Configurare l'API Devices

Questa pagina spiega come configurare l'API Cloud Identity Devices. Puoi utilizzare l'API Devices per eseguire il provisioning delle risorse in modo programmatico, ad esempio per gestire Google Gruppi, per conto di un amministratore.

Attivare l'API e configurare le credenziali

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud Identity API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Cloud Identity API.

    Enable the API

Configurare l'accesso all'API utilizzando un account di servizio con delega a livello di dominio

Questa sezione descrive come creare e utilizzare un account di servizio per accedere alle risorse di Google Workspace. L'autenticazione diretta all'API Devices utilizzando un account di servizio non è supportata, quindi devi utilizzare questo metodo.

Crea un account di servizio e configuralo per la delega a livello di dominio

Per creare un account di servizio e scaricare la relativa chiave:

  1. Per creare un account di servizio:

    1. Nella console Google Cloud, vai alla pagina degli account di servizio IAM:

      Vai agli account di servizio

    2. Fai clic su Crea account di servizio.

    3. In Dettagli account di servizio, digita un nome, un ID e una descrizione per l'account di servizio, quindi fai clic su Crea e continua.

    4. (Facoltativo) In Concedi a questo account di servizio l'accesso al progetto, seleziona i ruoli IAM da concedere all'account di servizio.

    5. Fai clic su Continua.

    6. (Facoltativo) In Concedi agli utenti l'accesso a questo account di servizio, aggiungi gli utenti o i gruppi che possono utilizzare e gestire l'account di servizio.

    7. Fai clic su Fine.

  2. Per consentire all'account di servizio di accedere all'API Devices utilizzando la delega a livello di dominio, segui le istruzioni riportate in Configurare la delega a livello di dominio per l'account di servizio.

  3. Per creare e scaricare una chiave dell'account di servizio:

    1. Fai clic sull'indirizzo email dell'account di servizio che hai creato.
    2. Fai clic sulla scheda Chiavi.
    3. Nell'elenco a discesa Aggiungi chiave, seleziona Crea nuova chiave.
    4. Fai clic su Crea.

      Un file delle credenziali in formato JSON, contenente una nuova coppia di chiavi pubblica e privata, viene generato e scaricato sul tuo computer. Il file contiene l'unica copia delle chiavi. Sei responsabile della sua archiviazione in sicurezza. Se perdi la coppia di chiavi, devi generarne una nuova.

Esamina le voci di log

Quando esamini le voci del log, tieni presente che i log di controllo mostreranno le azioni dell'account di servizio come avviate dall'utente. Questo perché la delega a livello di dominio consente all'account di servizio di simulare l'identità di un utente amministrativo.

Inizializzare le credenziali

Quando esegui l'inizializzazione della credenziale nel codice, specifica l'indirizzo email su cui agisce l'account di servizio chiamando with_subject() sulla credenziale. Ad esempio:

Python

credentials = service_account.Credentials.from_service_account_file(
  'SERVICE_ACCOUNT_CREDENTIAL_FILE',
  scopes=SCOPES).with_subject(USER
)

Sostituisci quanto segue:

  • SERVICE_ACCOUNT_CREDENTIAL_FILE: il file della chiave dell'account di servizio creato in precedenza in questo documento
  • USER: l'utente di cui l'account di servizio rappresenta l'identità

Associazione di un client

L'esempio seguente mostra come creare un'istanza di un client utilizzando le credenziali dell'account di servizio.

Python

from google.oauth2 import service_account
import googleapiclient.discovery

SCOPES = ['https://www.googleapis.com/auth/cloud-identity.devices']

def create_service():
  credentials = service_account.Credentials.from_service_account_file(
    'SERVICE_ACCOUNT_CREDENTIAL_FILE',
    scopes=SCOPES
  )

  delegated_credentials = credentials.with_subject('USER')

  service_name = 'cloudidentity'
  api_version = 'v1'
  service = googleapiclient.discovery.build(
    service_name,
    api_version,
    credentials=delegated_credentials)

  return service

Sostituisci quanto segue:

  • SERVICE_ACCOUNT_CREDENTIAL_FILE: il file della chiave dell'account di servizio creato in precedenza in questo documento
  • USER: l'utente di cui l'account di servizio rappresenta l'identità

Ora puoi iniziare a effettuare chiamate all'API Devices.

Per eseguire l'autenticazione come utente finale, sostituisci l'oggetto credential dell'account di servizio con il credential che puoi ottenere in Ottenere token OAuth 2.0.

Installazione della libreria client Python

Per installare la libreria client Python, esegui il seguente comando:

  pip install --upgrade google-api-python-client google-auth \
    google-auth-oauthlib google-auth-httplib2

Per ulteriori informazioni sulla configurazione dell'ambiente di sviluppo Python, consulta la Guida alla configurazione dell'ambiente di sviluppo Python.