Gmail API domänenweite Delegation

Question

Ich benutze Gmail API und ich versuche, E-Mails von allen Benutzern im Unternehmen zu holen. Aber wenn ich Code ausführen wie:

function runAPI(auth) { 
    var gmail = google.gmail('v1'); 
    gmail.users.threads.list({auth: auth, userId: '108800016305523828361'},'',function(err, response){ 
    if (err) { 
     console.log("The API returned an error: " + err); 
     return; 
    } 
    var threads = response.threads; 
    console.log(threads); 
    }) 
} 

ich Fehler:

The API returned an error: Error: Delegation denied for xxxx@xxxxx.com

In Admin-Konsole ich dies tat:

Als Client-Name I id von der verwendeten client_secret.json Datei. Und für Umfang, gab ich ihm alle Berechtigungen.

Wie kann ich die domänenweite Delegierung für Google Mail-API ordnungsgemäß einrichten?

Answer 1

Die Einrichtung ist in Ordnung, aber in Ihrem Code Du machst es falsch.

Dieser Code:

gmail.users.threads.list({auth: auth, userId: '108800016305523828361'},'',function(err, response)

speziell.

userId sollte „me“ jedoch, bevor Sie die Google Mail-API aufrufen, können Sie das Dienstkonto „JWT flow“ in Ihrem Code zu verwenden, benötigen einen oauth2 Berechtigungsnachweis für den Google Mail-Nutzer Sie wie beschrieben zugreifen möchten abzurufen in das Preparing to make an authorized API call Dienstkonto domänenweite Delegation doc.

Insbesondere nutzt das Ihr Dienstkonto des privaten Schlüssels zu verlangen, einen Berechtigungsnachweis für den Benutzer bekommen Sie wünschen (des Benutzers E-Mail in Ihrer Domain festlegen, die Sie in der setServiceAccountUser(user@example.com) Funktion in der Anfrage zugreifen möchten). Dann können Sie das GoogleCredential in Ihrem Aufruf der Google Mail-API verwenden.

Answer 2

Für die Frage Wie konfiguriere ich domänenweite Delegation für Google Mail-API ordnungsgemäß?

Ich denke, das documentation von Google kann Ihnen dabei helfen, folgen Sie einfach diesen Schritten, um domänenweite Autorität zu delegieren.

1. Rufen Sie die Admin-Konsole Ihrer Google Apps-Domain auf. Wählen Sie Sicherheit aus der Liste der Steuerungen. Wenn Sie Sicherheit nicht aufgelistet sehen, wählen Sie Weitere Kontrollen von der grauen Leiste am unteren Rand der Seite, wählen Sie dann Sicherheit aus der Liste der Steuerelemente. Wenn Sie die Steuerelemente nicht sehen können, stellen Sie sicher, dass Sie als Administrator für die Domäne angemeldet sind.

2. Select Mehr anzeigen und dann Erweiterte Einstellungen aus der Liste der Optionen.

3. Select in der Authentifizierung Zugriff API-Client Abschnitt verwalten.

4. Im Client Namen Feld geben Sie dasClient-ID des Dienstkontos. Sie finden die Kundennummer Ihres Dienstkontos auf der Seite Dienstkonten.

5. Im Feld Ein oder mehrere API-Bereiche Geben Sie die Liste der Bereiche ein, für die Ihre Anwendung Zugriff erhalten soll. Wenn Ihre Anwendung beispielsweise einen domänenweiten Zugriff auf die Google Drive-API und die Google Kalender-API benötigt, geben Sie Folgendes ein: https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/calendar.

   In Ihrem Fall verwenden Sie diese scope for Gmail API.

6. Klicken Sie auf Autorisieren.

Weitere Informationen über die error 403 or Delegation denied for <user email>, lesen Sie in diesem Zusammenhang SO Frage:

• Gmail API returns 403 error code and “Delegation denied for user email"

• GMail API Super Admin access other users accounts via API?