Authentifizierungsprofile verwalten

Die Aufgaben in Ihrer Apigee Integration erfordern möglicherweise eine Verbindung zu einer externen Anwendung, einem Dienst oder einer Datenquelle. Mit einem Authentifizierungsprofil können Sie die Authentifizierungsdetails für die Verbindung in Apigee Integration konfigurieren und speichern. Sie können die Aufgabe so konfigurieren, dass das gespeicherte Authentifizierungsprofil verwendet wird. Das Erstellen eines Authentifizierungsprofils ist eine einmalige Aktivität, die Sie in mehreren Integrationen verwenden können.

OAuth 2.0-Client-ID erstellen

Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei Googles OAuth-Servern verwendet. Wenn Ihre Anwendung auf mehreren Plattformen ausgeführt wird, erfordert jede eine eigene Client-ID. Zur Verwendung von OAuth 2.0 in Ihrer Anwendung benötigen Sie eine OAuth 2.0-Client-ID, die Ihre Anwendung verwendet, wenn ein OAuth 2.0-Zugriffstoken angefordert wird.

So erstellen Sie eine OAuth 2.0-Client-ID:

  1. Rufen Sie in der Google Cloud Console die Seite APIs und Dienste > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf + Anmeldedaten erstellen und wählen Sie OAuth-Client-ID aus der Liste der verfügbaren Optionen aus.

    Die Seite OAuth-Client-ID erstellen wird angezeigt.

  3. Anwendungstyp: Wählen Sie aus der Drop-down-Liste Webanwendung aus.
  4. Name: Geben Sie einen Namen für den OAuth 2.0-Client ein, um den Client in der Cloud Console zu identifizieren.
  5. Klicken Sie unter Autorisierte Weiterleitungs-URIs auf + ADD-URI und geben Sie Folgendes ein:
    https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION
  6. Klicken Sie auf Erstellen.

    Eine OAuth 2.0-Client-ID wurde erfolgreich erstellt.

Neues Authentifizierungsprofil erstellen

Wählen Sie eine der folgenden Optionen aus, um ein neues Authentifizierungsprofil zu erstellen:

Console

  1. Wählen Sie in der Apigee-Benutzeroberfläche Ihre Apigee-Organisation aus.
  2. Klicken Sie auf Entwickeln > Integrationen.
  3. Wählen Sie eine vorhandene Integration aus, für die Sie das Authentifizierungsprofil erstellen möchten.

    Dadurch wird die Integration auf der Seite Integrationseditor geöffnet.

  4. Klicken Sie in der Symbolleiste des Integrationseditors auf (Authentifizierungsprofile verwalten).

    Die Seite Authentifizierungsprofile wird angezeigt.

  5. Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
  6. Klicken Sie auf ERSTELLEN und geben Sie die folgenden Details ein:
    • Authentifizierungsprofilname: Geben Sie den Namen des Authentifizierungsprofils ein, das im Integrationseditor angezeigt werden soll.
    • Beschreibung des Authentifizierungsprofils: Geben Sie eine Beschreibung für das Authentifizierungsprofil ein.
    • Sichtbarkeit des Authentifizierungsprofils: Wählen Sie eine der folgenden Optionen für die Profilsichtbarkeit aus:
      • Für alle Nutzer im Client sichtbar: Das erstellte Authentifizierungsprofil ist für alle Nutzer in der Organisation verfügbar.

      • Nur für Sie sichtbar: Das erstellte Authentifizierungsprofil ist für andere Nutzer in der Organisation nicht sichtbar.
    • Authentifizierungstyp: Wählen Sie den Authentifizierungstyp aus der Drop-down-Liste aus und geben Sie die erforderlichen Details ein. Abhängig von Ihrer Auswahl werden im Dialogfeld zusätzliche Felder angezeigt, die für die Authentifizierungsdaten erforderlich sind. Sie können einen der folgenden Authentifizierungstypen auswählen:
  7. Klicken Sie auf Speichern.

Terraform

Verwenden Sie die Ressource google_integrations_client: Sie können Terraform verwenden, um die folgenden Authentifizierungsprofile zu erstellen:

Authentifizierungstoken

Im folgenden Beispiel wird ein Authentifizierungstyp für das Authentifizierungstoken in der Region us-central1 erstellt:

resource "google_integrations_client" "client" {
  location = "us-central1"
}

resource "google_integrations_auth_config" "auth_config_auth_token" {
  location     = "us-central1"
  display_name = "tf-auth-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "AUTH_TOKEN"
    auth_token {
      type  = "Basic"
      token = "some-random-token"
    }
  }
  depends_on = [google_integrations_client.client]
}

SSL/TLS-Client-Zertifizierung

Im folgenden Beispiel wird ein Authentifizierungstyp für die SSL/TLS-Clientzertifizierung in der Region us-central1 erstellt:

resource "google_integrations_auth_config" "auth_config_certificate" {
  location     = "us-central1"
  display_name = "tf-certificate"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "CLIENT_CERTIFICATE_ONLY"
  }
  client_certificate {
    ssl_certificate       = <<EOT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
EOT
    encrypted_private_key = <<EOT
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
EOT
  }
  depends_on = [google_integrations_client.client]
}

JSON-Webtoken (JWT)

Im folgenden Beispiel wird ein JWT-Authentifizierungstyp (JSON Web Token) in der Region us-central1 erstellt:

resource "google_integrations_auth_config" "auth_config_jwt" {
  location     = "us-central1"
  display_name = "tf-jwt"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "JWT"
    jwt {
      jwt_header  = "{\"alg\": \"HS256\", \"typ\": \"JWT\"}"
      jwt_payload = "{\"sub\": \"1234567890\", \"name\": \"John Doe\", \"iat\": 1516239022}"
      secret      = "secret"
    }
  }
  depends_on = [google_integrations_client.client]
}

OAuth 2.0-Autorisierungscode

Im folgenden Beispiel wird ein Authentifizierungstyp für die SSL/TLS-Clientzertifizierung in der Region us-central1 erstellt:

resource "google_integrations_auth_config" "auth_config_oauth2_authorization_code" {
  location     = "us-central1"
  display_name = "tf-oauth2-authorization-code"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_AUTHORIZATION_CODE"
    oauth2_authorization_code {
      client_id      = "Kf7utRvgr95oGO5YMmhFOLo8"
      client_secret  = "D-XXFDDMLrg2deDgczzHTBwC3p16wRK1rdKuuoFdWqO0wliJ"
      scope          = "photo offline_access"
      auth_endpoint  = "https://authorization-server.com/authorize"
      token_endpoint = "https://authorization-server.com/token"
    }
  }
  depends_on = [google_integrations_client.client]
}

OAuth 2.0-Clientanmeldedaten

Im folgenden Beispiel wird ein Authentifizierungstyp für OAuth 2.0-Clientanmeldedaten in der Region us-central1 erstellt:

resource "google_integrations_auth_config" "auth_config_oauth2_client_credentials" {
  location     = "us-central1"
  display_name = "tf-oauth2-client-credentials"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_CLIENT_CREDENTIALS"
    oauth2_client_credentials {
      client_id      = "demo-backend-client"
      client_secret  = "MJlO3binatD9jk1"
      scope          = "read"
      token_endpoint = "https://login-demo.curity.io/oauth/v2/oauth-token"
      request_type   = "ENCODED_HEADER"
      token_params {
        entries {
          key {
            literal_value {
              string_value = "string-key"
            }
          }
          value {
            literal_value {
              string_value = "string-value"
            }
          }
        }
      }
    }
  }
  depends_on = [google_integrations_client.client]
}

Nach dem Speichern steht das neue Authentifizierungsprofil im Drop-down-Menü Zu verwendendes Autorisierungsprofil für alle Aufgaben zur Authentifizierung zur Verfügung.

Optional: Wenn Sie vor der Konfiguration einer Integrationsaufgabe kein Authentifizierungsprofil erstellt haben, können Sie auf das Dialogfeld für die Profilerstellung zugreifen, indem Sie + Neues Authentifizierungsprofil hinzufügen aus dem Drop-down Zu verwendendes Autorisierungsprofil im Aufgabenkonfigurationsbereich auswählen. Führen Sie die vorherigen Schritte aus, um ein neues Authentifizierungsprofil zu erstellen.

Authentifizierungsprofile bearbeiten

So bearbeiten Sie ein Authentifizierungsprofil:

  1. Wählen Sie in der Apigee-Benutzeroberfläche Ihre Apigee-Organisation aus.
  2. Klicken Sie auf Entwickeln > Integrationen.
  3. Wählen Sie eine vorhandene Integration aus, für die Sie das Authentifizierungsprofil erstellen möchten.

    Dadurch wird die Integration auf der Seite Integrationseditor geöffnet.

  4. Klicken Sie in der Symbolleiste des Integrationseditors auf (Authentifizierungsprofile verwalten).

    Die Seite Authentifizierungsprofile wird angezeigt.

  5. Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
  6. Klicken Sie auf (Aktionsmenü) und dann auf Bearbeiten.

    Das Dialogfeld Authentifizierungsprofile wird angezeigt.

  7. Bearbeiten Sie die Details und klicken Sie auf Speichern.

Authentifizierungsprofile löschen

So löschen Sie ein Authentifizierungsprofil:

  1. Wählen Sie in der Apigee-Benutzeroberfläche Ihre Apigee-Organisation aus.
  2. Klicken Sie auf Entwickeln > Integrationen.
  3. Wählen Sie eine vorhandene Integration aus, für die Sie das Authentifizierungsprofil erstellen möchten.

    Dadurch wird die Integration auf der Seite Integrationseditor geöffnet.

  4. Klicken Sie in der Symbolleiste des Integrationseditors auf (Authentifizierungsprofile verwalten).

    Die Seite Authentifizierungsprofile wird angezeigt.

  5. Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
  6. Klicken Sie auf Löschen.

Authentifizierungstypen

Der Authentifizierungstyp, die zum Ausführen einer Integrationsaufgabe erforderlich ist, hängt von der im Autorisierungsserver konfigurierten Authentifizierung ab. Der Autorisierungsserver kann ein eigenständiger Server oder eine API sein, die Anmeldedaten an den aufrufenden Client ausgibt. Apigee Integration unterstützt die folgenden Authentifizierungstypen:

In den folgenden Abschnitten werden die Konfigurationsattribute der Authentifizierungstypen beschrieben.

Authentifizierungstoken

Für den Authentifizierungstyp Authentifizierungstoken wird ein Token (Anmeldedaten) für die Authentifizierung verwendet. Die Anmeldedaten werden im HTTP-Anfrageheader Authorization im Format Authorization: TYPE CREDENTIALS an den Server gesendet. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:
  • Typ: Authentifizierungstyp wie Basic, Bearer oder MAC.
  • Token: Anmeldedaten für den Authentifizierungstyp.

Wenn der Authentifizierungsserver ein SSL/TLS-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel hoch.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Google OIDC ID Token

Der Authentifizierungstyp Google OIDC ID Token verwendet JSON Web Tokens (JWT) zur Authentifizierung. Der OIDC-Anbieter (Google OpenID Connect) accounts.google.com signiert diese JWTs und gibt sie für die Authentifizierung über ein Dienstkonto aus. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:
  • Dienstkonto: Dienstkonto (Hauptkonto) in Ihrem Google Cloud-Projekt mit Berechtigung zum Zugriff auf Ihre API.
  • Zielgruppe: Die Zielgruppe für das OIDC-Token (also die Empfänger, für die das JWT bestimmt ist). Beispielsweise ist Trigger-URL die Zielgruppe für die Cloud Functions-Aufgabe.
Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

JSON-Webtoken (JWT)

Der Authentifizierungstyp JWT verwendet zur Authentifizierung das JSON-Web-Token (JWT). Weitere Informationen zu JWTs finden Sie unter RFC7519. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:
  • JWT-Header: Der Algorithmus, mit dem die Signatur generiert wird.

    Hinweis: Sie können nur den HS256-Algorithmus angeben.

  • JWT-Nutzlast: Eine Reihe von Anforderungen. Sie können registrierte, öffentliche und benutzerdefinierte Anforderungen verwenden.
  • Secret: Gemeinsamer Schlüssel von Client und Authentifizierungsserver.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie die Passphrase des privaten Schlüssels ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

OAuth 2.0-Autorisierungscode

Der Authentifizierungstyp OAuth 2.0-Autorisierungscode verwendet zur Authentifizierung ein OAuth 2.0-Autorisierungstoken. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

  • Authentifizierungsendpunkt: Endpunkt des Authentifizierungsendpunkts der Anwendung. Sie werden zu dieser URL weitergeleitet, um die Zugriffsberechtigungen für die Anwendung zu prüfen. Das Token wird erst generiert, nachdem der Zugriff gewährt wurde.
  • Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
  • Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
  • Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
  • Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

OAuth 2.0-Clientanmeldedaten

Der Authentifizierungstyp OAuth 2.0-Clientanmeldedaten verwendet für die Authentifizierung das Autorisierungstoken OAuth 2.0. Diese Authentifizierung fordert zuerst mit den Clientanmeldedaten ein Zugriffstoken an und verwendet dann das Token für den Zugriff auf die geschützten Ressourcen. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

  • Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
  • Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
  • Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
  • Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
  • Anfragetypen: Mechanismen zum Senden der Anfrageparameter an den Authentifizierungsserver zum Abrufen des Zugriffstokens. Sie können einen der folgenden Anfragetypen angeben:

    • Encoder-Header: Codiert CLIENT ID und CLIENT SECRET im Format Base64 und sendet den codierten String im HTTP-Autorisierungsheader. Die verbleibenden Anfrageparameter werden im HTTP-Anfragetext gesendet.
    • Abfrageparameter: Sendet die Anfrageparameter in einem Abfragestring.
    • Anfragetext: Sendet die Anfrageparameter unter Verwendung des Inhaltstyps application/x-www-form-urlencoded und des Zeichensatzes UTF-8 im entity-body der HTTP-Anfrage.
    • Ohne Angabe
  • Tokenparameter: Parameter, die zum Abrufen des Tokens erforderlich sind. Geben Sie die Werte im Schlüssel/Wert-Format an, wobei Key der Parametername und Value der entsprechende Parameterwert ist.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Anmeldedaten für den OAuth 2.0-Ressourceninhaber

Der Authentifizierungstyp OAuth 2.0 „Anmeldedaten des Ressourceninhabers“ verwendet ein OAuth 2.0-Autorisierungstoken zur Authentifizierung. Diese Authentifizierung erfordert zuerst ein Zugriffstoken mit den Anmeldedaten des Projektinhabers (Nutzername und Passwort) und verwendet dann das Token, um auf die geschützten Ressourcen zuzugreifen. Zum Konfigurieren dieses Authentifizierungstyps legen Sie die folgenden Attribute basierend auf dem Instanztyp fest, zu dem Sie eine Verbindung herstellen:

  • Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
  • Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
  • Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
  • Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
  • Nutzername: Der Nutzername des Ressourceninhabers.
  • Passwort: Nutzerpasswort.
  • Anfragetypen: Mechanismen zum Senden der Anfrageparameter an den Authentifizierungsserver zum Abrufen des Zugriffstokens. Sie können einen der folgenden Anfragetypen angeben:

    • Encoder-Header: Codiert CLIENT ID und CLIENT SECRET im Format Base64 und sendet den codierten String im HTTP-Autorisierungsheader. Die verbleibenden Anfrageparameter werden im HTTP-Anfragetext gesendet.
    • Abfrageparameter: Sendet die Anfrageparameter in einem Abfragestring.
    • Anfragetext: Sendet die Anfrageparameter unter Verwendung des Inhaltstyps application/x-www-form-urlencoded und des Zeichensatzes UTF-8 im entity-body der HTTP-Anfrage.
  • Tokenparameter: Parameter, die zum Abrufen des Tokens erforderlich sind. Geben Sie die Werte im Schlüssel/Wert-Format an, wobei Key der Parametername und Value der entsprechende Parameterwert ist.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Nur SSL/TLS-Clientzertifikat

Der Authentifizierungstyp Nur SSL/TLS-Clientzertifikat verwendet nur das SSL/TLS-Zertifikat für die Authentifizierung. Laden Sie das erforderliche Zertifikat und den privaten Schlüssel hoch. Laden Sie die folgenden Dateien hoch, um diesen Authentifizierungstyp zu konfigurieren:
  • SSL-Zertifikat: Zertifikat im PEM-Format codiert.
  • Privater Schlüssel: Die private Schlüsseldatei des Zertifikats im PEM-Format codiert.

    Wenn der private Schlüssel eine passphrase erfordert, geben Sie die Passphrase für den privaten Schlüssel ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Dienstkonto

Der Authentifizierungstyp Dienstkonto verwendet die Anmeldedaten des Dienstkontos eines Google Cloud-Projekts für die Authentifizierung. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

  • Dienstkonto: Dienstkonto (Hauptkonto) in Ihrem Google Cloud-Projekt mit Berechtigung zum Zugriff auf Ihre API.
  • Bereiche: Bereich der Zugriffsberechtigungen, die Nutzern gewährt werden. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.

Informationen zu Best Practices für das Erstellen und Verwalten von Dienstkonten finden Sie in der Dokumentation zu Best Practices für die Arbeit mit Dienstkonten.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Kompatibilität von Authentifizierungstypen mit Aufgaben

In der folgenden Tabelle sind die Authentifizierungstypen und die entsprechenden kompatiblen Aufgaben aufgeführt. Anhand dieser Informationen können Sie entscheiden, welcher Authentifizierungstyp für eine Aufgabe verwendet werden soll.

Authentifizierungstyp Kompatible Aufgaben und Trigger
Authentifizierungstoken
Google OIDC ID Token
JSON-Webtoken (JWT)
OAuth 2.0-Autorisierungscode
OAuth 2.0-Clientanmeldedaten
Anmeldedaten für den OAuth 2.0-Ressourceninhaber
Nur SSL/TLS-Clientzertifikat
Dienstkonto

Authentifizierungsregel

Wenn für Ihre Integration sowohl ein OAuth 2.0-Profil als auch ein vom Nutzer verwaltetes Dienstkonto konfiguriert ist, wird standardmäßig das OAuth 2.0-Profil für die Authentifizierung verwendet. Wenn weder das OAuth 2.0-Profil noch das nutzerverwaltete Dienstkonto konfiguriert ist, wird das Standarddienstkonto (service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com) verwendet. Wenn die Aufgabe nicht das Standarddienstkonto verwendet, schlägt die Ausführung fehl.