Google Admin API używający Oauth2 do konta usługi (wersja edukacyjna) - błąd 403

Question

Mam problemy z używaniem nowego pakietu Google Admin SDK. W szczególności Directory API używający Oauth2. Myślę, że już prawie jestem, ale utknąłem, próbując odzyskać dane o użytkownikach za pomocą interfejsu Directory API (używam domeny Google Education Edition).

Zasadniczo to, co próbuję zrobić, to napisanie skryptu python, który rezerwuje lub wycofuje użytkowników na podstawie ich statusu rejestracji zarządzanego przez naszą AD. Mam skrypt, który robi to za pomocą Oauth1, ale chcę go zaktualizować, aby używać Oauth2.

Oto fragment kodu na podstawie niektórych przykładów, które znalazłem.

f = file('test_key.p12', 'rb') 
key = f.read() 
f.close() 
credentials = SignedJwtAssertionCredentials(
    '606346240424-10stfco1ukj9h4m4b4r40@developer.gserviceaccount.com', 
    key, 
    scope= 'https://www.googleapis.com/auth/admin.directory.user') 
http = httplib2.Http() 
http = credentials.authorize(http) 
service = build(serviceName='admin', version='directory_v1', http=http) 

lists = service.users().get(userKey='joe.blogs@mydomain.com').execute(http=http) 
pprint.pprint(lists) 

Ten fragment kodu wygląda na poprawny, ale kiedy próbuję wykonać zapytanie, pojawia się błąd 403.

BŁĄD: https://www.googleapis.com/admin/directory/v1/users/joe.blogs@mydomain.com?alt=json powrócił "nie jest upoważniony do dostępu do tego zasobu/API">

Moja pierwsza myśl była, ponieważ nie włączałem tego interfejsu API na konsoli administratorów (Google API's console), ale mam. (Właściwie to włączyłem Admin SDK, a nie Directory API, ponieważ nie ma włączonego interfejsu Directory API i widzę, że jest to część pakietu SDK administratora, który by działał?).

Czy jest jeszcze jeden krok, którego mi brakuje, czy gdzieś popełniłem głupią pomyłkę?

Answer 1

Bruce

jesteś całkiem blisko.

Para przedmiotów:

• If you're using App Engine, need to convert p12 key to pem and strip header
• Potrzeba włączenia użytkownikowi Super poświadczeń użytkownika (który ma uprawnienia do wykonania tych operacji), którego jesteś podszywanie się (nie użytkownika, który jest zmieniany) za pomocą sub= parametr

Więc pełny kod będzie wyglądał trochę tak:

# domain configuration settings 
    import domainconfig 

    f = file(domainconfig.KEY_FILE, "rb") # b reads file in binary mode; not strictly necessary, but safer to avoid strange Windows EOL characters: https://stackoverflow.com/questions/9644110/difference-between-parsing-a-text-file-in-r-and-rb-mode 
    key = f.read() 
    f.close() 

    credentials = SignedJwtAssertionCredentials(

     domainconfig.SERVICE_ACCOUNT_EMAIL, 
     key, 
     scope = domainconfig.SCOPE, 
     sub=domainconfig.SUB_ACCOUNT_EMAIL # 'sub' supercedes the deprecated 'prn' 

    ) 

    http = httplib2.Http() 
    http = credentials.authorize(http) 

    directoryservice = build("admin", "directory_v1", http=http) 

    users = directoryservice.users() 
    response = users.get(userKey='joe.blogs@mydomain.com').execute() 

Answer 2

Powinno to być pomocne: https://developers.google.com/drive/delegation

Kiedy twierdząc poświadczenia należy podłączyć go do użytkownika, który ma zostać zmieniony. Z linku powyżej Uwaga ten dział:

credentials = SignedJwtAssertionCredentials(SERVICE_ACCOUNT_EMAIL, key, 
scope='https://www.googleapis.com/auth/drive', sub=user_email)