Gmail API renvoie une erreur 403 du code et de la “Délégation refusé pour <email de l'utilisateur>”

Gmail API échoue pour un domaine lors de la récupération des messages avec cette erreur:

com.google.api.client.googleapis.json.GoogleJsonResponseException: 403 OK
{
  "code" : 403,
  "errors" : [ {
    "domain" : "global",
    "message" : "Delegation denied for <user email>",
    "reason" : "forbidden"
  } ],
  "message" : "Delegation denied for <user email>"
}

Je suis en utilisant le protocole OAuth 2.0 et Google Apps à l'Échelle du Domaine de la délégation de l'autorité pour accéder aux données de l'utilisateur. Le domaine a accordé des droits d'accès aux données de l'application.

Cette Erreur est apparu pour nous. Ont pas eu de problèmes à ce jour. Si nous utilisons IMAP, tout est parfait - regarde comme il y a un problème avec Gmail API. D'Aide De Google??
A cela fonctionnait avant ou avait-il suffit de le casser? Si elle est brisée, pouvez-vous donner l'heure à laquelle il s'est cassé? Si elle n'a jamais travaillé, pouvez-vous confirmer que c'est un compte de service, dans la liste blanche dans Cpanel et de fournir plus de détails sur le domaine à l'échelle de l'installation? Vous utilisez quelque chose comme: developers.google.com/accounts/docs/... j'imagine?
Pouvez-vous poster aussi quelle en est la valeur que vous utilisez pour la "userId" champ de vos demandes? Est-ce "moi", l'adresse email de l'utilisateur qui doit correspondre à la auth jeton ou autre chose?
Cette erreur ne devrait se produire si vous utilisez un nom d'utilisateur paramètre qui diffère de l'utilisateur autorisé. Ce style de délégation n'est pas pris en charge. Manière correcte est d'emprunter l'identité de l'utilisateur, lors de l'extraction de l'jeton d'accès et le bâton à l'aide de " moi " comme nom d'utilisateur.
Salut Eric, Steve - le problème est survenu, hier matin, pour la première fois. Nous n'avons pas eu de problème avant. Nous sommes en utilisant le nom d'utilisateur de l'utilisateur délégué. La seule chose que je peux penser, c'est que c'est un groupe de boîtes aux lettres? Message d'erreur est Google.Les api.Les demandes.RequestError Délégation refusé pour [email protected] [403] Erreurs [ Message[Délégation refusé pour [email protected]] Localisation[ - ] Raison[interdit] Domaine[global] ]

OriginalL'auteur user1333358 | 2014-10-01

  1. 38

    Semble que la meilleure chose à faire est de toujours avoir userId="me" dans vos demandes. Qui raconte l'API simplement utiliser la boîte aux lettres de l'utilisateur authentifié--pas besoin de compter sur les adresses e-mail.

    J'ai modifié mon code pour utiliser le "moi" plutôt que d'une réelle adresse e-mail. Problème a été causé à l'adresse e-mail alias dans mon exemple.
    Modification de l'adresse email pour "moi" a fonctionné pour moi. Je vous remercie.
    vous devez accepter la réponse qu'il fonctionne
    J'ai été aux prises avec cette pendant deux heures. C'est elle!
    Vous ne savez pas comment il fonctionne sur le côté de google, mais sur la machine locale, il serait utilisé pour nommer le fichier appData (si création d'il est choisi). Ce serait le fichier: Google.Les api.Auth.OAuth2.Réponses.TokenResponse-moi

    OriginalL'auteur Eric D

  2. 1

    Nos utilisateurs avaient migré dans un domaine et leur compte avait alias attaché à elle. Nous avons besoin de défaut, l'Œuvre de l'adresse de l'un de l'importation des alias et veulent un moyen de l'automatiser. Le Gmail API regardé comme la solution, mais nos utilisateurs privilégiés avec des rôles d'apporter des modifications aux comptes n'a pas de travail - nous avons continué à voir la "Délégation refusé pour" erreur 403.

    Ici est un PHP exemple de la façon dont nous avons été en mesure de dresser la liste de leurs SendAs paramètres.

    <?PHP

//
//Description:
//  List the user's SendAs addresses.
//
//Documentation:
//  https://developers.google.com/gmail/api/v1/reference/users/settings/sendAs
//  https://developers.google.com/gmail/api/v1/reference/users/settings/sendAs/list
//
//Local Path:
//  /path/to/api/vendor/google/apiclient-services/src/Google/Service/Gmail.php
//  /path/to/api/vendor/google/apiclient-services/src/Google/Service/Gmail/Resource/UsersSettingsSendAs.php
//
//Version:
//   Google_Client::LIBVER  == 2.1.1
//

require_once $API_PATH . '/path/to/google-api-php-client/vendor/autoload.php';

date_default_timezone_set('America/Los_Angeles');

//this is the service account json file used to make api calls within our domain
$serviceAccount = '/path/to/service-account-with-domain-wide-delagation.json';
putenv('GOOGLE_APPLICATION_CREDENTIALS=' . $serviceAccount );

$userKey = '[email protected]';

//In the Admin Directory API, we may do things like create accounts with 
//an account having roles to make changes. With the Gmail API, we cannot 
//use those accounts to make changes. Instead, we impersonate
//the user to manage their account.

$impersonateUser = $userKey;

//these are the scope(s) used.
define('SCOPES', implode(' ', array( Google_Service_Gmail::GMAIL_SETTINGS_BASIC ) ) );

$client = new Google_Client();
$client->useApplicationDefaultCredentials();  //loads whats in that json service account file.
$client->setScopes(SCOPES); //adds the scopes
$client->setSubject($impersonateUser);  //account authorized to perform operation

$gmailObj  = new Google_Service_Gmail($client);

$res       = $gmailObj->users_settings_sendAs->listUsersSettingsSendAs($userKey);

print_r($res);


?>

    OriginalL'auteur Jay Fowler