Google: 服务账户#

使用服务账户比 OAuth2 更复杂。开始之前：

先决条件#

将您的 n8n 凭证连接到 Google 服务账户有四个步骤：

首先，创建一个 Google Cloud Console 项目。如果您已经有了项目，请跳转到下一部分：

创建项目后，启用您需要访问的 API：

访问您的 Google Cloud Console - 库。确保您在正确的项目中。

检查 Google Cloud 顶部导航中的项目下拉菜单
打开左侧导航菜单，转到 APIs & Services > Credentials。Google 会带您到 Credentials 页面。
选择 + Create credentials > Service account。
在 Service account name 中输入名称，在 Service account ID 中输入 ID。有关更多信息，请参阅创建服务账户。
选择 Create and continue。
根据您的用例，您可能想要使用相应的部分选择角色和授予用户访问此服务账户的权限。
选择 Done。
在 Service Accounts 部分下选择您新创建的服务账户。打开 Keys 选项卡。
选择 Add key > Create new key。
在出现的模态框中，选择 JSON，然后选择 CREATE。Google 会将文件保存到您的计算机。

在 Google 项目和凭证完全配置后，完成 n8n 凭证：

打开下载的 JSON 文件。
复制 client_email 并将其作为 Service Account Email 输入到您的 n8n 凭证中。
复制 private_key。不要包含周围的 " 标记。将此作为 Private Key 输入到您的 n8n 凭证中。

较旧版本的 n8n

如果您运行的是 0.156.0 之前的 n8n 版本，请将 JSON 文件中的所有 \n 实例替换为新行。
可选：选择是否要模拟用户（已启用）。
1. 要使用此选项，您必须作为 Google Workspace 超级管理员为服务账户启用域范围委托。
2. 输入要模拟的用户的 Email。
如果您计划将此凭证与 HTTP Request 节点一起使用，请启用 Set up for use in HTTP Request node。
1. 启用此设置后，您需要为节点添加 Scope(s)。n8n 预填充了一些范围。有关更多信息，请参阅 OAuth 2.0 Scopes for Google APIs。
保存您的凭证。

以下视频演示了上述步骤。

服务账户无法访问未与其关联用户电子邮件共享的 Google Drive 文件和文件夹。

要使用服务账户模拟用户，您必须为服务账户启用域范围委托。

不推荐

Google 建议您避免使用域范围委托，因为它允许模拟任何用户（包括超级管理员）并可能构成安全风险。

要将域范围权限委托给服务账户，您必须是 Google Workspace 域的超级管理员。然后：

从您的 Google Workspace 域的管理控制台，选择汉堡菜单，然后选择 Security > Access and data control > API Controls。
在 Domain wide delegation 窗格中，选择 Manage Domain Wide Delegation。
选择 Add new。
在 Client ID 字段中，输入服务账户的 Client ID。要获取 Client ID：
- 打开您的 Google Cloud Console 项目，然后打开服务账户页面。
- 复制 OAuth 2 Client ID 并将其用作 Domain Wide Delegation 的 Client ID。
在 OAuth scopes 字段中，输入以逗号分隔的范围列表以授予您的应用程序访问权限。例如，如果您的应用程序需要对 Google Drive API 和 Google Calendar API 的域范围完全访问权限，请输入：https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/calendar。
选择 Authorize。