Tạo thông tin xác thực truy cập

Thông tin đăng nhập được dùng để lấy mã truy cập từ các máy chủ uỷ quyền của Google để ứng dụng của bạn có thể gọi các API của Google Workspace. Hướng dẫn này mô tả cách chọn và thiết lập thông tin đăng nhập mà ứng dụng của bạn cần.

Để biết định nghĩa về các thuật ngữ trên trang này, hãy xem bài viết Tổng quan về quy trình xác thực và uỷ quyền.

Chọn thông tin đăng nhập phù hợp với bạn

Thông tin đăng nhập bắt buộc phụ thuộc vào loại dữ liệu, nền tảng và phương pháp truy cập của ứng dụng. Có 3 loại thông tin đăng nhập:

Trường hợp sử dụng Phương pháp xác thực Giới thiệu về phương thức xác thực này
Truy cập vào dữ liệu có sẵn công khai một cách ẩn danh trong ứng dụng của bạn. Khoá API Kiểm tra để đảm bảo API mà bạn muốn sử dụng có hỗ trợ khoá API trước khi sử dụng phương thức xác thực này.
Truy cập vào dữ liệu người dùng, chẳng hạn như địa chỉ email hoặc độ tuổi của họ. Mã ứng dụng OAuth Yêu cầu ứng dụng của bạn phải yêu cầu và nhận được sự đồng ý của người dùng.
Truy cập vào dữ liệu thuộc ứng dụng của riêng bạn hoặc truy cập vào các tài nguyên thay mặt cho người dùng Google Workspace hoặc Cloud Identity thông qua quyền uỷ thác trên toàn miền. Tài khoản dịch vụ Khi xác thực dưới dạng tài khoản dịch vụ, ứng dụng sẽ có quyền truy cập vào tất cả các tài nguyên mà tài khoản dịch vụ có quyền truy cập.

Thông tin xác thực khoá API

Khoá API là một chuỗi dài chứa các chữ cái viết hoa và viết thường, chữ số, dấu gạch dưới và dấu gạch ngang, chẳng hạn như AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe. Phương thức xác thực này được dùng để truy cập ẩn danh vào dữ liệu có sẵn công khai, chẳng hạn như các tệp Google Workspace được chia sẻ bằng chế độ cài đặt chia sẻ "Bất kỳ ai có đường liên kết trên Internet". Để biết thêm thông tin chi tiết, hãy xem bài viết Sử dụng khoá API.

Cách tạo khoá API:

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến phần Trình đơn > API và Dịch vụ > Thông tin xác thực.

    Chuyển đến phần Thông tin đăng nhập

  2. Nhấp vào Tạo thông tin xác thực > Khoá API.
  3. Khoá API mới của bạn sẽ xuất hiện.
    • Nhấp vào biểu tượng Sao chép để sao chép khoá API nhằm sử dụng trong mã của ứng dụng. Bạn cũng có thể tìm thấy khoá API trong phần "Khoá API" của thông tin đăng nhập dự án.
    • Để ngăn chặn việc sử dụng trái phép, bạn nên hạn chế nơi và API mà khoá API có thể được dùng. Để biết thêm thông tin chi tiết, hãy xem phần Thêm các quy tắc hạn chế đối với API.

Thông tin đăng nhập mã ứng dụng OAuth

Để xác thực người dùng cuối và truy cập vào dữ liệu người dùng trong ứng dụng của mình, bạn cần tạo một hoặc nhiều Mã ứng dụng OAuth 2.0. Mã ứng dụng khách được dùng để xác định một ứng dụng duy nhất cho các máy chủ OAuth của Google. Nếu ứng dụng của bạn chạy trên nhiều nền tảng, bạn phải tạo một mã nhận dạng ứng dụng riêng cho mỗi nền tảng.

Chọn loại ứng dụng để biết hướng dẫn cụ thể về cách tạo mã ứng dụng OAuth:

Ứng dụng web

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > > Clients (Ứng dụng).

    Chuyển đến mục Khách hàng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Ứng dụng web.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Google Cloud Console.
  5. Thêm các URI được uỷ quyền liên quan đến ứng dụng của bạn:
    • Ứng dụng phía máy khách (JavaScript) – Trong phần Nguồn gốc JavaScript được uỷ quyền, hãy nhấp vào Thêm URI. Sau đó, hãy nhập một URI để sử dụng cho các yêu cầu của trình duyệt. Tham số này xác định những miền mà ứng dụng của bạn có thể gửi yêu cầu API đến máy chủ OAuth 2.0.
    • Ứng dụng phía máy chủ (Java, Python và các ứng dụng khác) – Trong mục URI chuyển hướng được uỷ quyền, hãy nhấp vào Thêm URI. Sau đó, hãy nhập một URI điểm cuối mà máy chủ OAuth 2.0 có thể gửi phản hồi đến.
  6. Nhấp vào Tạo.

    Thông tin xác thực mới tạo sẽ xuất hiện trong phần Mã ứng dụng OAuth 2.0.

    Ghi lại Mã ứng dụng khách. Khoá bí mật ứng dụng không được dùng cho các ứng dụng Web.

Android

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > > Clients (Ứng dụng).

    Chuyển đến mục Khách hàng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Android.
  4. Trong trường "Tên", hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Google Cloud Console.
  5. Trong trường "Tên gói", hãy nhập tên gói trong tệp AndroidManifest.xml.
  6. Trong trường "SHA-1 certificate fingerprint" (Dấu vân tay chứng chỉ SHA-1), hãy nhập dấu vân tay chứng chỉ SHA-1 đã tạo.
  7. Nhấp vào Tạo.

    Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

iOS

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > > Clients (Ứng dụng).

    Chuyển đến mục Khách hàng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > iOS.
  4. Trong trường "Tên", hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Google Cloud Console.
  5. Trong trường "Mã nhận dạng gói", hãy nhập giá trị nhận dạng gói có trong tệp Info.plist của ứng dụng.
  6. Không bắt buộc: Nếu ứng dụng của bạn xuất hiện trong Apple App Store, hãy nhập mã App Store.
  7. Không bắt buộc: Trong trường "Team ID" (Mã nhóm), hãy nhập chuỗi gồm 10 ký tự duy nhất do Apple tạo và chỉ định cho nhóm của bạn.
  8. Nhấp vào Tạo.

    Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Tiện ích của Chrome

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > > Clients (Ứng dụng).

    Chuyển đến mục Khách hàng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Tiện ích Chrome.
  4. Trong trường "Tên", hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Google Cloud Console.
  5. Trong trường "Mã mặt hàng", hãy nhập chuỗi mã nhận dạng duy nhất gồm 32 ký tự của ứng dụng. Bạn có thể tìm thấy giá trị mã nhận dạng này trong URL của ứng dụng trên Cửa hàng Chrome trực tuyến và trong Trang tổng quan dành cho nhà phát triển của Cửa hàng Chrome trực tuyến.
  6. Nhấp vào Tạo.

    Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Ứng dụng dành cho máy tính

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > > Clients (Ứng dụng).

    Chuyển đến mục Khách hàng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > Ứng dụng dành cho máy tính.
  4. Trong trường Name (Tên), hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Google Cloud Console.
  5. Nhấp vào Tạo.

    Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

TV và thiết bị đầu vào giới hạn

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > > Clients (Ứng dụng).

    Chuyển đến mục Khách hàng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Loại ứng dụng > TV và thiết bị có phương thức nhập hạn chế.
  4. Trong trường "Tên", hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Google Cloud Console.
  5. Nhấp vào Tạo.

    Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Universal Windows Platform (UWP)

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Trình đơn > > Clients (Ứng dụng).

    Chuyển đến mục Khách hàng

  2. Nhấp vào Tạo ứng dụng.
  3. Nhấp vào Application type (Loại ứng dụng) > Universal Windows Platform (UWP) (Nền tảng Windows đa năng).
  4. Trong trường "Tên", hãy nhập tên cho thông tin đăng nhập. Tên này chỉ xuất hiện trong Google Cloud Console.
  5. Trong trường "Mã cửa hàng", hãy nhập giá trị mã Microsoft Store gồm 12 ký tự duy nhất của ứng dụng. Bạn có thể tìm thấy mã này trong URL của ứng dụng trên Microsoft Store và trong Partner Center.
  6. Nhấp vào Tạo.

    Thông tin xác thực mới tạo sẽ xuất hiện trong phần "Mã ứng dụng OAuth 2.0".

Thông tin đăng nhập của tài khoản dịch vụ

Tài khoản dịch vụ là một loại tài khoản đặc biệt mà ứng dụng sử dụng, thay vì một người. Bạn có thể sử dụng tài khoản dịch vụ để truy cập vào dữ liệu hoặc thực hiện các thao tác bằng tài khoản rô bốt, hoặc để truy cập vào dữ liệu thay mặt cho người dùng Google Workspace hoặc Cloud Identity. Để biết thêm thông tin, hãy xem bài viết Tìm hiểu về tài khoản dịch vụ.

Tạo một tài khoản dịch vụ

Bảng điều khiển Google Cloud

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến phần Trình đơn > IAM và Quản trị > Tài khoản dịch vụ.

    Chuyển đến phần Tài khoản dịch vụ

  2. Nhấp vào Tạo tài khoản dịch vụ.
  3. Điền thông tin tài khoản dịch vụ, rồi nhấp vào Tạo và tiếp tục.
  4. Không bắt buộc: Chỉ định vai trò cho tài khoản dịch vụ của bạn để cấp quyền truy cập vào các tài nguyên của dự án Google Cloud. Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Cấp, thay đổi và thu hồi quyền truy cập vào tài nguyên.
  5. Nhấp vào Tiếp tục.
  6. Không bắt buộc: Nhập người dùng hoặc nhóm có thể quản lý và thực hiện các thao tác bằng tài khoản dịch vụ này. Để biết thêm thông tin, hãy tham khảo bài viết Quản lý hoạt động mạo danh tài khoản dịch vụ.
  7. Nhấp vào Xong. Ghi lại địa chỉ email của tài khoản dịch vụ.

gcloud CLI

  1. Tạo tài khoản dịch vụ: 
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \   --display-name="SERVICE_ACCOUNT_NAME"
  2. Không bắt buộc: Chỉ định vai trò cho tài khoản dịch vụ của bạn để cấp quyền truy cập vào các tài nguyên của dự án Google Cloud. Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Cấp, thay đổi và thu hồi quyền truy cập vào tài nguyên.

Chỉ định vai trò cho tài khoản dịch vụ

Bạn phải chỉ định một vai trò được tạo sẵn hoặc vai trò tuỳ chỉnh cho tài khoản dịch vụ bằng tài khoản quản trị viên cấp cao.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn > Tài khoản > Vai trò quản trị.

    Chuyển đến phần Vai trò quản trị viên

  2. Trỏ vào vai trò mà bạn muốn chỉ định, rồi nhấp vào Chỉ định quản trị viên.

  3. Nhấp vào Chỉ định tài khoản dịch vụ.

  4. Nhập địa chỉ email của tài khoản dịch vụ.

  5. Nhấp vào Thêm > Chỉ định vai trò.

Tạo thông tin xác thực cho tài khoản dịch vụ

Bạn cần lấy thông tin đăng nhập dưới dạng một cặp khoá công khai/khoá riêng tư. Mã thông tin đăng nhập này được mã của bạn dùng để uỷ quyền cho các thao tác của tài khoản dịch vụ trong ứng dụng.

Cách lấy thông tin xác thực cho tài khoản dịch vụ:

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến phần Trình đơn > IAM và Quản trị > Tài khoản dịch vụ.

    Chuyển đến phần Tài khoản dịch vụ

  2. Chọn tài khoản dịch vụ của bạn.
  3. Nhấp vào Khoá > Thêm khoá > Tạo khoá mới.
  4. Chọn JSON, rồi nhấp vào Tạo.

    Cặp khoá công khai/riêng tư mới của bạn sẽ được tạo và tải xuống máy của bạn dưới dạng một tệp mới. Lưu tệp JSON đã tải xuống dưới dạng credentials.json trong thư mục đang hoạt động. Tệp này là bản sao duy nhất của khoá này. Để biết thông tin về cách lưu trữ khoá một cách an toàn, hãy xem phần Quản lý khoá tài khoản dịch vụ.

  5. Nhấp vào Close (Đóng).

Không bắt buộc: Thiết lập tính năng uỷ quyền trên toàn miền cho tài khoản dịch vụ

Để gọi API thay cho người dùng trong một tổ chức Google Workspace, tài khoản dịch vụ của bạn cần được cấp quyền uỷ quyền trên toàn miền trong Bảng điều khiển dành cho quản trị viên của Google Workspace bằng tài khoản quản trị viên cấp cao. Để biết thêm thông tin, hãy xem bài viết Uỷ quyền trên toàn miền cho tài khoản dịch vụ.

Cách thiết lập tính năng uỷ quyền trên toàn miền cho một tài khoản dịch vụ:

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến phần Trình đơn > IAM và Quản trị > Tài khoản dịch vụ.

    Chuyển đến phần Tài khoản dịch vụ

  2. Chọn tài khoản dịch vụ của bạn.
  3. Nhấp vào Hiển thị cài đặt nâng cao.
  4. Trong phần "Uỷ quyền trên toàn miền", hãy tìm "Mã ứng dụng" của tài khoản dịch vụ. Nhấp vào biểu tượng Sao chép để sao chép giá trị mã nhận dạng khách hàng vào bảng nhớ tạm.

  5. Nếu bạn có quyền truy cập của quản trị viên cấp cao vào tài khoản Google Workspace có liên quan, hãy nhấp vào Xem Bảng điều khiển dành cho quản trị viên Google Workspace, sau đó đăng nhập bằng tài khoản người dùng quản trị viên cấp cao và tiếp tục làm theo các bước này.

    Nếu bạn không có quyền truy cập của quản trị viên cấp cao vào tài khoản Google Workspace có liên quan, hãy liên hệ với một quản trị viên cấp cao của tài khoản đó và gửi cho họ Mã ứng dụng khách của tài khoản dịch vụ và danh sách các Phạm vi OAuth để họ có thể hoàn tất các bước sau trong Bảng điều khiển dành cho quản trị viên.

    1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn > Bảo mật > Quyền truy cập và kiểm soát dữ liệu > Chế độ kiểm soát API.

      Chuyển đến phần Kiểm soát API

    2. Nhấp vào Quản lý việc uỷ quyền trên toàn miền.
    3. Nhấp vào Thêm mới.
    4. Trong trường "Client ID" (Mã ứng dụng khách), hãy dán mã ứng dụng khách mà bạn đã sao chép trước đó.
    5. Trong trường "Phạm vi OAuth", hãy nhập danh sách các phạm vi được phân tách bằng dấu phẩy mà ứng dụng của bạn yêu cầu. Đây là cùng một nhóm phạm vi mà bạn đã xác định khi định cấu hình màn hình đồng ý OAuth.
    6. Nhấp vào Uỷ quyền.

Bước tiếp theo

Bạn đã sẵn sàng phát triển trên Google Workspace! Xem danh sách các sản phẩm dành cho nhà phát triển của Google Workspacecách tìm trợ giúp.