Halaman ini diterjemahkan oleh Cloud Translation API.

Menyiapkan Devices API

Halaman ini menjelaskan cara menyiapkan Cloud Identity Devices API. Anda dapat menggunakan Devices API untuk menyediakan resource secara terprogram—misalnya mengelola Google Grup—atas nama administrator.

Mengaktifkan API dan menyiapkan kredensial

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Cloud Identity API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Cloud Identity API.

Enable the API

Menyiapkan akses API menggunakan akun layanan dengan delegasi tingkat domain

Bagian ini menjelaskan cara membuat dan menggunakan akun layanan untuk mengakses resource Google Workspace. Mengautentikasi langsung ke Devices API menggunakan akun layanan tidak didukung, jadi Anda harus menggunakan metode ini.

Buat akun layanan dan konfigurasikan untuk delegasi tingkat domain

Untuk membuat akun layanan dan mendownload kunci akun layanan, lakukan langkah-langkah berikut:

Untuk membuat akun layanan, lakukan langkah berikut:
1. Di konsol Google Cloud , buka halaman akun layanan IAM:
  
  Buka halaman akun layanan
2. Klik Buat akun layanan.
3. Di bagian Detail akun layanan, ketik nama, ID, dan deskripsi untuk akun layanan, lalu klik Buat dan lanjutkan.
4. Opsional: Di bagian Berikan akses project ke akun layanan ini, pilih peran IAM yang akan diberikan ke akun layanan.
5. Klik Lanjutkan.
6. Opsional: Di bagian Beri pengguna akses ke akun layanan ini, tambahkan pengguna atau grup yang diizinkan untuk menggunakan dan mengelola akun layanan.
7. Klik Selesai.
Untuk mengizinkan akun layanan mengakses Devices API menggunakan delegasi tingkat domain, ikuti petunjuk di Menyiapkan delegasi tingkat domain untuk akun layanan.
Untuk membuat dan mendownload kunci akun layanan, lakukan langkah-langkah berikut.

Penting: Kunci akun layanan akan berisiko keamanan jika tidak dikelola dengan benar. Anda harus memilih alternatif yang lebih aman untuk kunci akun layanan jika memungkinkan. Jika harus mengautentikasi dengan kunci akun layanan, Anda bertanggung jawab atas keamanan kunci pribadi dan atas operasi lain yang dijelaskan dalam Praktik terbaik untuk mengelola kunci akun layanan. Jika Anda tidak dapat membuat kunci akun layanan, pembuatan kunci akun layanan mungkin dinonaktifkan untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola resource organisasi yang aman secara default.
Jika Anda mendapatkan kunci akun layanan dari sumber eksternal, Anda harus memvalidasinya sebelum digunakan. Untuk mengetahui informasi selengkapnya, lihat Persyaratan keamanan untuk kredensial yang bersumber dari luar.
1. Klik alamat email untuk akun layanan yang Anda buat.
2. Klik tab Kunci.
3. Di daftar drop-down Add key, pilih Create new key.
4. Klik Buat.
  
  File kredensial berformat JSON, yang berisi pasangan kunci publik dan pribadi baru, akan dibuat dan didownload ke komputer Anda. File berisi satu-satunya salinan kunci. Anda bertanggung jawab untuk menyimpannya dengan aman. Jika Anda kehilangan pasangan kunci, Anda harus membuatnya lagi.

Meninjau entri log

Saat meninjau entri log, perhatikan bahwa log audit akan menampilkan semua tindakan akun layanan sebagai tindakan yang telah dimulai oleh pengguna. Hal ini karena delegasi tingkat domain berfungsi dengan mengizinkan akun layanan meniru identitas pengguna administrator.

Lakukan inisialisasi kredensial

Saat melakukan inisialisasi kredensial dalam kode, tentukan alamat email yang digunakan akun layanan dengan memanggil with_subject() pada kredensial. Contoh:

Python

credentials = service_account.Credentials.from_service_account_file(
  'SERVICE_ACCOUNT_CREDENTIAL_FILE',
  scopes=SCOPES).with_subject(USER
)

Ganti kode berikut:

SERVICE_ACCOUNT_CREDENTIAL_FILE: file kunci akun layanan yang Anda buat sebelumnya dalam dokumen ini
USER: pengguna yang di-impersonate oleh akun layanan

Membuat instance klien

Contoh berikut menunjukkan cara membuat instance klien menggunakan kredensial akun layanan.

Python

from google.oauth2 import service_account
import googleapiclient.discovery

SCOPES = ['https://www.googleapis.com/auth/cloud-identity.devices']

def create_service():
  credentials = service_account.Credentials.from_service_account_file(
    'SERVICE_ACCOUNT_CREDENTIAL_FILE',
    scopes=SCOPES
  )

  delegated_credentials = credentials.with_subject('USER')

  service_name = 'cloudidentity'
  api_version = 'v1'
  service = googleapiclient.discovery.build(
    service_name,
    api_version,
    credentials=delegated_credentials)

  return service

Ganti kode berikut:

SERVICE_ACCOUNT_CREDENTIAL_FILE: file kunci akun layanan yang Anda buat sebelumnya dalam dokumen ini
USER: pengguna yang di-impersonate oleh akun layanan

Sekarang Anda dapat mulai melakukan panggilan ke Devices API.

Untuk melakukan autentikasi sebagai pengguna akhir, ganti objek credential dari akun layanan dengan credential yang dapat Anda peroleh di Mendapatkan token OAuth 2.0.

Menginstal library klien Python

Untuk menginstal library klien Python, jalankan perintah berikut:

  pip install --upgrade google-api-python-client google-auth \
    google-auth-oauthlib google-auth-httplib2

Untuk mengetahui informasi selengkapnya tentang cara menyiapkan lingkungan pengembangan Python, lihat Panduan Penyiapan Lingkungan Pengembangan Python.