Authentifizierungsprofile verwalten

Die Aufgaben in Ihrer Apigee Integration erfordern möglicherweise eine Verbindung zu einer externen Anwendung, einem Dienst oder einer Datenquelle. Mit einem Authentifizierungsprofil können Sie die Authentifizierungsdetails für die Verbindung in Apigee Integration konfigurieren und speichern. Sie können die Aufgabe so konfigurieren, dass das gespeicherte Authentifizierungsprofil verwendet wird. Das Erstellen eines Authentifizierungsprofils ist eine einmalige Aktivität, die Sie in mehreren Integrationen verwenden können.

OAuth 2.0-Client-ID erstellen

Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei Googles OAuth-Servern verwendet. Wenn Ihre Anwendung auf mehreren Plattformen ausgeführt wird, erfordert jede eine eigene Client-ID. Zur Verwendung von OAuth 2.0 in Ihrer Anwendung benötigen Sie eine OAuth 2.0-Client-ID, die Ihre Anwendung verwendet, wenn ein OAuth 2.0-Zugriffstoken angefordert wird.

So erstellen Sie eine OAuth 2.0-Client-ID:

1. Rufen Sie in der Google Cloud Console die Seite APIs und Dienste > Anmeldedaten auf.

   Zu den Anmeldedaten

2. Klicken Sie auf + Anmeldedaten erstellen und wählen Sie OAuth-Client-ID aus der Liste der verfügbaren Optionen aus.

   Die Seite OAuth-Client-ID erstellen wird angezeigt.

3. Anwendungstyp: Wählen Sie aus der Drop-down-Liste Webanwendung aus.
4. Name: Geben Sie einen Namen für den OAuth 2.0-Client ein, um den Client in der Cloud Console zu identifizieren.
5. Klicken Sie unter Autorisierte Weiterleitungs-URIs auf + ADD-URI und geben Sie Folgendes ein:

   https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION

6. Klicken Sie auf Erstellen.

   Eine OAuth 2.0-Client-ID wurde erfolgreich erstellt.

Neues Authentifizierungsprofil erstellen

So erstellen Sie ein neues Authentifizierungsprofil:

1. Wählen Sie in der Apigee-Benutzeroberfläche Ihre Apigee-Organisation aus.
2. Klicken Sie auf Entwickeln > Integrationen.
3. Wählen Sie eine vorhandene Integration aus, für die Sie das Authentifizierungsprofil erstellen möchten.

   Dadurch wird die Integration auf der Seite Integrationseditor geöffnet.

4. Klicken Sie in der Symbolleiste des Integrationseditors auf lock (Authentifizierungsprofile verwalten).

   Die Seite Authentifizierungsprofile wird angezeigt.

5. Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
6. Klicken Sie auf ERSTELLEN und geben Sie die folgenden Details ein:
   • Authentifizierungsprofilname: Geben Sie den Namen des Authentifizierungsprofils ein, das im Integrationseditor angezeigt werden soll.
   • Beschreibung des Authentifizierungsprofils: Geben Sie eine Beschreibung für das Authentifizierungsprofil ein.
   • Sichtbarkeit des Authentifizierungsprofils: Wählen Sie eine der folgenden Optionen für die Profilsichtbarkeit aus:
     • Für alle Nutzer im Client sichtbar: Das erstellte Authentifizierungsprofil ist für alle Nutzer in der Organisation verfügbar.

     • Nur für Sie sichtbar: Das erstellte Authentifizierungsprofil ist für andere Nutzer in der Organisation nicht sichtbar.
   • Authentifizierungstyp: Wählen Sie den Authentifizierungstyp aus der Drop-down-Liste aus und geben Sie die erforderlichen Details ein. Abhängig von Ihrer Auswahl werden im Dialogfeld zusätzliche Felder angezeigt, die für die Authentifizierungsdaten erforderlich sind. Sie können einen der folgenden Authentifizierungstypen auswählen:
     • Authentifizierungstoken
     • Google OIDC ID Token
     • JSON-Webtoken (JWT)
     • OAuth 2.0-Autorisierungscode
     • OAuth 2.0-Clientanmeldedaten
     • Anmeldedaten für den OAuth 2.0-Ressourceninhaber
     • Nur SSL/TLS-Client-Zertifizierung
     • Dienstkonto
7. Klicken Sie auf Speichern.

Nach dem Speichern steht das neue Authentifizierungsprofil im Drop-down-Menü Zu verwendendes Autorisierungsprofil für alle Aufgaben zur Authentifizierung zur Verfügung.

Optional: Wenn Sie vor der Konfiguration einer Integrationsaufgabe kein Authentifizierungsprofil erstellt haben, können Sie auf das Dialogfeld für die Profilerstellung zugreifen, indem Sie + Neues Authentifizierungsprofil hinzufügen aus dem Drop-down Zu verwendendes Autorisierungsprofil im Aufgabenkonfigurationsbereich auswählen. Führen Sie die vorherigen Schritte aus, um ein neues Authentifizierungsprofil zu erstellen.

Authentifizierungsprofile bearbeiten

So bearbeiten Sie ein Authentifizierungsprofil:

1. Wählen Sie in der Apigee-Benutzeroberfläche Ihre Apigee-Organisation aus.
2. Klicken Sie auf Entwickeln > Integrationen.
3. Wählen Sie eine vorhandene Integration aus, für die Sie das Authentifizierungsprofil erstellen möchten.

   Dadurch wird die Integration auf der Seite Integrationseditor geöffnet.

4. Klicken Sie in der Symbolleiste des Integrationseditors auf lock (Authentifizierungsprofile verwalten).

   Die Seite Authentifizierungsprofile wird angezeigt.

5. Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
6. Klicken Sie auf more_vert (Aktionsmenü) und dann auf Bearbeiten.

   Das Dialogfeld Authentifizierungsprofile wird angezeigt.

7. Bearbeiten Sie die Details und klicken Sie auf Speichern.

Authentifizierungsprofile löschen

So löschen Sie ein Authentifizierungsprofil:

1. Wählen Sie in der Apigee-Benutzeroberfläche Ihre Apigee-Organisation aus.
2. Klicken Sie auf Entwickeln > Integrationen.
3. Wählen Sie eine vorhandene Integration aus, für die Sie das Authentifizierungsprofil erstellen möchten.

   Dadurch wird die Integration auf der Seite Integrationseditor geöffnet.

4. Klicken Sie in der Symbolleiste des Integrationseditors auf lock (Authentifizierungsprofile verwalten).

   Die Seite Authentifizierungsprofile wird angezeigt.

5. Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
6. Klicken Sie auf Löschen.

Authentifizierungstypen

Der Authentifizierungstyp, die zum Ausführen einer Integrationsaufgabe erforderlich ist, hängt von der im Autorisierungsserver konfigurierten Authentifizierung ab. Der Autorisierungsserver kann ein eigenständiger Server oder eine API sein, die Anmeldedaten an den aufrufenden Client ausgibt. Apigee Integration unterstützt die folgenden Authentifizierungstypen:

• Authentifizierungstoken
• Google OIDC ID Token
• JSON-Webtoken (JWT)
• OAuth 2.0-Autorisierungscode
• OAuth 2.0-Clientanmeldedaten
• Anmeldedaten für den OAuth 2.0-Ressourceninhaber
• Nur SSL/TLS-Client-Zertifizierung
• Dienstkonto

In den folgenden Abschnitten werden die Konfigurationsattribute der Authentifizierungstypen beschrieben.

Authentifizierungstoken

Für den Authentifizierungstyp Authentifizierungstoken wird ein Token (Anmeldedaten) für die Authentifizierung verwendet. Die Anmeldedaten werden im HTTP-Anfrageheader Authorization im Format Authorization: TYPE CREDENTIALS an den Server gesendet. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

• Typ: Authentifizierungstyp wie Basic, Bearer oder MAC.
• Token: Anmeldedaten für den Authentifizierungstyp.

Wenn der Authentifizierungsserver ein SSL/TLS-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel hoch.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Google OIDC ID Token

Der Authentifizierungstyp Google OIDC ID Token verwendet JSON Web Tokens (JWT) zur Authentifizierung. Der OIDC-Anbieter (Google OpenID Connect) accounts.google.com signiert diese JWTs und gibt sie für die Authentifizierung über ein Dienstkonto aus. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

• Dienstkonto: Dienstkonto (Hauptkonto) in Ihrem Google Cloud-Projekt mit Berechtigung zum Zugriff auf Ihre API.
• Zielgruppe: Die Zielgruppe für das OIDC-Token (also die Empfänger, für die das JWT bestimmt ist). Beispielsweise ist Trigger-URL die Zielgruppe für die Cloud Functions-Aufgabe.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

JSON-Webtoken (JWT)

Der Authentifizierungstyp JWT verwendet zur Authentifizierung das JSON-Web-Token (JWT). Weitere Informationen zu JWTs finden Sie unter RFC7519. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

• JWT-Header: Der Algorithmus, mit dem die Signatur generiert wird.

  Hinweis: Sie können nur den HS256-Algorithmus angeben.

• JWT-Nutzlast: Eine Reihe von Anforderungen. Sie können registrierte, öffentliche und benutzerdefinierte Anforderungen verwenden.
• Secret: Gemeinsamer Schlüssel von Client und Authentifizierungsserver.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie die Passphrase des privaten Schlüssels ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

OAuth 2.0-Autorisierungscode

Der Authentifizierungstyp OAuth 2.0-Autorisierungscode verwendet zur Authentifizierung ein OAuth 2.0-Autorisierungstoken. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

• Authentifizierungsendpunkt: Endpunkt des Authentifizierungsendpunkts der Anwendung. Sie werden zu dieser URL weitergeleitet, um die Zugriffsberechtigungen für die Anwendung zu prüfen. Das Token wird erst generiert, nachdem der Zugriff gewährt wurde.
• Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
• Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
• Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
• Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

OAuth 2.0-Clientanmeldedaten

Der Authentifizierungstyp OAuth 2.0-Clientanmeldedaten verwendet für die Authentifizierung das Autorisierungstoken OAuth 2.0. Diese Authentifizierung fordert zuerst mit den Clientanmeldedaten ein Zugriffstoken an und verwendet dann das Token für den Zugriff auf die geschützten Ressourcen. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

• Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
• Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
• Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
• Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
• Anfragetypen: Mechanismen zum Senden der Anfrageparameter an den Authentifizierungsserver zum Abrufen des Zugriffstokens. Sie können einen der folgenden Anfragetypen angeben:
  • Encoder-Header: Codiert CLIENT ID und CLIENT SECRET im Format Base64 und sendet den codierten String im HTTP-Autorisierungsheader. Die verbleibenden Anfrageparameter werden im HTTP-Anfragetext gesendet.
  • Abfrageparameter: Sendet die Anfrageparameter in einem Abfragestring.
  • Anfragetext: Sendet die Anfrageparameter unter Verwendung des Inhaltstyps application/x-www-form-urlencoded und des Zeichensatzes UTF-8 im entity-body der HTTP-Anfrage.
  • Ohne Angabe
• Tokenparameter: Parameter, die zum Abrufen des Tokens erforderlich sind. Geben Sie die Werte im Schlüssel/Wert-Format an, wobei Key der Parametername und Value der entsprechende Parameterwert ist.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Anmeldedaten für den OAuth 2.0-Ressourceninhaber

Der Authentifizierungstyp OAuth 2.0 „Anmeldedaten des Ressourceninhabers“ verwendet ein OAuth 2.0-Autorisierungstoken zur Authentifizierung. Diese Authentifizierung erfordert zuerst ein Zugriffstoken mit den Anmeldedaten des Projektinhabers (Nutzername und Passwort) und verwendet dann das Token, um auf die geschützten Ressourcen zuzugreifen. Zum Konfigurieren dieses Authentifizierungstyps legen Sie die folgenden Attribute basierend auf dem Instanztyp fest, zu dem Sie eine Verbindung herstellen:

• Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
• Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
• Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
• Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
• Nutzername: Der Nutzername des Ressourceninhabers.
• Passwort: Nutzerpasswort.
• Anfragetypen: Mechanismen zum Senden der Anfrageparameter an den Authentifizierungsserver zum Abrufen des Zugriffstokens. Sie können einen der folgenden Anfragetypen angeben:
  • Encoder-Header: Codiert CLIENT ID und CLIENT SECRET im Format Base64 und sendet den codierten String im HTTP-Autorisierungsheader. Die verbleibenden Anfrageparameter werden im HTTP-Anfragetext gesendet.
  • Abfrageparameter: Sendet die Anfrageparameter in einem Abfragestring.
  • Anfragetext: Sendet die Anfrageparameter unter Verwendung des Inhaltstyps application/x-www-form-urlencoded und des Zeichensatzes UTF-8 im entity-body der HTTP-Anfrage.
• Tokenparameter: Parameter, die zum Abrufen des Tokens erforderlich sind. Geben Sie die Werte im Schlüssel/Wert-Format an, wobei Key der Parametername und Value der entsprechende Parameterwert ist.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Nur SSL/TLS-Clientzertifikat

Der Authentifizierungstyp Nur SSL/TLS-Clientzertifikat verwendet nur das SSL/TLS-Zertifikat für die Authentifizierung. Laden Sie das erforderliche Zertifikat und den privaten Schlüssel hoch. Laden Sie die folgenden Dateien hoch, um diesen Authentifizierungstyp zu konfigurieren:

• SSL-Zertifikat: Zertifikat im PEM-Format codiert.
• Privater Schlüssel: Die private Schlüsseldatei des Zertifikats im PEM-Format codiert.

  Wenn der private Schlüssel eine passphrase erfordert, geben Sie die Passphrase für den privaten Schlüssel ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Dienstkonto

Der Authentifizierungstyp Dienstkonto verwendet die Anmeldedaten des Dienstkontos eines Google Cloud-Projekts für die Authentifizierung. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:

• Dienstkonto: Dienstkonto (Hauptkonto) in Ihrem Google Cloud-Projekt mit Berechtigung zum Zugriff auf Ihre API.
• Bereiche: Bereich der Zugriffsberechtigungen, die Nutzern gewährt werden. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.

Informationen zu Best Practices für das Erstellen und Verwalten von Dienstkonten finden Sie in der Dokumentation zu Best Practices für die Arbeit mit Dienstkonten.

Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.

Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.

Kompatibilität von Authentifizierungstypen mit Aufgaben

In der folgenden Tabelle sind die Authentifizierungstypen und die entsprechenden kompatiblen Aufgaben aufgeführt. Anhand dieser Informationen können Sie entscheiden, welcher Authentifizierungstyp für eine Aufgabe verwendet werden soll.

Authentifizierungstyp	Kompatible Aufgaben und Trigger
Authentifizierungstoken	REST-Endpunkt aufrufen
Google OIDC ID Token	REST-Endpunkt aufrufen Cloud Functions-Funktion
JSON-Webtoken (JWT)	REST-Endpunkt aufrufen
OAuth 2.0-Autorisierungscode	REST-Endpunkt aufrufen Apps Script ausführen Cloud Functions-Aufgabe
OAuth 2.0-Clientanmeldedaten	REST-Endpunkt aufrufen
Anmeldedaten für den OAuth 2.0-Ressourceninhaber	REST-Endpunkt aufrufen Salesforce-Trigger
Nur SSL/TLS-Clientzertifikat	REST-Endpunkt aufrufen
Dienstkonto	REST-Endpunkt aufrufen Connectors-Aufgabe Anrufintegrationsaufgabe Cloud Functions-Aufgabe

Authentifizierungsregel

Wenn für Ihre Integration sowohl ein OAuth 2.0-Profil als auch ein vom Nutzer verwaltetes Dienstkonto konfiguriert sind, wird standardmäßig das OAuth 2.0-Profil für die Authentifizierung verwendet. Wenn weder ein OAuth 2.0-Profil noch ein vom Nutzer verwaltetes Dienstkonto konfiguriert ist, wird das Standarddienstkonto (service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com) verwendet. Wenn die Aufgabe nicht das Standarddienstkonto verwendet, schlägt die Ausführung fehl.