Google: Service Account

Die Verwendung von Service Accounts ist komplexer als OAuth2. Bevor Sie beginnen:

• Überprüfen Sie, ob Ihr Node mit Service Account kompatibel ist.
• Stellen Sie sicher, dass Sie Service Account verwenden müssen. Für die meisten Anwendungsfälle ist OAuth2 eine bessere Option.
• Lesen Sie die Google-Dokumentation zum Erstellen und Verwalten von Dienstkonten.

Voraussetzungen

• Erstellen Sie ein Google Cloud Konto.

Einrichten eines Service Accounts

Es gibt vier Schritte, um Ihre Localmind Automate-Anmeldedaten mit einem Google Service Account zu verbinden:

1. Erstellen Sie ein Google Cloud Console-Projekt.
2. Aktivieren Sie APIs.
3. Richten Sie ein Google Cloud Service Account ein.
4. Schließen Sie Ihre Localmind Automate-Anmeldedaten ab.

Erstellen Sie ein Google Cloud Console-Projekt

Erstellen Sie zunächst ein Google Cloud Console-Projekt. Wenn Sie bereits ein Projekt haben, fahren Sie mit dem nächsten Abschnitt fort:

1. Log in to your Google Cloud Console using your Google credentials.
2. In the top menu, select the project dropdown in the top navigation and select New project or go directly to the New Project page.
3. Enter a Project name and select the Location for your project.
4. Select Create.
5. Check the top navigation and make sure the project dropdown has your project selected. If not, select the project you just created.

Aktivieren Sie APIs

Aktivieren Sie nach der Erstellung Ihres Projekts die APIs, auf die Sie Zugriff benötigen:

1. Access your Google Cloud Console - Library. Make sure you're in the correct project.
2. Go to APIs & Services > Library.
3. Search for and select the API(s) you want to enable. For example, for the Gmail node, search for and enable the Gmail API.

4. Some integrations require other APIs or require you to request access:

   • Google Perspective: Request API Access.
   • Google Ads: Get a Developer Token.

   Google Drive API required

   The following integrations require the Google Drive API, as well as their own API:

   • Google Docs
   • Google Sheets
   • Google Slides

   Google Vertex AI API

   In addition to the Vertex AI API you will also need to enable the Cloud Resource Manager API.

5. Select ENABLE.

Einrichten eines Google Cloud Service Accounts

1. Greifen Sie auf Ihre Google Cloud Console - Bibliothek zu. Stellen Sie sicher, dass Sie sich im richtigen Projekt befinden.
2. Wählen Sie das Hamburger-Menü > APIs & Dienste > Anmeldedaten. Google führt Sie zu Ihrer Anmeldedaten-Seite.
3. Wählen Sie + ANMELDEINFORMATIONEN ERSTELLEN > Service Account.
4. Geben Sie einen Namen in Service Account Name und eine ID in Service Account ID ein. Weitere Informationen finden Sie unter Erstellen eines Service Accounts.
5. Wählen Sie ERSTELLEN UND FORTFAHREN.
6. Basierend auf Ihrem Anwendungsfall können Sie Eine Rolle auswählen und Nutzern Zugriff auf dieses Service Account gewähren, indem Sie die entsprechenden Abschnitte verwenden.
7. Wählen Sie FERTIG.
8. Wählen Sie Ihr neu erstelltes Service Account im Abschnitt Service Accounts aus. Öffnen Sie die Registerkarte SCHLÜSSEL.
9. Wählen Sie SCHLÜSSEL HINZUFÜGEN > Neuen Schlüssel erstellen.
10. Wählen Sie im angezeigten Modal JSON und dann ERSTELLEN. Google speichert die Datei auf Ihrem Computer.

Schließen Sie Ihre Localmind Automate-Anmeldedaten ab

Nachdem das Google-Projekt und die Anmeldedaten vollständig konfiguriert sind, schließen Sie die Localmind Automate-Anmeldedaten ab:

1. Öffnen Sie die heruntergeladene JSON-Datei.
2. Kopieren Sie die client_email und geben Sie sie in Ihren Localmind Automate-Anmeldedaten als Service Account Email ein.

3. Kopieren Sie den private_key. Schließen Sie die umgebenden "-Markierungen nicht ein. Geben Sie dies als Privater Schlüssel in Ihren Localmind Automate-Anmeldedaten ein.

   Ältere Versionen von Localmind Automate

   Wenn Sie eine Localmind Automate-Version älter als 0.156.0 verwenden, ersetzen Sie alle Instanzen von \n in der JSON-Datei durch neue Zeilen.

4. Optional: Wählen Sie, ob Sie Einen Nutzer imitieren möchten (aktiviert).

   1. Um diese Option zu verwenden, müssen Sie als Google Workspace-Superadministrator die Domainweite Delegierung aktivieren.
   2. Geben Sie die E-Mail des Benutzers ein, den Sie imitieren möchten.
5. Wenn Sie diese Anmeldedaten mit dem HTTP-Anfrage-Node verwenden möchten, aktivieren Sie Für die Verwendung im HTTP-Anfrage-Node einrichten.
   1. Wenn diese Einstellung aktiviert ist, müssen Sie Bereiche für den Node hinzufügen. Localmind Automate füllt einige Bereiche vorab aus. Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
6. Speichern Sie Ihre Anmeldedaten.

Fehlerbehebung

Service Account kann nicht auf Google Drive-Dateien zugreifen

Ein Service Account kann nicht auf Google Drive-Dateien und -Ordner zugreifen, die nicht für die zugehörige Benutzer-E-Mail freigegeben wurden.

1. Greifen Sie auf Ihre Google Cloud Console zu und kopieren Sie Ihre Service Account-E-Mail.
2. Greifen Sie auf Ihr Google Drive zu und gehen Sie zu der entsprechenden Datei oder dem Ordner.
3. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner und wählen Sie Freigeben.
4. Fügen Sie Ihre Service Account-E-Mail in Personen und Gruppen hinzufügen ein.
5. Wählen Sie Bearbeiter für Lese- und Schreibzugriff oder Betrachter für Nur-Lese-Zugriff.

Domainweite Delegierung aktivieren

Um einen Benutzer mit einem Service Account zu imitieren, müssen Sie die domainweite Delegierung für das Service Account aktivieren.

Nicht empfohlen

Google empfiehlt, die domainweite Delegierung zu vermeiden, da sie die Imitation jedes Benutzers (einschließlich Superadmins) ermöglicht und ein Sicherheitsrisiko darstellen kann.

Um die domainweite Autorisierung an ein Service Account zu delegieren, müssen Sie ein Superadministrator für die Google Workspace-Domain sein. Dann:

1. Wählen Sie in der Admin-Konsole Ihrer Google Workspace-Domain das Hamburger-Menü und dann Sicherheit > Zugriff und Datensteuerung > API-Steuerung aus.
2. Wählen Sie im Bereich Domainweite Delegierung die Option Domainweite Delegierung verwalten aus.
3. Wählen Sie Neu hinzufügen.
4. Geben Sie im Feld Client-ID die Client-ID des Service Accounts ein. So erhalten Sie die Client-ID:
   • Öffnen Sie Ihr Google Cloud Console-Projekt und dann die Seite Service Accounts.
   • Kopieren Sie die OAuth 2 Client-ID und verwenden Sie diese als Client-ID für die Domainweite Delegierung.
5. Geben Sie im Feld OAuth-Bereiche eine Liste von kommagetrennten Bereichen ein, um Ihrer Anwendung Zugriff zu gewähren. Wenn Ihre Anwendung beispielsweise domainweiten Vollzugriff auf die Google Drive API und die Google Kalender API benötigt, geben Sie Folgendes ein: https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/calendar.
6. Wählen Sie Autorisieren.

Es kann zwischen 5 Minuten und 24 Stunden dauern, bis Sie alle Benutzer in Ihrem Workspace imitieren können.