在不使用域管理员用户的情况下调用 Google 服务帐户

Question

我正在尝试使用 Directory API 为我们域中的用户更新 Google 密码。我遵循了 Plus 服务帐户的示例，它几乎相同 (https://github.com/google/google-api-java-client-samples/blob/master/plus-serviceaccount-cmdline-sample/src/main/java/com/google/api/services/samples/plus/serviceaccount/cmdline/PlusServiceAccountSample.java)。

我正在尝试确定为什么需要将超级管理员用户的电子邮件地址传递给 setServiceAccountUser() 以便在域上设置用户密码。是否有某个设置可以让我在不设置 serviceAccountUser 的情况下使用 API？

当我注释掉 setServiceAccountUser() 调用时，我收到以下消息：

{
"code" : 403,
"errors" : [ {
"domain" : "global",
"message" : "Not Authorized to access this resource/api",
"reason" : "forbidden"
} ],
"message" : "Not Authorized to access this resource/api"

以下是相关的代码（来自 Plus 示例）：

// service account credential (uncomment setServiceAccountUser for domain-wide delegation)
    GoogleCredential credential = new GoogleCredential.Builder().setTransport(httpTransport)
        .setJsonFactory(JSON_FACTORY)
        .setServiceAccountId(SERVICE_ACCOUNT_EMAIL)
        .setServiceAccountScopes(Collections.singleton(PlusScopes.PLUS_ME))
        .setServiceAccountPrivateKeyFromP12File(new File("key.p12"))
        // .setServiceAccountUser("user@example.com")
        .build();

Answer 1

目录 API 写入操作需要管理员帐户。超级管理员或有权执行 API 用户修改的delegated admin。这在prerequisites 文档中列出。