticas.