Administrar los perfiles de autenticación

Las tareas en la integración de Apigee pueden requerir una conexión a una aplicación, un servicio o una fuente de datos externos. Un perfil de autenticación te permite configurar y almacenar los detalles de autenticación para la conexión en Apigee Integration. Puedes configurar la tarea para usar el perfil de autenticación almacenado. La creación de un perfil de autenticación es una actividad única, y puedes volver a usar el mismo perfil en varias integraciones.

Crea un ID de cliente de OAuth 2.0

Un ID de cliente se usa con el fin de identificar una sola aplicación para los servidores de OAuth de Google. Si tu aplicación se ejecuta en varias plataformas, cada una necesitará su propio ID de cliente. Para usar OAuth 2.0 en tu aplicación, necesitas un ID de cliente de OAuth 2.0, que tu aplicación usa cuando solicita un token de acceso de OAuth 2.0.

Para crear un ID de cliente de OAuth 2.0, sigue estos pasos:

1. En la consola de Google Cloud, ve a APIs y servicios > Credenciales.

   Ir a Credenciales

2. Haz clic en + Crear credenciales y, luego, elige ID de cliente de OAuth en la lista de opciones disponibles.

   Aparecerá la página Crear ID de cliente de OAuth.

3. Tipo de aplicación: elige Aplicación web en la lista desplegable.
4. Nombre: escribe un nombre para tu cliente de OAuth 2.0 para identificarlo en la consola de Cloud.
5. En URI de redireccionamiento autorizados, haz clic en + Agregar URI y escribe lo siguiente:

   https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION

6. Haz clic en Crear.

   Se crea correctamente un ID de cliente de OAuth 2.0.

Crea un perfil de autenticación nuevo

Para crear un perfil de autenticación nuevo, sigue estos pasos:

1. En la IU de Apigee, elige tu organización de Apigee.
2. Haz clic en Desarrollar > Integraciones.
3. Elige una integración existente para la que deseas crear el perfil de autenticación.

   Esto abrirá la integración en la página del editor de integración.

4. En la barra de herramientas del diseñador de integración, haz clic en lock (Administrar perfiles de autenticación).

   Aparecerá la página Authentication Profiles.

5. Elige Región para el perfil de autenticación mediante el menú desplegable en la página Authentication Profiles.
6. Haz clic en Crear y escribe los siguientes detalles:
   • Nombre del perfil de autenticación: Escribe el nombre del perfil de autenticación que se mostrará en el diseñador de integración.
   • Descripción del perfil de autenticación: Escribe una descripción para el perfil de autenticación.
   • Visibilidad del perfil de autenticación: Elige una de las siguientes opciones de visibilidad del perfil:
     • Visibilidad para todos los usuarios del cliente: El perfil de autenticación creado está disponible para todos los usuarios de la organización.

     • Solo visible para ti: El perfil de autenticación creado no es visible para ningún otro usuario de la organización.
   • Tipo de autenticación: Selecciona el tipo de autenticación de la lista desplegable y, luego, escribe los detalles obligatorios. En función de tu selección, en el cuadro de diálogo se muestran campos adicionales necesarios para las credenciales de autenticación. Puedes elegir cualquiera de los siguientes tipos de autenticación:
     • Token de autenticación
     • Token de ID de OIDC de Google
     • Token web JSON (JWT)
     • Código de autorización de OAuth 2.0
     • Credenciales de cliente de OAuth 2.0
     • Credenciales de la contraseña del propietario de recursos de OAuth 2.0
     • Solo certificación de cliente SSL/TLS
     • Cuenta de servicio
7. Haz clic en Guardar.

Después de guardar, el nuevo perfil de autenticación estará disponible como opción en el menú desplegable Perfil de autorización para usar de cualquier tarea que requiera autenticación.

Opcional: Si no creaste un perfil de autenticación antes de configurar una tarea de integración, puedes acceder al diálogo de creación de perfil si seleccionas + Agregar nuevo perfil de autenticación en el menú desplegable Perfil de autorización para usar en el panel de configuración de la tarea. Sigue los pasos anteriores para crear un perfil de autenticación nuevo.

Editar perfiles de autenticación

Para editar un perfil de autenticación, sigue estos pasos:

1. En la IU de Apigee, selecciona tu organización de Apigee.
2. Haz clic en Desarrollar > Integraciones.
3. Elige una integración existente para la que deseas crear el perfil de autenticación.

   Esto abrirá la integración en la página del editor de integración.

4. En la barra de herramientas del diseñador de integración, haz clic en lock (Administrar perfiles de autenticación).

   Aparecerá la página Authentication Profiles.

5. Elige Región para el perfil de autenticación mediante el menú desplegable en la página Authentication Profiles.
6. Haz clic en more_vert (menú de acciones) y, luego, en Editar.

   Aparecerá el cuadro de diálogo Authentication Profiles.

7. Edita los detalles y haz clic en Guardar.

Borrar perfiles de autenticación

Para borrar un perfil de autenticación, sigue estos pasos:

1. En la IU de Apigee, selecciona tu organización de Apigee.
2. Haz clic en Desarrollar > Integraciones.
3. Elige una integración existente para la que deseas crear el perfil de autenticación.

   Esto abrirá la integración en la página del editor de integración.

4. En la barra de herramientas del diseñador de integración, haz clic en lock (Administrar perfiles de autenticación).

   Aparecerá la página Authentication Profiles.

5. Elige Región para el perfil de autenticación mediante el menú desplegable en la página Authentication Profiles.
6. Haz clic en Borrar.

Tipos de autenticación

El tipo de autenticación necesario para completar una tarea de integración depende de la autenticación configurada en el servidor de autorización. El servidor de autorización puede ser un servidor independiente o una API que emita credenciales al cliente que hace la llamada. La integración de Apigee admite los siguientes tipos de autenticación:

• Token de autenticación
• Token de ID de OIDC de Google
• Token web JSON (JWT)
• Código de autorización de OAuth 2.0
• Credenciales de cliente de OAuth 2.0
• Credenciales de la contraseña del propietario de recursos de OAuth 2.0
• Solo certificación de cliente SSL/TLS
• Cuenta de servicio

En las siguientes secciones, se describen las propiedades de configuración de los tipos de autenticación.

Token de autenticación

El tipo de autenticación del token de autenticación usa un token (credenciales) para la autenticación. Las credenciales se envían al servidor en el encabezado de la solicitud de Authorization HTTP con el formato Authorization: TYPE CREDENTIALS. Para configurar este tipo de autenticación, establece las siguientes propiedades:

• TYPE: Tipo de autenticación, como Basic, Bearer o MAC.
• Token: Credenciales para el tipo de autenticación.

Si el servidor de autenticación requiere un certificado SSL/TLS, sube el certificado y la clave privada.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Token de ID de OIDC de Google

El tipo de autenticación de Token de ID de Google OIDC usa tokens web JSON (JWT) para la autenticación. El proveedor de Google OpenID Connect (OIDC) accounts.google.com firma y emite estos JWT para la autenticación mediante una cuenta de servicio. Para configurar este tipo de autenticación, establece las siguientes propiedades:

• Cuenta de servicio: Cuenta de servicio (principal) en tu proyecto de Google Cloud con permiso para acceder a tu API.
• Público: El público del token de OIDC (identifica los destinatarios a los que se orienta el JWT). Por ejemplo, la URL del activador es el público de la tarea de Cloud Function.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Token web JSON (JWT)

El tipo de autenticación JWT usa el token web JSON (JWT) para la autenticación. Para obtener más información sobre JWT, consulta RFC7519. Para configurar este tipo de autenticación, establece las siguientes propiedades:

• JWT HEADER: El algoritmo para generar la firma.

  Nota: Solo puedes especificar el algoritmo HS256.

• JWT PAYLOAD: Un conjunto de reclamaciones. Puedes usar reclamaciones registradas, públicas o personalizadas.
• SECRET: Clave compartida entre el cliente y el servidor de autenticación.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Código de autorización de OAuth 2.0

El tipo de autenticación del código de autorización de OAuth 2.0 usa un token de autorización OAuth 2.0 para la autenticación. Para configurar este tipo de autenticación, establece las siguientes propiedades:

• Authentication endpoint: Extremo para el extremo de autenticación de la aplicación. Se te redireccionará a esta URL para que revises los permisos de acceso de la aplicación. El token solo se generará después de que se otorgue acceso.
• TOKEN ENDPOINT: URL de extremo que otorga o actualiza el token de acceso.
• ID de cliente: Una string única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se expone al propietario del recurso. Usa este campo junto con un secreto del cliente.
• SECRET: Clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
• Permiso(s): El permiso del token de acceso. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Credenciales de cliente de OAuth 2.0

El tipo de autenticación de las credenciales de cliente de OAuth 2.0 usa un token de autorización OAuth 2.0 para la autenticación. Esta autenticación primero solicita un token de acceso mediante las credenciales del cliente y, luego, usa el token para acceder a los recursos protegidos. Para configurar este tipo de autenticación, establece las siguientes propiedades:

• TOKEN ENDPOINT: URL de extremo que otorga o actualiza el token de acceso.
• ID de cliente: Una string única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se expone al propietario del recurso. Usa este campo junto con un secreto del cliente.
• SECRET: Clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
• Permiso(s): El permiso del token de acceso. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.
• Tipos de solicitud: Mecanismos para enviar los parámetros de solicitud al servidor de autenticación para recuperar el token de acceso. Puedes especificar cualquiera de los siguientes tipos de solicitudes:
  • Encabezado de codificador: Codifica los CLIENT ID y CLIENT SECRET en formato Base64 y envía la string codificada en el encabezado de autorización HTTP. Los parámetros de solicitud restantes se envían en el cuerpo de la solicitud HTTP.
  • Parámetros de búsqueda: Envía los parámetros de la solicitud en una cadena de consulta.
  • Cuerpo de la solicitud: Envía los parámetros de la solicitud mediante el tipo de contenido application/x-www-form-urlencoded y el charset UTF-8 en el entity-body de la solicitud HTTP.
  • Sin especificar
• Parámetros de token: Solicita los parámetros necesarios para obtener el token. Especifica los valores en formato de clave-valor en el que Key es el nombre del parámetro y Value es el valor del parámetro correspondiente.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Credenciales de la contraseña del propietario de recursos de OAuth 2.0

El tipo de autenticación de las credenciales de contraseña del propietario de recursos de OAuth 2.0 usa un token de autorización OAuth 2.0 para la autenticación. Esta autenticación primero solicita un token de acceso con las credenciales de propietario del recurso (Nombre de usuario y contraseña) y, luego, usa el token para acceder a los recursos protegidos. Para configurar este tipo de autenticación, establece las siguientes propiedades según el tipo de instancia a la que te conectes:

• TOKEN ENDPOINT: URL de extremo que otorga o actualiza el token de acceso.
• ID de cliente: Una string única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se expone al propietario del recurso. Usa este campo junto con un secreto del cliente.
• SECRET: Clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
• Permiso(s): El permiso del token de acceso. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.
• USERNAME: Nombre de usuario del propietario del recurso.
• PASSWORD: Contraseña de usuario.
• Tipos de solicitud: Mecanismos para enviar los parámetros de solicitud al servidor de autenticación para recuperar el token de acceso. Puedes especificar cualquiera de los siguientes tipos de solicitudes:
  • Encabezado de codificador: Codifica los CLIENT ID y CLIENT SECRET en formato Base64 y envía la string codificada en el encabezado de autorización HTTP. Envía los parámetros de solicitud restantes en el cuerpo de la solicitud HTTP.
  • Parámetros de búsqueda: Envía los parámetros de la solicitud en una cadena de consulta.
  • Cuerpo de la solicitud: Envía los parámetros de la solicitud mediante el tipo de contenido application/x-www-form-urlencoded y el charset UTF-8 en el entity-body de la solicitud HTTP.
• Parámetros de token: Solicita los parámetros necesarios para obtener el token. Especifica los valores en formato de clave-valor en el que Key es el nombre del parámetro y Value es el valor del parámetro correspondiente.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Solo certificado de cliente SSL/TLS

El tipo de autenticación solo certificado de cliente SSL/TLS usa el certificado SSL/TLS solo para la autenticación. Sube el certificado requerido y la clave privada. Para configurar este tipo de autenticación, sube los siguientes archivos:

• Certificado SSL: Certificado codificado en formato PEM.
• Clave privada: Es el archivo de claves privadas del certificado codificado en formato PEM.

  Si la clave privada requiere un passphrase, escribe la Frase de contraseña de clave privada.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Cuenta de servicio

El tipo de autenticación de Cuenta de servicio usa las credenciales de una cuenta de servicio de un proyecto de Google Cloud para la autenticación. Para configurar este tipo de autenticación, establece las siguientes propiedades:

• Cuenta de servicio: Cuenta de servicio (principal) en tu proyecto de Google Cloud con permiso para acceder a tu API.
• Permiso(s): Permiso de permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.

Para obtener información de las prácticas recomendadas para crear y administrar cuentas de servicio, lee la documentación de Prácticas recomendadas para trabajar con cuentas de servicio.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.

Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.

Compatibilidad de los tipos de autenticación con las tareas

En la siguiente tabla, se enumeran los tipos de autenticación y las tareas compatibles correspondientes. Puedes usar esta información para decidir qué tipo de autenticación usar para una tarea.

Tipo de autenticación	Tareas y activadores compatibles
Token de autenticación	Llamar a extremo REST
Token de ID de OIDC de Google	Llamar a extremo REST Cloud Function
Token web JSON (JWT)	Llamar a extremo REST
Código de autorización de OAuth 2.0	Llamar a extremo REST Ejecutar Apps Script Tarea de Cloud Functions
Credenciales de cliente de OAuth 2.0	Llamar a extremo REST
Credenciales de la contraseña del propietario de recursos de OAuth 2.0	Llamar a extremo REST Activador de Salesforce
Solo certificado de cliente SSL/TLS	Llamar a extremo REST
Cuenta de servicio	Llamar a extremo REST Tarea de conectores Tarea Integración de llamadas Tarea de Cloud Functions

Regla de autenticación

Si tu integración tiene configurados un perfil de OAuth 2.0 y una cuenta de servicio administrada por el usuario, de forma predeterminada, el perfil de OAuth 2.0 se usa para la autenticación. Si no se configura el perfil de OAuth 2.0 ni la cuenta de servicio administrada por el usuario, se usa la cuenta de servicio predeterminada (service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com). Si la tarea no usa la cuenta de servicio predeterminada, la ejecución fallará.