Menyiapkan Devices API
Halaman ini menjelaskan cara menyiapkan Cloud Identity Devices API. Anda dapat menggunakan Devices API untuk menyediakan resource secara terprogram—misalnya mengelola Google Grup—atas nama administrator.
Mengaktifkan API dan menyiapkan kredensial
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Cloud Identity API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Cloud Identity API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. Untuk membuat akun layanan, lakukan hal berikut:
Di konsol Google Cloud , buka halaman akun layanan IAM:
Klik Buat akun layanan.
Di bagian Detail akun layanan, ketik nama, ID, dan deskripsi untuk akun layanan, lalu klik Buat dan lanjutkan.
Opsional: Di bagian Berikan akses project ke akun layanan ini, pilih peran IAM yang akan diberikan ke akun layanan.
Klik Lanjutkan.
Opsional: Di bagian Beri pengguna akses ke akun layanan ini, tambahkan pengguna atau grup yang diizinkan untuk menggunakan dan mengelola akun layanan.
Klik Done.
Untuk mengizinkan akun layanan mengakses Devices API menggunakan delegasi tingkat domain, ikuti petunjuk di Menyiapkan delegasi tingkat domain untuk akun layanan.
Untuk membuat dan mendownload kunci akun layanan, lakukan langkah-langkah berikut.
- Klik alamat email untuk akun layanan yang Anda buat.
- Klik tab Kunci.
- Di daftar drop-down Add key, pilih Create new key.
Klik Create.
File kredensial berformat JSON, yang berisi pasangan kunci publik dan pribadi baru, akan dibuat dan didownload ke komputer Anda. File berisi satu-satunya salinan kunci. Anda bertanggung jawab untuk menyimpannya dengan aman. Jika Anda kehilangan pasangan kunci, Anda harus membuat yang baru.
SERVICE_ACCOUNT_CREDENTIAL_FILE: file kunci akun layanan yang Anda buat sebelumnya dalam dokumen iniUSER: pengguna yang di-impersonate oleh akun layananSERVICE_ACCOUNT_CREDENTIAL_FILE: file kunci akun layanan yang Anda buat sebelumnya dalam dokumen iniUSER: pengguna yang di-impersonate oleh akun layanan
Menyiapkan akses API menggunakan akun layanan dengan delegasi tingkat domain
Bagian ini menjelaskan cara membuat dan menggunakan akun layanan untuk mengakses resource Google Workspace. Mengautentikasi langsung ke Devices API menggunakan akun layanan tidak didukung, jadi Anda harus menggunakan metode ini.
Buat akun layanan dan konfigurasikan untuk delegasi tingkat domain
Untuk membuat akun layanan dan mendownload kunci akun layanan, lakukan langkah-langkah berikut:
Meninjau entri log
Saat meninjau entri log, perhatikan bahwa log audit akan menampilkan semua tindakan akun layanan sebagai tindakan yang telah dimulai oleh pengguna. Hal ini karena delegasi tingkat domain berfungsi dengan mengizinkan akun layanan meniru identitas pengguna administrator.
Lakukan inisialisasi kredensial
Saat melakukan inisialisasi kredensial dalam kode, tentukan alamat email yang digunakan akun layanan dengan memanggil with_subject() pada kredensial.
Contoh:
Python
credentials = service_account.Credentials.from_service_account_file(
'SERVICE_ACCOUNT_CREDENTIAL_FILE',
scopes=SCOPES).with_subject(USER
)
Ganti kode berikut:
Membuat instance klien
Contoh berikut menunjukkan cara membuat instance klien menggunakan kredensial akun layanan.
Python
from google.oauth2 import service_account
import googleapiclient.discovery
SCOPES = ['https://www.googleapis.com/auth/cloud-identity.devices']
def create_service():
credentials = service_account.Credentials.from_service_account_file(
'SERVICE_ACCOUNT_CREDENTIAL_FILE',
scopes=SCOPES
)
delegated_credentials = credentials.with_subject('USER')
service_name = 'cloudidentity'
api_version = 'v1'
service = googleapiclient.discovery.build(
service_name,
api_version,
credentials=delegated_credentials)
return service
Ganti kode berikut:
Sekarang Anda dapat mulai melakukan panggilan ke Devices API.
Untuk melakukan autentikasi sebagai pengguna akhir, ganti objek credential dari
akun layanan dengan credential yang dapat Anda peroleh di Mendapatkan token OAuth 2.0.
Menginstal library klien Python
Untuk menginstal library klien Python, jalankan perintah berikut:
pip install --upgrade google-api-python-client google-auth \
google-auth-oauthlib google-auth-httplib2
Untuk mengetahui informasi selengkapnya tentang cara menyiapkan lingkungan pengembangan Python, baca Panduan Penyiapan Lingkungan Pengembangan Python.