Configurer l'API User Invitation

Cette page explique comment configurer l'API User Invitation de Cloud Identity.

Activer l'API et configurer des identifiants

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Activez l'API Cloud Identity

Activer l'API

Créez un compte de service :

Dans la console Google Cloud, accédez à la page Créer un compte de service.
Accéder à la page "Créer un compte de service"
Sélectionnez votre projet.
Dans le champ Nom du compte de service, saisissez un nom. La console Google Cloud remplit le champ ID du compte de service en fonction de ce nom.

Dans le champ Description du compte de service, saisissez une description. Exemple : Service account for quickstart.
Cliquez sur Créer et continuer.
Attribuez le rôle Project > Owner au compte de service.

Pour accorder le rôle, trouvez la liste Sélectionner un rôle, puis sélectionnez Project > Owner.

Remarque : Le champ Rôle détermine les ressources auxquelles le compte de service peut accéder dans votre projet. Vous pouvez révoquer ces rôles ou attribuer des rôles supplémentaires ultérieurement. Dans les environnements de production, n'attribuez pas les rôles Propriétaire, Éditeur et Lecteur. Attribuez plutôt un rôle prédéfini ou un rôle personnalisé répondant à vos besoins.
Cliquez sur Continuer.
Cliquez sur OK pour terminer la création du compte de service.

Ne fermez pas la fenêtre de votre navigateur. Vous en aurez besoin lors de la tâche suivante.

Créez une clé de compte de service :

Dans la console Google Cloud, cliquez sur l'adresse e-mail du compte de service que vous avez créé.
Cliquez sur Keys (Clés).
Cliquez sur Ajouter une clé, puis sur Créer une clé.
Cliquez sur Create (Créer). Un fichier de clé JSON est téléchargé sur votre ordinateur.
Cliquez sur Close (Fermer).

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Accéder au sélecteur de projet

Activez l'API Cloud Identity

Activer l'API

Créez un compte de service :

Dans la console Google Cloud, accédez à la page Créer un compte de service.
Accéder à la page "Créer un compte de service"
Sélectionnez votre projet.
Dans le champ Nom du compte de service, saisissez un nom. La console Google Cloud remplit le champ ID du compte de service en fonction de ce nom.

Dans le champ Description du compte de service, saisissez une description. Exemple : Service account for quickstart.
Cliquez sur Créer et continuer.
Attribuez le rôle Project > Owner au compte de service.

Pour accorder le rôle, trouvez la liste Sélectionner un rôle, puis sélectionnez Project > Owner.

Remarque : Le champ Rôle détermine les ressources auxquelles le compte de service peut accéder dans votre projet. Vous pouvez révoquer ces rôles ou attribuer des rôles supplémentaires ultérieurement. Dans les environnements de production, n'attribuez pas les rôles Propriétaire, Éditeur et Lecteur. Attribuez plutôt un rôle prédéfini ou un rôle personnalisé répondant à vos besoins.
Cliquez sur Continuer.
Cliquez sur OK pour terminer la création du compte de service.

Ne fermez pas la fenêtre de votre navigateur. Vous en aurez besoin lors de la tâche suivante.

Créez une clé de compte de service :

Dans la console Google Cloud, cliquez sur l'adresse e-mail du compte de service que vous avez créé.
Cliquez sur Keys (Clés).
Cliquez sur Ajouter une clé, puis sur Créer une clé.
Cliquez sur Create (Créer). Un fichier de clé JSON est téléchargé sur votre ordinateur.
Cliquez sur Close (Fermer).

Installer la bibliothèque cliente Python

Pour installer la bibliothèque cliente Python, exécutez la commande suivante :

  pip install --upgrade google-api-python-client google-auth \
    google-auth-oauthlib google-auth-httplib2

Pour savoir comment configurer votre environnement de développement Python, consultez le guide de configuration d'un environnement de développement Python.

Authentification en tant que compte de service avec délégation au niveau du domaine

Si vous souhaitez fournir à un compte des droits sur l'ensemble du domaine lui permettant de gérer les invitations des utilisateurs pour le compte des administrateurs, vous devez vous authentifier en tant que compte de service, puis lui accorder les privilèges au niveau du domaine.

Pour obtenir des instructions, consultez la section Déléguer l'autorité au niveau du domaine à votre compte de service. Vous devez fournir le champ d'application suivant pour autoriser le compte de service :

https://www.googleapis.com/auth/cloud-identity.userinvitations

Instancier un client

L'exemple suivant montre comment instancier un client à l'aide des identifiants d'un compte de service. Pour vous authentifier en tant qu'utilisateur final, remplacez l'objet du compte de service par l'objet que vous avez obtenu précédemment dans Utiliser OAuth 2.0 pour les applications de serveur Web.

Python

from google.oauth2 import service_account
import googleapiclient.discovery

SCOPES = ['https://www.googleapis.com/auth/cloud-identity.userinvitations']
SERVICE_ACCOUNT_FILE = '/path/to/service-account-file.json'

def create_service():
  credentials = service_account.Credentials.from_service_account_file(
    SERVICE_ACCOUNT_FILE, scopes=SCOPES)
  delegated_credentials = credentials.with_subject('user@altostrat.com')

  service_name = 'cloudidentity'
  api_version = 'v1'
  service = googleapiclient.discovery.build(
    service_name,
    api_version,
    credentials=delegated_credentials)

  return service

Vous pouvez maintenant commencer à appeler l'API User Invitation.