Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo dell'autenticazione Google

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Questo argomento spiega come configurare ed eseguire il deployment di un proxy API configurato per utilizzare l'autenticazione Google.

Introduzione

Apigee supporta l'utilizzo di Google Cloud o token OAuth. OpenID Collega i token per eseguire l'autenticazione con i servizi Google come Cloud Logging e Secret Manager e servizi personalizzati in esecuzione su determinati prodotti Google Cloud, come Cloud Functions e Cloud Run.

Per utilizzare questa funzionalità, devi configurare l'elemento XML <Authentication> in uno dei seguenti contesti:

Norme sui callout dei servizi
Norme relative a ExternalCallout
Configurazioni endpoint di destinazione

Dopo aver completato alcuni passaggi di configurazione di base (come descritto in questo argomento), Apigee esegue la generazione del token e rende sicuri chiamate a servizi Google mirati o servizi in hosting personalizzati per te, senza la necessità di impostare manualmente intestazioni di autenticazione o modificare una richiesta di servizio. Dal punto di vista di uno sviluppatore di API, il processo di chiamata dei servizi Google da un proxy API configurato correttamente viene gestito senza problemi.

Opzioni di configurazione del proxy API

Questa sezione spiega dove puoi utilizzare l'elemento XML <Authentication> per attiva l'autenticazione token OAuth di Google o OpenID Connect:

Opzione di configurazione	Descrizione
Criterio ServiceCallout	Il criterio ServiceCallout ti consente di chiamare altri servizi interni o esterni da un proxy API. Ad esempio, puoi utilizzare ServiceCallout per chiamare servizi Google esterni o servizi ospitati personalizzati. Per dettagli di utilizzo ed esempi, vedi Norme ServiceCallout.
Norme relative a ExternalCallout	Il criterio ExternalCallout ti consente di inviare richieste gRPC al tuo server gRPC per implementare un comportamento personalizzato non supportato dai criteri Apigee. Per dettagli sull'utilizzo ed esempi, vedi Norme sui callout esterni.
TargetEndpoint	Specifica un servizio Google o un servizio in hosting personalizzato come endpoint di destinazione del proxy API. Per dettagli di utilizzo ed esempi, vedi Riferimento alla configurazione del proxy API.

Contesti supportati dal token di autenticazione Google

L'elemento <Authentication> ha due configurazioni di elementi secondari: <GoogleAccessToken> o <GoogleIDToken>. Le seguenti mostra i contesti in cui sono supportati questi elementi:

Utilizzato in	GoogleAccessToken	GoogleIDToken
Norme di ServiceCallout	Supportato	Supportato
Norme sui callout esterni	Non supportata	Supportato
TargetEndpoint	Supportato	Supportato

Passi per il deployment

Questa sezione spiega come eseguire il deployment di un proxy API che utilizza l'autenticazione Google per chiamare i servizi Google scelti come target o i servizi ospitati personalizzati. Spieghiamo separatamente i passaggi di deployment per Apigee e Apigee hybrid.

Nota: i deployment dei flussi condivisi supportano anche l'utilizzo del tag Authentication nei criteri supportati e nella configurazione di TargetEndpoint. Consulta: anche la documentazione sull'API di deployment del flusso condiviso.

Esegui il deployment su Apigee

I passaggi che seguono spiegano come eseguire il deployment di un proxy API su Apigee, dove il proxy è configurato per effettuare chiamate autenticate ai servizi Google o a servizi ospitati personalizzati. I passaggi presuppongono che tu abbia già creato il proxy e che includa un elemento <Authentication> in uno dei contesti supportati elencati.

Crea un account di servizio Google nello stesso account Google Cloud progetto in cui È stata creata l'organizzazione Apigee. Devi fornire il nome di questo account di servizio quando esegui il deployment di un proxy API configurato per utilizzare l'autenticazione Google e i token OAuth generati rappresenteranno l'account di servizio. Puoi creare l'account di servizio nella console Google Cloud o con il comando gcloud. Consulta Creazione e gestione degli account di servizio.
Assegna all'utente che eseguirà il deployment (il deployment) il iam.serviceAccounts.actAs l'autorizzazione per l'account di servizio. Consulta anche Informazioni sulle autorizzazioni degli account di servizio.
Attenzione: gli utenti a cui è stato concesso il ruolo Utente account di servizio in un account di servizio possono utilizzarlo per accedere indirettamente a tutte le risorse a cui ha accesso l'account di servizio. Per maggiori dettagli, vedi Ruolo Utente account di servizio. Ti consigliamo di configurare l'account di servizio per il privilegio minimo per ridurre al minimo l'impatto delle assegnazioni dei ruoli utente.

Nota: questo passaggio può essere facoltativo se il programmatore dispone già di autorizzazioni sufficienti, ad esempio quando esegue il deployment tramite l'interfaccia utente e l'utente Google Cloud ha il ruolo Proprietario nel progetto.
```
gcloud iam service-accounts add-iam-policy-binding \
SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--member="MEMBER" \
  --role="roles/iam.serviceAccountUser"
```

Dove:

PROJECT_ID: l'ID progetto. L'ID corrisponde al nome della tua organizzazione.
SA_NAME: il nome che hai fornito al momento della creazione dell'evento l'account di servizio.
MEMBER: il membro per cui aggiungere l'associazione. Deve essere del tipo user|group|serviceAccount:email o domain:domain.

Concedi all'account di servizio le autorizzazioni necessarie per comunicare con i servizi Google di destinazione. Ad esempio, se vuoi chiamare il servizio Google Logging, questo account di servizio deve includere le autorizzazioni richieste per comunicare con il servizio. Vedi anche Informazioni sui ruoli.
Prima di eseguire il deployment di un proxy API configurato per utilizzare l'autenticazione Google, devi:
- Il nome dell'account di servizio creato in precedenza. Ad esempio: SA_NAME@PROJECT_ID.iam.gserviceaccount.com
- Come l'utente che esegue il deployment (deploymenter), devi già disporre o ricevere la Autorizzazione iam.serviceAccounts.actAs per l'account di servizio. Consulta: Concessione, modifica e revoca dell'accesso alle risorse.
Esegui il deployment del proxy API contenente la configurazione di autenticazione Google che hai implementato. Puoi utilizzare l'API o l'interfaccia utente di Apigee per eseguire il deployment del proxy. Per saperne di più, consulta Deployment di un proxy API.
- Se utilizzi l'interfaccia utente, ti viene chiesto di fornire un nome per l'account di servizio. Utilizza il nome dell'account di servizio proxy che hai creato nel passaggio 1. Ad esempio: SA_NAME@PROJECT_ID.iam.gserviceaccount.com.
- Se preferisci eseguire il deployment del proxy utilizzando l'API di deployment Apigee, di seguito è riportato un esempio di comando cURL che puoi utilizzare. Tieni conto che il comando include un nome account di servizio come parametro di query. Si tratta del nome dell'account di servizio che hai creato nel passaggio 1:
```
curl -H "Authorization: Bearer $TOKEN" \
"https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/apis/apiproxy/revisions/2/deployments?serviceAccount=SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
-H "Content-Type: application/json" -X POST
```
  Dove:
  - TOKEN: un token OAuth che devi ottenere in cambio del tuo account e credenziali. Per maggiori dettagli, consulta l'articolo Ottenere un token di accesso OAuth 2.0.
  - ORG_NAME: il nome della tua organizzazione Apigee.
  - ENV_NAME: il nome dell'ambiente in cui eseguire il deployment del proxy API.
  - SA_NAME: il nome che hai fornito quando hai creato l'account di servizio.
  - PROJECT_ID: l'ID del tuo progetto Google Cloud (uguale al nome dell'organizzazione).
Al termine del deployment, testa il proxy API per assicurarti che il servizio Google restituisca un errore la risposta prevista.

Esegui il deployment su Apigee hybrid

I passaggi seguenti spiegano come eseguire il deployment in Apigee ibrido di un proxy API configurato per di chiamate autenticate ai servizi Google. I passaggi presuppongono che tu abbia già creato il proxy e che includa un elemento <Authentication> in uno dei contesti supportati elencati.

Crea un account di servizio e una chiave per il componente runtime di Apigee hybrid utilizzando uno dei seguenti metodi:
Nota: se hai già creato un account di servizio apigee-runtime quando hai installato Apigee hybrid, puoi saltare questo passaggio.
- Utilizza la Strumento create-service-account fornito con Apigee hybrid per creare un servizio apigee-runtime . Lo strumento crea l'account di servizio e restituisce una chiave dell'account di servizio. Consulta: create-service-account per maggiori dettagli.
- Crea l'account di servizio nella console Google Cloud o con il comando gcloud. Consulta Creazione e gestione degli account di servizio. Per recuperare la chiave dell'account di servizio, consulta Creare e gestire le chiavi degli account di servizio.
Nota: puoi creare l'account di servizio di runtime in qualsiasi progetto Google Cloud per il quale disponi dell'autorizzazione. Non deve essere creato nello stesso progetto utilizzato per la tua organizzazione Apigee.
Apri il file overrides.yaml e specifica il percorso del file della chiave dell'account di servizio per ogni ambiente che richiede la funzionalità di autenticazione Google:
```
envs:
  - name: "ENVIRONMENT_NAME"
    serviceAccountPaths:
      runtime: "KEY_FILE_PATH"
```
Nota: se disponi di più ambienti che richiedono l'uso Funzionalità di autenticazione: ciascuna può avere il proprio account di servizio oppure la stessa cosa. Vedi anche Informazioni sull'account di servizio autorizzazioni.

Ad esempio:
```
envs:
  - name: "test"
    serviceAccountPaths:
      runtime: "./service_accounts/my_runtime_sa.json"
```
Applica il file delle sostituzioni al cluster utilizzando apigeectl apply.
Crea un secondo account di servizio, chiamato proxy. l'account di servizio. Questo account di servizio deve trovarsi nello stesso progetto Google Cloud utilizzato per creare la tua organizzazione Apigee. Devi fornire l'indirizzo email di questo account di servizio quando esegui il deployment di un proxy API configurato per utilizzare l'autenticazione Google e i token OAuth generati rappresenteranno l'account di servizio.
Assegna all'utente che eseguirà il deployment (il deployment) il iam.serviceAccounts.actAs l'autorizzazione per l'account di servizio. Consulta anche Informazioni sulle autorizzazioni degli account di servizio.
Attenzione: gli utenti a cui è stato concesso il ruolo Utente account di servizio in un account di servizio possono utilizzarlo per accedere indirettamente a tutte le risorse a cui ha accesso l'account di servizio. Per maggiori dettagli, consulta Ruolo Utente account di servizio. Ti consigliamo di configurare l'account di servizio per privilegio minimo per ridurre al minimo l'impatto delle assegnazioni dei ruoli utente.

Nota: questo passaggio può essere facoltativo se il programmatore dispone già di autorizzazioni sufficienti, ad esempio quando esegue il deployment tramite l'interfaccia utente e l'utente Google Cloud ha il ruolo Proprietario nel progetto.
```
gcloud iam service-accounts add-iam-policy-binding \
SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--member="MEMBER" \
  --role="roles/iam.serviceAccountUser"
```

Dove:

PROJECT_ID: l'ID progetto. L'ID corrisponde al nome della tua organizzazione.
SA_NAME: il nome che hai fornito al momento della creazione dell'account di servizio.
MEMBER: il membro per cui aggiungere l'associazione. Deve essere nel formato utente|gruppo|servizioAccount:email o dominio:dominio.

Concedi all'account di servizio proxy le autorizzazioni necessarie per comunicare con i servizi Google di destinazione. Ad esempio, se vuoi chiamare il servizio Google Logging, questo account di servizio deve includere le autorizzazioni richieste per comunicare con il servizio. Consulta anche Informazioni sui ruoli.
Assicurati che il runtime abbia la possibilità di impersonare l'account di servizio proxy. Per fornire questa funzionalità, concedi all'account di servizio di runtime il ruolo iam.serviceAccountTokenCreator nell'account di servizio proxy. Consulta anche Informazioni sulle autorizzazioni degli account di servizio. Ad esempio:
```
gcloud iam service-accounts add-iam-policy-binding \
PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--member=serviceAccount:RUNTIME_SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--role=roles/iam.serviceAccountTokenCreator
```
Dove:
- PROJECT_ID: l'ID progetto. L'ID corrisponde al nome della tua organizzazione. Tieni presente che non è stato necessario utilizzare il progetto associato alla tua organizzazione per creare l'account di servizio di runtime. Assicurati solo di utilizzare gli ID progetto corretti in questo comando.
- PROXY_SA_NAME: l'ID dell'account di servizio proxy.
- RUNTIME_SA_NAME: l'ID dell'account di servizio di runtime.
Prima di eseguire il deployment di un proxy API configurato per utilizzare l'autenticazione Google, devi:
- Il nome dell'account di servizio proxy che hai creato in precedenza. Ad esempio: PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com
- Come l'utente che esegue il deployment, devi già avere o ricevere la Autorizzazione iam.serviceAccounts.actAs nel progetto Google Cloud in cui viene eseguito il provisioning dell'organizzazione Apigee. Consulta Concessione, modifica e revoca dell'accesso alle risorse.
Esegui il deployment del proxy API contenente la configurazione di autenticazione di Google che hai implementato. Puoi utilizzare la UI o l'API Apigee per eseguire il deployment del proxy. Per saperne di più, consulta Deployment di un proxy API.
- Se utilizzi l'interfaccia utente, ti viene chiesto di fornire un nome per l'account di servizio. Utilizza il nome dell'account di servizio proxy che hai creato in precedenza. Ad esempio: PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com.
- Se preferisci eseguire il deployment del proxy utilizzando l'API di deployment Apigee, di seguito è riportato un esempio di comando cURL che puoi utilizzare. Avvisi che il comando includa il nome di un account di servizio come parametro di query. Questo è il nome dell'account di servizio proxy:
```
curl -H "Authorization: Bearer $TOKEN" \
"https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/apis/apiproxy/revisions/2/deployments?serviceAccount=PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
-H "Content-Type: application/json" -X POST
```
  Dove:
  - TOKEN: un token OAuth che devi ottenere in cambio del tuo account e credenziali. Per maggiori dettagli, consulta l'articolo Ottenere un token di accesso OAuth 2.0.
  - ORG_NAME: il nome della tua organizzazione Apigee.
  - ENV_NAME: il nome dell'ambiente in cui eseguire il deployment del proxy API.
  - PROXY_SA_NAME: il nome dell'account di servizio proxy.
  - PROJECT_ID: l'ID del tuo progetto Google Cloud (uguale al nome dell'organizzazione).
Al termine del deployment, testa il proxy API per assicurarti che il servizio Google restituisca la risposta prevista.

Informazioni sulle autorizzazioni dell'account di servizio

Per configurare un proxy API per l'utilizzo dell'autenticazione Google, devi creare un account di servizio come descritto nella tabella seguente. Consulta anche Creare e gestire gli account di servizio.

Service account Obbligatorio per Descrizione

Proxy

Apigee e Apigee hybrid

Service account	Obbligatorio per	Descrizione
Proxy	Apigee e Apigee hybrid	Disporre delle autorizzazioni necessarie per consentire a un proxy API di effettuare chiamate autenticate ai servizi Google selezionati. Deve essere creato nello stesso progetto Google Cloud della tua organizzazione Apigee. L'utente che esegue il deployment (deploymenter), deve avere o ricevere Autorizzazione `iam.serviceAccounts.actAs` per l'account di servizio proxy. Devi includere le autorizzazioni necessarie per comunicare con servizi Google di destinazione specifici. Ad esempio: se vuoi chiamare il servizio Google Logging, questo account di servizio deve includere le autorizzazioni necessarie per comunicare con quel servizio. Vedi anche Informazioni sui ruoli. Il nome dell'account di servizio deve essere fornito quando esegui il deployment del proxy che utilizza l'autenticazione Google.
Runtime	Solo Apigee hybrid	Consente al runtime Apigee di generare token per l'autenticazione nei servizi Google richiesti da un proxy API. Questo account di servizio "si spaccia" dal proxy specifico un account di servizio di servizio per effettuare chiamate autenticate per suo conto. Per poter rubare l'identità dell'account di servizio proxy e creare di token, all'account di servizio di runtime deve essere concesso il ruolo `roles/iam.serviceAccountTokenCreator` sull'account di servizio proxy. Consulta Gestire l'accesso agli account di servizio.

Disporre delle autorizzazioni necessarie per consentire a un proxy API di effettuare chiamate autenticate ai servizi Google selezionati.

Deve essere creato nello stesso progetto Google Cloud della tua organizzazione Apigee.
L'utente che esegue il deployment (deploymenter), deve avere o ricevere Autorizzazione iam.serviceAccounts.actAs per l'account di servizio proxy.
Devi includere le autorizzazioni necessarie per comunicare con servizi Google di destinazione specifici. Ad esempio: se vuoi chiamare il servizio Google Logging, questo account di servizio deve includere le autorizzazioni necessarie per comunicare con quel servizio. Vedi anche Informazioni sui ruoli.
Il nome dell'account di servizio deve essere fornito quando esegui il deployment del proxy che utilizza l'autenticazione Google.

Runtime

Solo Apigee hybrid

Consente al runtime Apigee di generare token per l'autenticazione nei servizi Google richiesti da un proxy API. Questo account di servizio "si spaccia" dal proxy specifico un account di servizio di servizio per effettuare chiamate autenticate per suo conto.

Per poter rubare l'identità dell'account di servizio proxy e creare di token, all'account di servizio di runtime deve essere concesso il ruolo roles/iam.serviceAccountTokenCreator sull'account di servizio proxy. Consulta Gestire l'accesso agli account di servizio.