如何使用服務帳戶訪問組成員？

Question

我正在嘗試使用服務帳戶來訪問組的成員。我已經驗證了我可以使用正常的OAuth2令牌代表用戶執行此操作，呼叫https://www.googleapis.com/admin/directory/v1/groups/{group}/members和範圍https://www.googleapis.com/auth/admin.directory.group.readonly。

我希望做同樣的服務帳戶，我已經添加了服務帳戶的電子郵件地址作爲組成員，並證實查看會員權限設置爲「組的所有成員，所有組織成員」。

當我問成員的名單，我收到此錯誤：

{ 
"error": { 
    "errors": [ 
    { 
    "domain": "global", 
    "reason": "forbidden", 
    "message": "Not Authorized to access this resource/api" 
    } 
    ], 
    "code": 403, 
    "message": "Not Authorized to access this resource/api" 
} 
} 

什麼我需要做的，授權此服務帳戶看組？

Answer 1

您可以按照以下API文檔頁面中列出的步驟創建服務帳戶並執行全域授權，請記住您需要任何屬於該組成員的用戶的電子郵件地址（ USEREMAIL在下面的代碼片段），這樣的服務帳戶可以代表他們行事：

https://developers.google.com/admin-sdk/directory/v1/guides/delegation

頁包括如何實例化一個com.google.api.services.admin一個Java和Python的例子使用在Google Developers Console上創建的服務帳戶和私鑰的.directory.Directory對象

GoogleCredential credential = new GoogleCredential.Builder() 
    .setTransport(httpTransport) 
    .setJsonFactory(jsonFactory) 
    .setServiceAccountId(SERVICE_ACCOUNT_EMAIL) 
    .setServiceAccountScopes(DirectoryScopes.ADMIN_DIRECTORY_USERS) 
    .setServiceAccountUser(userEmail) 
    .setServiceAccountPrivateKeyFromP12File(
     new java.io.File(SERVICE_ACCOUNT_PKCS12_FILE_PATH)) 
    .build();