Anmeldedaten für den Zugriff erstellen

Anmeldedaten werden verwendet, um ein Zugriffstoken von den Autorisierungsservern von Google abzurufen, damit Ihre App Google Workspace-APIs aufrufen kann. In dieser Anleitung wird beschrieben, wie Sie die Anmeldedaten auswählen und einrichten, die für Ihre App erforderlich sind.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Authentifizierung und Autorisierung.

Passende Anmeldedaten auswählen

Die erforderlichen Anmeldedaten hängen von der Art der Daten, der Plattform und der Zugriffsmethode Ihrer App ab. Es gibt drei Arten von Anmeldedaten:

Anwendungsfall Authentifizierungsmethode Informationen zu dieser Authentifizierungsmethode
Anonym auf öffentlich verfügbare Daten in Ihrer App zugreifen API-Schlüssel Prüfen Sie, ob API-Schlüssel von der gewünschten API unterstützt werden, bevor Sie diese Authentifizierungsmethode verwenden.
Auf Nutzerdaten wie E‑Mail-Adresse oder Alter zugreifen OAuth-Client-ID Ihre App muss die Einwilligung des Nutzers einholen und erhalten.
Sie können auf Daten zugreifen, die zu Ihrer eigenen Anwendung gehören, oder im Namen von Google Workspace- oder Cloud Identity-Nutzern über die domainweite Delegation auf Ressourcen zugreifen. Dienstkonto Wenn sich eine App als Dienstkonto authentifiziert, hat sie Zugriff auf alle Ressourcen, auf die das Dienstkonto Zugriff hat.

API-Schlüsselanmeldedaten

Ein API-Schlüssel ist ein langer String, der Groß- und Kleinbuchstaben, Zahlen, Unterstriche und Bindestriche enthält. Beispiel: AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Diese Authentifizierungsmethode wird verwendet, um anonym auf öffentlich verfügbare Daten zuzugreifen, z. B. auf Google Workspace-Dateien, die mit der Freigabeeinstellung „Jeder im Internet mit diesem Link“ freigegeben wurden. Weitere Informationen finden Sie unter API-Schlüssel verwenden.

So erstellen Sie einen API-Schlüssel:

  1. Rufen Sie in der Google Cloud Console das Menü  > APIs und Dienste > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
  3. Der neue API-Schlüssel wird angezeigt.
    • Klicken Sie auf „Kopieren“ , um den API-Schlüssel zu kopieren und im Code Ihrer App zu verwenden. Der API-Schlüssel ist auch im Bereich „API-Schlüssel“ der Anmeldedaten Ihres Projekts zu finden.
    • Damit eine nicht autorisierte Verwendung verhindert wird, sollten Sie einschränken, wo und für welche APIs der API-Schlüssel verwendet werden kann. Weitere Informationen finden Sie unter API-Einschränkungen hinzufügen.

Anmeldedaten für OAuth-Client-IDs

Für die Authentifizierung von Endnutzern und für den Zugriff auf Nutzerdaten in Ihrer Anwendung müssen Sie mindestens eine OAuth 2.0-Client-ID erstellen. Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei Googles OAuth-Servern verwendet. Wenn Ihre App auf mehreren Plattformen ausgeführt wird, müssen Sie für jede Plattform eine separate Client-ID erstellen.

Wählen Sie Ihren Anwendungstyp aus, um eine Anleitung zum Erstellen einer OAuth-Client-ID zu erhalten:

Webanwendung

  1. Rufen Sie in der Google Cloud Console das Menü  > > Clients auf.

    Zu „Clients“

  2. Klicken Sie auf Create Client.
  3. Klicken Sie auf Anwendungstyp > Webanwendung.
  4. Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
  5. Fügen Sie autorisierte URIs hinzu, die mit Ihrer App verknüpft sind:
    • Clientseitige Apps (JavaScript): Klicken Sie unter Autorisierte JavaScript-Quellen auf URI hinzufügen. Geben Sie dann einen URI für Browseranfragen ein. Damit werden die Domains angegeben, von denen Ihre Anwendung API-Anfragen an den OAuth 2.0-Server senden kann.
    • Serverseitige Apps (Java, Python usw.): Klicken Sie unter Autorisierte Weiterleitungs-URIs auf URI hinzufügen. Geben Sie dann einen Endpunkt-URI ein, an den der OAuth 2.0-Server Antworten senden kann.
  6. Klicken Sie auf Erstellen.

    Die neu erstellten Anmeldedaten werden unter OAuth 2.0-Client-IDs angezeigt.

    Notieren Sie sich die Client-ID. Clientschlüssel werden nicht für Webanwendungen verwendet.

Android

  1. Rufen Sie in der Google Cloud Console das Menü  > > Clients auf.

    Zu „Clients“

  2. Klicken Sie auf Create Client.
  3. Klicken Sie auf Anwendungstyp > Android.
  4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
  5. Geben Sie im Feld „Paketname“ den Paketnamen aus Ihrer AndroidManifest.xml-Datei ein.
  6. Geben Sie in das Feld „SHA-1-Zertifikatfingerabdruck“ den generierten SHA-1-Zertifikatfingerabdruck ein.
  7. Klicken Sie auf Erstellen.

    Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

iOS

  1. Rufen Sie in der Google Cloud Console das Menü  > > Clients auf.

    Zu „Clients“

  2. Klicken Sie auf Create Client.
  3. Klicken Sie auf Anwendungstyp > iOS.
  4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
  5. Geben Sie im Feld „Bundle-ID“ die Bundle-ID ein, wie sie in der Info.plist-Datei der App aufgeführt ist.
  6. Optional: Wenn Ihre App im Apple App Store verfügbar ist, geben Sie die App Store-ID ein.
  7. Optional: Geben Sie im Feld „Team-ID“ den von Apple generierten und 10 Zeichen umfassenden einmaligen String ein, der Ihrem Team zugewiesen wurde.
  8. Klicken Sie auf Erstellen.

    Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Chrome-Erweiterung

  1. Rufen Sie in der Google Cloud Console das Menü  > > Clients auf.

    Zu „Clients“

  2. Klicken Sie auf Create Client.
  3. Klicken Sie auf Anwendungstyp > Chrome-Erweiterung.
  4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
  5. Geben Sie im Feld „Artikel-ID“ die eindeutige 32‑stellige ID-String Ihrer App ein. Sie finden diesen ID-Wert in der Chrome Web Store-URL Ihrer App und im Chrome Web Store-Entwickler-Dashboard.
  6. Klicken Sie auf Erstellen.

    Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Desktopanwendung

  1. Rufen Sie in der Google Cloud Console das Menü  > > Clients auf.

    Zu „Clients“

  2. Klicken Sie auf Create Client.
  3. Klicken Sie auf Anwendungstyp > Desktop-App.
  4. Geben Sie im Feld Name einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
  5. Klicken Sie auf Erstellen.

    Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Fernseher und Geräte mit begrenzter Eingabe

  1. Rufen Sie in der Google Cloud Console das Menü  > > Clients auf.

    Zu „Clients“

  2. Klicken Sie auf Create Client.
  3. Klicken Sie auf Anwendungstyp > Fernseher und Geräte mit eingeschränkter Eingabe.
  4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
  5. Klicken Sie auf Erstellen.

    Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Universal Windows Platform (UWP)

  1. Rufen Sie in der Google Cloud Console das Menü  > > Clients auf.

    Zu „Clients“

  2. Klicken Sie auf Create Client.
  3. Klicken Sie auf Anwendungstyp > Universelle Windows-Plattform (UWP).
  4. Geben Sie im Feld „Name“ einen Namen für die Anmeldedaten ein. Dieser Name wird nur in der Google Cloud Console angezeigt.
  5. Geben Sie im Feld „Shop-ID“ die eindeutige 12‑stellige Microsoft Store-ID Ihrer App ein. Sie finden diese ID in der Microsoft Store-URL Ihrer App und im Partner Center.
  6. Klicken Sie auf Erstellen.

    Die neu erstellten Anmeldedaten werden unter „OAuth 2.0-Client-IDs“ angezeigt.

Dienstkonto-Anmeldedaten

Ein Dienstkonto ist eine spezielle Art von Konto, das von einer Anwendung und nicht von einer Person verwendet wird. Sie können ein Dienstkonto verwenden, um über das Roboter-Konto auf Daten zuzugreifen oder Aktionen auszuführen oder um im Namen von Google Workspace- oder Cloud Identity-Nutzern auf Daten zuzugreifen. Weitere Informationen finden Sie unter Details zu Dienstkonten.

Dienstkonto erstellen

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console das Menü  > IAM & Verwaltung > Dienstkonten auf.

    Zur Seite „Dienstkonten“

  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die Dienstkontodetails ein und klicken Sie dann auf Erstellen und fortfahren.
  4. Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
  5. Klicken Sie auf Weiter.
  6. Optional: Geben Sie Nutzer oder Gruppen ein, die dieses Dienstkonto verwalten und Aktionen damit ausführen können. Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten verwalten.
  7. Klicken Sie auf Fertig. Notieren Sie sich die E-Mail-Adresse des Dienstkontos.

gcloud-CLI

  1. Erstellen Sie das Dienstkonto: 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \   --display-name="SERVICE_ACCOUNT_NAME"
  2. Optional: Weisen Sie Ihrem Dienstkonto Rollen zu, um Zugriff auf die Ressourcen Ihres Google Cloud-Projekts zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Dienstkonto eine Rolle zuweisen

Sie müssen einem Dienstkonto über ein Super Admin-Konto eine vordefinierte oder benutzerdefinierte Rolle zuweisen.

  1. Gehen Sie in der Admin-Konsole zum Menü > Konto > Administratorrollen.

    Zu Administratorrollen

  2. Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, und klicken Sie dann auf Administrator zuweisen.

  3. Klicken Sie auf Dienstkonten zuweisen.

  4. Geben Sie die E‑Mail-Adresse des Dienstkontos ein.

  5. Klicken Sie auf Hinzufügen > Rolle zuweisen.

Anmeldedaten für ein Dienstkonto erstellen

Sie benötigen Anmeldedaten in Form eines öffentlichen/privaten Schlüsselpaars. Diese Anmeldedaten werden von Ihrem Code verwendet, um Dienstkontoaktionen in Ihrer App zu autorisieren.

So rufen Sie Anmeldedaten für Ihr Dienstkonto ab:

  1. Rufen Sie in der Google Cloud Console das Menü  > IAM & Verwaltung > Dienstkonten auf.

    Zur Seite „Dienstkonten“

  2. Wählen Sie Ihr Dienstkonto aus.
  3. Klicken Sie auf Schlüssel > Schlüssel hinzufügen > Neuen Schlüssel erstellen.
  4. Wählen Sie JSON aus und klicken Sie auf Erstellen.

    Ihr neues öffentliches/privates Schlüsselpaar wird generiert und als neue Datei auf Ihren Computer heruntergeladen. Speichern Sie die heruntergeladene JSON-Datei als credentials.json in Ihrem Arbeitsverzeichnis. Diese Datei ist die einzige Kopie dieses Schlüssels. Informationen dazu, wie Sie den Schlüssel sicher speichern, finden Sie unter Dienstkontoschlüssel verwalten.

  5. Klicken Sie auf Schließen.

Optional: Domainweite Delegierung für ein Dienstkonto einrichten

Wenn Sie APIs im Namen von Nutzern in einer Google Workspace-Organisation aufrufen möchten, muss Ihrem Dienstkonto in der Google Workspace-Admin-Konsole von einem Super Admin-Konto die domainweite Delegation der Berechtigung gewährt werden. Weitere Informationen finden Sie unter Domainweite Befugnisse an ein Dienstkonto delegieren.

So richten Sie die domainweite Autorisierung für ein Dienstkonto ein:

  1. Rufen Sie in der Google Cloud Console das Menü  > IAM & Verwaltung > Dienstkonten auf.

    Zur Seite „Dienstkonten“

  2. Wählen Sie Ihr Dienstkonto aus.
  3. Klicken Sie auf Erweiterte Einstellungen anzeigen.
  4. Suchen Sie unter „Domainweite Delegation“ nach der „Client-ID“ Ihres Dienstkontos. Klicken Sie auf „Kopieren“ , um den Wert der Client-ID in die Zwischenablage zu kopieren.

  5. Wenn Sie Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, klicken Sie auf Google Workspace Admin-Konsole aufrufen. Melden Sie sich dann mit einem Super Admin-Nutzerkonto an und folgen Sie dieser Anleitung weiter.

    Wenn Sie keinen Super Admin-Zugriff auf das entsprechende Google Workspace-Konto haben, wenden Sie sich an einen Super Admin für dieses Konto und senden Sie ihm die Client-ID und die Liste der OAuth-Bereiche Ihres Dienstkontos, damit er die folgenden Schritte in der Admin-Konsole ausführen kann.

    1. Rufen Sie in der Admin-Konsole das Dreistrich-Menü  > Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung auf.

      Zur API-Steuerung

    2. Klicken Sie auf Domainweite Delegierung verwalten.
    3. Klicken Sie auf Neu hinzufügen.
    4. Fügen Sie die zuvor kopierte Client-ID in das Feld „Client-ID“ ein.
    5. Geben Sie im Feld „OAuth-Bereiche“ eine durch Kommas getrennte Liste der für Ihre Anwendung erforderlichen Bereiche ein. Dies ist dieselbe Gruppe von Bereichen, die Sie beim Konfigurieren des OAuth-Zustimmungsbildschirms definiert haben.
    6. Klicken Sie auf Autorisieren.

Nächster Schritt

Sie können jetzt mit der Entwicklung für Google Workspace beginnen. Liste der Google Workspace-Entwicklerprodukte und Hilfe finden