Ошибка администратора Google SDK 401 при попытке авторизации

Question

Я использую отчеты Google Admin SDK V1 Api для сбора всех действий администратора с панели администратора Google Apps.

Мой Google Api питон клиент недавно был обновлен до версии "google-api-python-client (1.5.1)"

Ранее я использовал следующее:

from oauth2client.client import SignedJwtAssertionCredentials 

serviceAccountEmail = "blahblablah1233324@developer.gserviceaccount.com" 
key = "google-apps-file.p12" 
scopes = ['https://www.googleapis.com/auth/admin.reports.audit.readonly'] 


credentials = SignedJwtAssertionCredentials(
    serviceAccountEmail, key, scope=scopes, sub=userEmail) 

Затем Google прекращена поддержка SignedJwtAssertionCredentials. Поэтому я переключился на это.

from oauth2client.service_account import ServiceAccountCredentials 

serviceAccountEmail = "blahblablah1233324@developer.gserviceaccount.com" 
key = "google-apps-file.p12" 
scopes = ['https://www.googleapis.com/auth/admin.reports.audit.readonly'] 

credentials = ServiceAccountCredentials.from_p12_keyfile(
    serviceAccountEmail, key, scopes=scopes)` 

Хорошо, поэтому это должно быть относительно простое изменение кода, однако, когда я запускал код, я получаю следующую ошибку.

File "/usr/local/lib/python2.7/site-packages/oauth2client/util.py", line 137, in positional_wrapper 
    return wrapped(*args, **kwargs) 
    File "/usr/local/lib/python2.7/site-packages/googleapiclient/http.py", line 832, in execute 
    raise HttpError(resp, content, uri=self.uri) 
googleapiclient.errors.HttpError: <HttpError 401 when requesting https://www.googleapis.com/admin/reports/v1/activity/users/all/applications/admin?alt=json returned "Access denied. You are not authorized to read activity records."> 

Так никаких разрешений не изменились, одна вещь, которую я заметил, хотя это исходный код просит для sub=userEmail (который является счет олицетворять, что учетная запись будет иметь определенные привилегии администратора над доменом Служб Google.)

Было бы разумно, что я получил бы 401, однако в новой документации не упоминается параметр sub=userEmail.

Answer 1

Я понял, чего не хватает.

Первоначально я был

f = open(serviceAccountKeyLocation, 'rb') 
key = f.read() 
f.close() 
# Packaging up the auth parameters to pass along with the request. 

credentials = SignedJwtAssertionCredentials(serviceAccountEmail, key, scope=scopes, sub=userEmail) 
http = credentials.authorize(http) 
return http 

Я тогда сделал некоторые чтения и дальнейших исследований.

Затем заменил его на это.

credentials = ServiceAccountCredentials.from_p12_keyfile(serviceAccountEmail, 
                  serviceAccountKeyLocation, 
                  scopes=scopes) 
delegate_credentials = credentials.create_delegated(userEmail) # this fixes the sub user 
http = delegate_credentials.authorize(http) 
return http 

Версия Api питон клиент Google я был запущен еще использование from oauth2client.client import SignedJwtAssertionCredentials в то время как новая обновленная версия использует from oauth2client.service_account import ServiceAccountCredentials.