As tarefas na integração da Apigee exigem conexão com um aplicativo, serviço ou fonte de dados externo. Um perfil de autenticação permite configurar e armazenar os detalhes de autenticação da conexão na integração da Apigee. É possível configurar a tarefa para usar o perfil de autenticação armazenado. Um perfil de autenticação é criado apenas uma vez, e é possível reutilizar o mesmo perfil em várias integrações.
Crie um ID do cliente OAuth 2.0
Um ID do cliente é usado para identificar um único aplicativo nos servidores OAuth do Google. Caso seu aplicativo seja executado em várias plataformas, cada uma precisará de seu próprio ID do cliente. Para usar o OAuth 2.0 no seu aplicativo, você precisa de um ID do cliente OAuth 2.0, que o aplicativo usa para solicitar um token de acesso OAuth 2.0.
Para criar um ID do cliente OAuth 2.0, siga estas etapas:
- No Console do Google Cloud, acesse APIs e serviços > Credenciais.
- Clique em + Criar credenciais e selecione ID do cliente OAuth na lista de opções disponíveis.
A página Criar ID do cliente OAuth é exibida.
- Tipo de aplicativo: selecione Aplicativo da Web na lista suspensa.
- Nome: insira um nome para seu cliente OAuth 2.0 para identificar o cliente no Console do Cloud.
- Em URIs de redirecionamento autorizados, clique em +Adicionar URI e insira o seguinte:
https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION
- Clique em Criar.
Um ID do cliente OAuth 2.0 foi criado.
Criar um novo perfil de autenticação
Para criar um novo perfil de autenticação, selecione uma das seguintes opções:
Console
- Na interface da Apigee, selecione sua organização da Apigee.
- Clique em Desenvolver > Integrações.
- Selecione uma integração atual para a qual você quer criar o perfil de autenticação.
Isso abre a integração na página do editor de integração.
- Na barra de ferramentas do designer de integração, clique em
A página Perfis de autenticação é exibida.
(Gerenciar perfis de autenticação).
- Clique em Criar e digite os seguintes detalhes:
- No campo Nome do perfil, insira o nome do perfil de autenticação que será exibido no editor de integração.
- Na lista Região, selecione uma região para o perfil de autenticação.
- No campo Descrição, digite uma descrição para o perfil de autenticação.
- Clique em Continuar.
- Na lista Tipo de autenticação, selecione o tipo de autenticação e insira os detalhes necessários. Com base na seleção, a caixa de diálogo exibe campos adicionais obrigatórios para as credenciais de autenticação. É possível selecionar qualquer um dos seguintes tipos de autenticação:
- Opcionalmente, você pode adicionar certificados de cliente SSL/TLS que são usados pelo servidor para validar a identidade de um cliente. Você pode inserir o seguinte campo:
- Certificado SSL
- Chave privada
- Senha longa da chave privada
- Clique em Criar.
Terraform
Use o recurso google_integrations_client
.
É possível usar o Terraform para criar os seguintes perfis de autenticação:
- Token de autenticação
- Apenas para certificado de cliente SSL/TLS
- JSON Web Token (JWT)
- Código de autorização OAuth 2.0
- Credenciais do cliente OAuth 2.0
- Token de ID do OIDC
- Conta de serviço
Token de autenticação
O exemplo a seguir cria um tipo de autenticação de token Auth na região us-central1
:
Certificação de cliente SSL/TLS
O exemplo a seguir cria um tipo de autenticação de certificação de cliente SSL/TLS na região us-central1
:
JSON Web Token (JWT)
O exemplo a seguir cria um tipo de autenticação JSON Web Token (JWT) na região us-central1
:
Código de autorização OAuth 2.0
O exemplo a seguir cria um tipo de autenticação de certificação de cliente SSL/TLS na região us-central1
:
Credenciais do cliente OAuth 2.0
O exemplo a seguir cria um tipo de autenticação de credenciais de cliente OAuth 2.0 na região us-central1
:
Token de ID do OIDC do Google
O exemplo a seguir cria um tipo de autenticação de token de ID do Google OIDC na região us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_oidc_token" { location = "us-central1" display_name = "tf-oidc-token" description = "Test auth config created via terraform" decrypted_credential { credential_type = "OIDC_TOKEN" oidc_token { service_account_email = google_service_account.service_account.email audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Conta de serviço
O exemplo a seguir cria um tipo de autenticação de conta de serviço na região us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_service_account" { location = "us-central1" display_name = "tf-service-account" description = "Test auth config created via terraform" decrypted_credential { credential_type = "SERVICE_ACCOUNT" service_account_credentials { service_account = google_service_account.service_account.email scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Depois de salvar, o novo perfil de autenticação estará disponível como uma opção no menu suspenso Perfil de autorização a ser usado de qualquer tarefa que exija autenticação.
Opcional. Se você não tiver criado um perfil de autenticação antes de configurar uma tarefa de integração, será possível acessar a caixa de diálogo de criação de perfil selecionando + Adicionar novo perfil de autenticação na lista suspensa Perfil de autorização a ser usado no painel de configurações da tarefa. Siga as etapas anteriores para criar um novo perfil de autenticação.
Editar perfis de autenticação
Para editar um perfil de autenticação, siga estas etapas:
- Na interface da Apigee, selecione sua organização da Apigee.
- Clique em Desenvolver > Integrações.
- Selecione uma integração atual para a qual você quer criar o perfil de autenticação.
Isso abre a integração na página do editor de integração.
- Na barra de ferramentas do designer de integração, clique em
A página Perfis de autenticação é exibida.
(Gerenciar perfis de autenticação).
- Selecione uma Região para o perfil de autenticação usando o menu suspenso na página Perfis de autenticação.
- Clique em
A caixa de diálogo Authentication Profiles vai aparecer.
(Menu de ações) e em Editar.
- Edite os detalhes e clique em Salvar.
Excluir perfis de autenticação
Para excluir um perfil de autenticação, siga estas etapas:
- Na interface da Apigee, selecione sua organização da Apigee.
- Clique em Desenvolver > Integrações.
- Selecione uma integração atual para a qual você quer criar o perfil de autenticação.
Isso abre a integração na página do editor de integração.
- Na barra de ferramentas do designer de integração, clique em
A página Perfis de autenticação é exibida.
(Gerenciar perfis de autenticação).
- Selecione uma Região para o perfil de autenticação usando o menu suspenso na página Perfis de autenticação.
- Clique em Excluir.
Tipos de autenticação
O tipo de autenticação necessário para concluir uma tarefa de integração depende da autenticação configurada no servidor de autorização. O servidor de autorização pode ser um servidor independente ou uma API que emite credenciais para o cliente que faz a chamada. A integração com a Apigee é compatível com os seguintes tipos de autenticação:
- Token de autenticação
- Token de ID do OIDC do Google
- JSON Web Token (JWT)
- Código de autorização OAuth 2.0
- Credenciais do cliente OAuth 2.0
- Credenciais de senha do proprietário do recurso OAuth 2.0
- Apenas para certificado de cliente SSL/TLS
- Conta de serviço
As seções a seguir descrevem as propriedades de configuração dos tipos de autenticação.
Token de autenticação
O tipo de autenticação Token de autenticação usa um token (credenciais) para autenticação. As credenciais são enviadas ao servidor no cabeçalho da solicitação HTTPAuthorization
no
formato Authorization: TYPE CREDENTIALS
. Para configurar esse
tipo de autenticação, defina as seguintes propriedades:
- Tipo: tipo de autenticação, como
Basic
,Bearer
ouMAC
. - Token: credenciais para o tipo de autenticação.
Se o servidor de autenticação exigir um certificado SSL/TLS, faça upload do certificado e da chave privada.
Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.Token de ID do OIDC do Google
O tipo de autenticação do token de ID do OIDC do Google usa JSON Web Tokens (JWT) para autenticação. O provedor OpenID Connect (OIDC) do Google, accounts.google.com, assina e emite esses JWTs para autenticação usando uma conta de serviço. Para configurar esse tipo de autenticação, defina as seguintes propriedades:- Conta de serviço: conta de serviço (principal) no seu projeto do Google Cloud com permissão para acessar sua API.
- Público-alvo: o público-alvo do token OIDC (identifica os destinatários a que o JWT se destina). Por exemplo, URL do acionador é o público-alvo da tarefa Cloud Functions.
JSON Web Token (JWT)
O tipo de autenticação JWT usa o JSON Web Token (JWT) para autenticação. Para mais informações sobre o JWT, consulte RFC7519. Para configurar esse tipo de autenticação, defina as seguintes propriedades- Cabeçalho JWT: algoritmo para gerar a assinatura.
Observação: é possível especificar apenas o algoritmo HS256.
- Payload JWT: um conjunto de declarações. É possível usar declarações registradas, públicas ou personalizadas.
- Secret: chave compartilhada entre o cliente e o servidor de autenticação.
Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada.
Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.Código de autorização OAuth 2.0
O tipo de autenticação código de autorização do OAuth 2.0 usa um token de autorização OAuth 2.0
para autenticação. Para configurar este
tipo de autenticação, defina as seguintes propriedades:
- Endpoint de autenticação: endpoint para o endpoint de autenticação do aplicativo. Você será redirecionado a esse URL para revisar as permissões de acesso do aplicativo. O token será gerado somente após a concessão do acesso.
- Endpoint do token: endpoint que concede ou atualiza o token de acesso.
- ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
- Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
- Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.
Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.Credenciais do cliente OAuth 2.0
O tipo de autenticação credenciais de cliente do OAuth 2.0 usa um token de autorização OAuth 2.0
para autenticação. Essa autenticação solicita um token de acesso usando as
credenciais do cliente e depois usa o token para acessar os recursos protegidos. Para configurar este
tipo de autenticação, defina as seguintes propriedades:
- Endpoint do token: endpoint que concede ou atualiza o token de acesso.
- ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
- Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
- Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
- Tipos de solicitação: mecanismos para enviar os parâmetros da solicitação ao
servidor de autenticação para buscar o token de acesso. É possível especificar qualquer um dos tipos de
solicitação a seguir:
- Cabeçalho do codificador: codifica o
CLIENT ID
e oCLIENT SECRET
no formatoBase64
e envia a string codificada no cabeçalho de autorização HTTP. Os parâmetros de solicitação restantes são enviados no corpo da solicitação HTTP. - Parâmetros de consulta: envia os parâmetros de solicitação em uma string de consulta.
- Corpo da solicitação: envia os parâmetros da solicitação usando o
tipo de conteúdo
application/x-www-form-urlencoded
e o conjunto de caracteresUTF-8
noentity-body
da solicitação HTTP. - Não especificado
- Cabeçalho do codificador: codifica o
- Parâmetros de token: parâmetros de solicitação necessários para receber o token. Especifique
os valores no formato de chave-valor, em que
Key
é o nome do parâmetro eValue
é o valor do parâmetro correspondente.
Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.
Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.Credenciais de senha do proprietário do recurso OAuth 2.0
O tipo de autenticação credenciais de senha de proprietário do recurso OAuth 2.0 usa um token de autorização OAuth 2.0
para autenticação. Essa autenticação solicita um token de acesso usando as
credenciais de proprietário do recurso (nome de usuário e senha) e depois usa o token para acessar os recursos protegidos. Para configurar esse
tipo de autenticação, defina as seguintes propriedades com base no tipo de instância a que você se conecta:
- Endpoint do token: endpoint que concede ou atualiza o token de acesso.
- ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
- Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
- Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
- Nome de usuário: nome de usuário do proprietário do recurso.
- Senha: senha do usuário.
- Tipos de solicitação: mecanismos para enviar os parâmetros da solicitação ao
servidor de autenticação para buscar o token de acesso. É possível especificar qualquer um dos tipos de
solicitação a seguir:
- Cabeçalho do codificador: codifica o
CLIENT ID
e oCLIENT SECRET
no formatoBase64
e envia a string codificada no cabeçalho de autorização HTTP. Envia os parâmetros de solicitação restantes no corpo da solicitação HTTP. - Parâmetros de consulta: envia os parâmetros de solicitação em uma string de consulta.
- Corpo da solicitação: envia os parâmetros da solicitação usando o
tipo de conteúdo
application/x-www-form-urlencoded
e o conjunto de caracteresUTF-8
noentity-body
da solicitação HTTP.
- Cabeçalho do codificador: codifica o
- Parâmetros de token: parâmetros de solicitação necessários para receber o token. Especifique
os valores no formato de chave-valor, em que
Key
é o nome do parâmetro eValue
é o valor do parâmetro correspondente.
Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.
Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.Somente certificado do cliente SSL/TLS
O tipo de autenticação Certificado do cliente SSL/TLS usa apenas o certificado SSL/TLS para autenticação. Faça upload do certificado necessário e da chave privada. Para configurar esse tipo de autenticação, faça o upload dos seguintes arquivos:- Certificado SSL: certificado codificado no formato PEM.
- Chave privada: arquivo de chave privada do certificado codificado no formato PEM.
Se a chave privada exigir uma
passphrase
, digite a Senha longa da chave privada.
Conta de serviço
O tipo de autenticação Conta de serviço usa as credenciais de uma conta de serviço do projeto do Google Cloud para autenticação. Para configurar este tipo de autenticação, defina as seguintes propriedades:
- Conta de serviço: conta de serviço (principal) no seu projeto do Google Cloud com permissão para acessar sua API.
- Escopo(s): escopo das permissões de acesso dos usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
Para saber mais sobre as práticas recomendadas para criar e gerenciar contas de serviço, leia a documentação Práticas recomendadas para trabalhar com contas de serviço.
Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.
Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.Compatibilidade dos tipos de autenticação com tarefas
A tabela a seguir mostra os tipos de autenticação e as tarefas compatíveis correspondentes. Use essas informações para decidir qual tipo de autenticação usar para uma tarefa.
Regra de autenticação
Se a integração tiver um perfil OAuth 2.0 e uma conta de serviço gerenciada pelo usuário configurados, o perfil OAuth 2.0 será usado para a autenticação por padrão. Se nem o perfil do OAuth 2.0 nem a conta de serviço gerenciada pelo usuário estiverem configurados, a conta de serviço padrão (service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com
) será usada. Se a tarefa não usar a conta de serviço padrão, a execução falhará.