Google API授权列出域用户账户遇未授权错误,求完整认证步骤
2026-6-2
问题描述
尝试列出某一域关联的用户账户,已完成以下操作:
- 创建服务账户并配置环境变量
GOOGLE_APPLICATION_CREDENTIALS指向其密钥文件 - 同一项目下相同凭据可正常访问Google存储桶
- 使用
googleapis模块编写代码调用Admin SDK的users.list接口 - 已为服务账户添加对应权限
- 已为服务账户配置域范围委派的正确作用域
但调用接口时收到错误:
'Not Authorized to access this resource/api'
完整认证步骤及遗漏环节排查
你遗漏了服务账户模拟域内管理员账号的关键步骤,Admin SDK要求服务账户必须模拟一个拥有域用户管理权限的管理员账号才能访问Workspace数据。以下是完整的正确流程:
1. 确认服务账户基础配置
- 确保服务账户已启用域范围委派:在Google Cloud控制台的服务账户详情页,勾选“启用域范围委派”
- 在Google Workspace管理控制台(admin.google.com):
- 进入「安全」>「API控制」>「域范围委派」
- 添加服务账户的客户端ID(可从Cloud控制台服务账户页面获取)
- 填写所需作用域:
https://www.googleapis.com/auth/admin.directory.user
2. 为服务账户分配Workspace权限
在Google Workspace管理控制台中,为服务账户分配用户管理相关的管理员角色:
- 进入「管理员角色」> 选择合适的角色(如「用户管理员」),或创建自定义角色并添加
Users > Read权限 - 将服务账户添加到该角色中
3. 代码中添加模拟管理员账号配置
修改你的认证代码,在GoogleAuth实例中添加subject参数,指定域内拥有用户管理权限的管理员邮箱(比如admin@yourdomain.com):
import { google } from 'googleapis'; const auth = new google.auth.GoogleAuth({ scopes: ['https://www.googleapis.com/auth/admin.directory.user'], // 关键:指定要模拟的域管理员邮箱 subject: 'admin@yourdomain.com' }); const admin = google.admin({ version: 'directory_v1', auth: auth }); try { const response = await admin.users.list({ domain: '<domain of users>', }); console.log(response.data.users); } catch (error) { console.error('The API returned an error:', error); }
关键说明
服务账户本身没有直接访问Google Workspace用户数据的权限,必须通过域范围委派模拟一个有权限的域管理员账号,才能调用Admin SDK的接口。你的原有代码缺少subject参数,导致请求没有以管理员身份发起,因此被拒绝访问。
内容的提问来源于stack exchange,提问作者Alexander Mason
