Question

Я пытаюсь разработать скрипт golang, который использует мою учетную запись службы для управления моим доменом Google.Я получаю сообщение об ошибке при попытке сделать простой список пользователей: 400 invalid_grant.Похоже, что я правильно использую свою учетную запись службы (?), А моя служебная учетная запись является супер-администратором.Я использую учетные данные в коде Java;так что я знаю, что это действительно.Есть мысли?

package main

import (
    "fmt"
    "io/ioutil"
    "log"

    "golang.org/x/net/context"
    "golang.org/x/oauth2/google"
    directory "google.golang.org/api/admin/directory/v1"
)

func main() {
    serviceAccountFile := "/credentials.json"
    serviceAccountJSON, err := ioutil.ReadFile(serviceAccountFile)
    if err != nil {
        log.Fatalf("Could not read service account credentials file, %s => {%s}", serviceAccountFile, err)
    }

    config, err := google.JWTConfigFromJSON(serviceAccountJSON,
        directory.AdminDirectoryUserScope,
        directory.AdminDirectoryUserReadonlyScope,
    )

    // Add the service account.
    config.Email = "serviceaccount@domain.com"

    srv, err := directory.New(config.Client(context.Background()))
    if err != nil {
        log.Fatalf("Could not create directory service client => {%s}", err)
    }

    // The next step fails with:
    //2019/03/25 10:38:43 Unable to retrieve users in domain: Get https://www.googleapis.com/admin/directory/v1/users?alt=json&maxResults=10&orderBy=email&prettyPrint=false: oauth2: cannot fetch token: 400 Bad Request
    //Response: {
    //  "error": "invalid_grant",
    //  "error_description": "Robot is missing a project number."
    //}
    //exit status 1
    usersReport, err := srv.Users.List().MaxResults(10).OrderBy("email").Do()
    if err != nil {
        log.Fatalf("Unable to retrieve users in domain: %v", err)
    }

    if len(usersReport.Users) == 0 {
        fmt.Print("No users found.\n")
    } else {
        fmt.Print("Users:\n")
        for _, u := range usersReport.Users {
            fmt.Printf("%s (%s)\n", u.PrimaryEmail, u.Name.FullName)
        }
    }
}

DazWilkin · Answer 1 · 27 марта 2019

Исправлено!

Благодаря Сал.

Вот рабочий пример Голанга:

https://gist.github.com/DazWilkin/afb0413a25272dc7d855ebec5fcadcb6

NB

Строка 24 - config.Subject
Строка 31 - вам нужно будет указать CustomerId (IDPID), используя эту ссылку

Вот рабочий пример Python:

https://gist.github.com/DazWilkin/dca8c3db8879765632d4c4be8d662074

ad34 · Answer 2 · 27 марта 2019

Я получил это работает.Кажется, что это может быть сочетание вещей.DazWilkin, да, я получаю 401 несанкционированную ошибку, когда я переключаюсь, как я передаю в моей учетной записи службы.Я внес следующие изменения:

Использовал тему вместо электронной почты в конфигурации.
Использовал только область AdminDirectoryUserScope вместо области AdminDirectoryUserReadonlyScope (или их комбинации).
Включен домен в запросе.Я получил 400 неверных запросов без него.
Я подтвердил, что API-интерфейсы Справочника были включены по этой ссылке: https://developers.google.com/admin-sdk/directory/v1/quickstart/go.Когда я нажал на эту ссылку, он сказал, что API уже работает.Я использую те же учетные данные json, что и в некоторых производственных скриптах, написанных на других языках.То есть я думал, что это уже на месте.Так что я не думаю, что мне нужно было делать этот шаг, но я включу его, если он будет полезен для других.

Вот как теперь выглядит мой скрипт:

package main

import (
    "fmt"
    "io/ioutil"
    "log"

    "golang.org/x/net/context"
    "golang.org/x/oauth2/google"
    directory "google.golang.org/api/admin/directory/v1"
)

func main() {
    serviceAccountFile := "/credentials.json"

    serviceAccountJSON, err := ioutil.ReadFile(serviceAccountFile)
    if err != nil {
        log.Fatalf("Could not read service account credentials file, %s => {%s}", serviceAccountFile, err)
    }

    // I want to use these options, but these cause a 401 unauthorized error
    //  config, err := google.JWTConfigFromJSON(serviceAccountJSON,
    //      directory.AdminDirectoryUserScope,
    //      directory.AdminDirectoryUserReadonlyScope,
    //  )
    config, err := google.JWTConfigFromJSON(serviceAccountJSON,
        directory.AdminDirectoryUserScope,
    )

    // Add the service account.
    //config.Email = "serviceaccount@domain.com" // Don't use Email, use Subject.
    config.Subject = "serviceaccount@domain.com"

    srv, err := directory.New(config.Client(context.Background()))

    if err != nil {
        log.Fatalf("Could not create directory service client => {%s}", err)
    }

    // Get the results.
    usersReport, err := srv.Users.List().Domain("domain.com").MaxResults(100).Do()
    if err != nil {
        log.Fatalf("Unable to retrieve users in domain: %v", err)
    }

    // Report results.
    if len(usersReport.Users) == 0 {
        fmt.Print("No users found.\n")
    } else {
        fmt.Print("Users:\n")
        for _, u := range usersReport.Users {
            fmt.Printf("%s (%s)\n", u.PrimaryEmail, u.Name.FullName)
        }
    }
}

Получение 400 invalid_grant на Google Admin SDK API с Голанг. Какие-либо предложения?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Получение 400 invalid_grant на Google Admin SDK API с Голанг. Какие-либо предложения?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы