Halaman ini diterjemahkan oleh Cloud Translation API.

Mengelola profil autentikasi

Tugas dalam Integrasi Apigee Anda mungkin memerlukan koneksi ke aplikasi, layanan, atau sumber data eksternal. Profil autentikasi memungkinkan Anda mengonfigurasi dan menyimpan detail autentikasi untuk koneksi dalam Integrasi Apigee. Anda dapat mengonfigurasi tugas untuk menggunakan profil autentikasi yang disimpan. Membuat profil autentikasi adalah aktivitas satu kali, dan Anda dapat menggunakan kembali profil yang sama dalam beberapa integrasi.

Membuat client ID OAuth 2.0

Client ID digunakan untuk mengidentifikasi satu aplikasi ke server OAuth Google. Jika aplikasi Anda berjalan di beberapa platform, maka masing-masing platform akan memerlukan client ID sendiri. Untuk menggunakan OAuth 2.0 di aplikasi, Anda memerlukan client ID OAuth 2.0, yang digunakan aplikasi saat meminta token akses OAuth 2.0.

Untuk membuat client ID OAuth 2.0, lakukan langkah berikut:

Di konsol Google Cloud, buka APIs & Services > Credentials.
Buka Kredensial
Klik + Create Credentials, lalu pilih OAuth client ID dari daftar opsi yang tersedia.
Halaman Buat client ID OAuth akan muncul.
Jenis aplikasi: Pilih Aplikasi Web dari menu drop-down.
Nama: Masukkan nama untuk klien OAuth 2.0 Anda guna mengidentifikasi klien di Konsol Cloud.

Di bagian Authorized redirect URI, klik +Add URI dan masukkan perintah berikut:

https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION

Klik Create.
Client ID OAuth 2.0 berhasil dibuat.

Membuat profil autentikasi baru

Untuk membuat profil autentikasi baru, ikuti langkah-langkah berikut:

Di UI Apigee, pilih Organisasi Apigee.
Klik Develop > Integrations.
Pilih integrasi yang sudah ada yang ingin Anda buatkan profil autentikasinya.
Tindakan ini akan membuka integrasi di editor integrasi.
Di toolbar editor integrasi, klik (Manage Authentication Profiles).
Halaman Authentication Profiles akan muncul.
Pilih Region untuk profil autentikasi menggunakan menu drop-down di halaman Authentication Profiles.
Klik Create, lalu masukkan detail berikut:
- Nama profil autentikasi: Masukkan nama profil autentikasi yang akan ditampilkan di editor integrasi.
- Deskripsi profil autentikasi: Masukkan deskripsi untuk profil autentikasi.
- Visibilitas profil autentikasi: Pilih salah satu opsi visibilitas profil berikut:
  - Dapat dilihat oleh semua pengguna di klien: Profil autentikasi yang dibuat tersedia untuk semua pengguna di organisasi.
    
    Catatan: Profil autentikasi yang dapat dilihat oleh semua pengguna di klien akan dibagikan di seluruh project Google Cloud Anda dan dapat dilihat oleh semua anggota project. Oleh karena itu, jangan sertakan informasi sensitif apa pun, misalnya kredensial pribadi di profil tersebut.
  - Hanya dapat dilihat oleh Anda: Profil autentikasi yang dibuat tidak dapat dilihat oleh pengguna lain di organisasi.
- Jenis autentikasi: Pilih jenis autentikasi dari menu drop-down dan masukkan detail yang diperlukan. Berdasarkan pilihan Anda, dialog akan menampilkan kolom tambahan yang diperlukan untuk kredensial autentikasi. Anda dapat memilih salah satu jenis autentikasi berikut:
Klik Save.

Setelah disimpan, profil autentikasi baru akan tersedia sebagai opsi di drop-down Authorization profile to use pada tugas apa pun yang memerlukan autentikasi.

Opsional. Jika belum membuat profil autentikasi sebelum mengonfigurasi tugas integrasi, Anda dapat mengakses dialog pembuatan profil dengan memilih + Add new authentication profile dari menu drop-down Authorization profile to use pada panel konfigurasi tugas. Ikuti langkah-langkah sebelumnya untuk membuat profil autentikasi baru.

Mengedit profil autentikasi

Untuk mengedit profil autentikasi, ikuti langkah-langkah berikut:

Di UI Apigee, pilih Organisasi Apigee.
Klik Develop > Integrations.
Pilih integrasi yang sudah ada yang ingin Anda buatkan profil autentikasinya.
Tindakan ini akan membuka integrasi di editor integrasi.
Di toolbar editor integrasi, klik (Manage Authentication Profiles).
Halaman Authentication Profiles akan muncul.
Pilih Region untuk profil autentikasi menggunakan menu drop-down di halaman Authentication Profiles.
Klik (menu Tindakan), lalu klik Edit.
Dialog Authentication Profiles akan muncul.
Edit detailnya, lalu klik Simpan.

Menghapus profil autentikasi

Untuk menghapus profil autentikasi, ikuti langkah-langkah berikut:

Di UI Apigee, pilih Organisasi Apigee.
Klik Develop > Integrations.
Pilih integrasi yang sudah ada yang ingin Anda buatkan profil autentikasinya.
Tindakan ini akan membuka integrasi di editor integrasi.
Di toolbar editor integrasi, klik (Manage Authentication Profiles).
Halaman Authentication Profiles akan muncul.
Pilih Region untuk profil autentikasi menggunakan menu drop-down di halaman Authentication Profiles.
Klik Delete.

Jenis autentikasi

Jenis autentikasi yang diperlukan untuk menyelesaikan tugas integrasi bergantung pada autentikasi yang dikonfigurasi di server otorisasi. Server otorisasi dapat berupa server mandiri atau API yang memberikan kredensial ke klien yang melakukan panggilan. Integrasi Apigee mendukung jenis autentikasi berikut:

Token Auth
Token ID OIDC Google
Token Web JSON (JWT)
Kode otorisasi OAuth 2.0
Kredensial klien OAuth 2.0
Kredensial sandi pemilik resource OAuth 2.0
Khusus sertifikasi klien SSL/TLS
Service account

Bagian berikut menjelaskan properti konfigurasi jenis otentikasi.

Token Autentikasi

Jenis autentikasi Token autentikasi menggunakan token (kredensial) untuk autentikasi. Kredensial dikirim ke server dalam header permintaan Authorization HTTP dalam format Authorization: TYPE CREDENTIALS. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:

Jenis: Jenis autentikasi, seperti Basic, Bearer, atau MAC.
Token: Kredensial untuk jenis autentikasi.

Jika server autentikasi memerlukan sertifikat SSL/TLS, upload sertifikat tersebut dan kunci pribadi.

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

Token ID OIDC Google

Jenis autentikasi Google OIDC ID Token menggunakan JSON Web Token (JWT) untuk autentikasi. Penyedia Google OpenID Connect (OIDC), accounts.google.com, menandatangani dan mengeluarkan JWT ini untuk autentikasi menggunakan akun layanan. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:

Akun layanan: Akun layanan (utama) di project Google Cloud Anda dengan izin untuk mengakses API Anda.
Catatan: Tetapkan peran IAM Service Account Token Creator ke akun layanan service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com. Untuk mengetahui informasi selengkapnya tentang penetapan peran IAM, lihat Peran dan izin IAM.
Audience: Audience untuk token OIDC (ini mengidentifikasi penerima yang dituju JWT). Misalnya, URL Pemicu adalah audiens untuk tugas Cloud Function.

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

JSON Web Token (JWT)

Jenis autentikasi JWT menggunakan JSON Web Token (JWT) untuk autentikasi. Untuk mengetahui informasi selengkapnya tentang JWT, lihat RFC7519. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:

Header JWT: Algoritme yang digunakan untuk menghasilkan tanda tangan.
Catatan: Anda hanya dapat menentukan algoritma HS256.
Payload JWT: Kumpulan klaim. Anda dapat menggunakan klaim terdaftar, publik, atau khusus.
Rahasia: Kunci bersama antara klien dan server autentikasi.

Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi .

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

Kode otorisasi OAuth 2.0

Jenis autentikasi Kode otorisasi OAuth 2.0 menggunakan token otorisasi OAuth 2.0 untuk autentikasi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:

Endpoint autentikasi: Endpoint ke endpoint autentikasi aplikasi. Anda akan dialihkan ke URL ini untuk meninjau izin akses aplikasi. Token hanya akan dibuat setelah akses diberikan.
Endpoint token: Endpoint yang memberikan atau memperbarui token akses.
Client ID: String unik yang diberikan oleh server autentikasi ke klien yang terdaftar. Client ID bukan rahasia dan diekspos kepada pemilik resource. Gunakan kolom ini bersama dengan rahasia klien.
Secret: Kunci rahasia bersama antara klien (integrasi) dan server autentikasi.
Cakupan: Cakupan token akses. Cakupan memungkinkan Anda menentukan izin akses bagi pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan dengan satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.

Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

Kredensial klien OAuth 2.0

Jenis autentikasi kredensial klien OAuth 2.0 menggunakan token otorisasi OAuth 2.0 untuk autentikasi. Autentikasi ini terlebih dahulu meminta token akses menggunakan kredensial klien, lalu menggunakan token tersebut untuk mengakses resource yang dilindungi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:

Endpoint token: Endpoint yang memberikan atau memperbarui token akses.
Client ID: String unik yang diberikan oleh server autentikasi ke klien yang terdaftar. Client ID bukan rahasia dan diekspos kepada pemilik resource. Gunakan kolom ini bersama dengan rahasia klien.
Secret: Kunci rahasia bersama antara klien (integrasi) dan server autentikasi.
Cakupan: Cakupan token akses. Cakupan memungkinkan Anda menentukan izin akses bagi pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan dengan satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.
Jenis permintaan: Mekanisme pengiriman parameter permintaan ke server autentikasi untuk mengambil token akses. Anda dapat menentukan salah satu jenis permintaan berikut:
- Header encoder: Mengenkode CLIENT ID dan CLIENT SECRET dalam format Base64 dan mengirimkan string yang dienkode di header otorisasi HTTP. Parameter permintaan yang tersisa dikirim dalam isi permintaan HTTP.
- Parameter kueri: Mengirim parameter permintaan dalam string kueri.
- Request body: Mengirim parameter permintaan menggunakan jenis konten application/x-www-form-urlencoded dan charset UTF-8 dalam entity-body permintaan HTTP.
- Belum ditetapkan
Parameter token: Parameter permintaan yang diperlukan untuk mendapatkan token. Tentukan nilai dalam format nilai kunci dengan Key sebagai nama parameter dan Value sebagai nilai parameter yang sesuai.

Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

Kredensial sandi pemilik resource OAuth 2.0

Jenis autentikasi Kredensial sandi pemilik resource OAuth 2.0 menggunakan token otorisasi OAuth 2.0 untuk autentikasi. Autentikasi ini akan meminta token akses terlebih dahulu menggunakan kredensial pemilik resource (Nama Pengguna dan Sandi), lalu menggunakan token tersebut untuk mengakses resource yang dilindungi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut berdasarkan jenis instance yang Anda hubungkan:

Endpoint token: Endpoint yang memberikan atau memperbarui token akses.
Client ID: String unik yang diberikan oleh server autentikasi ke klien yang terdaftar. Client ID bukan rahasia dan diekspos kepada pemilik resource. Gunakan kolom ini bersama dengan rahasia klien.
Secret: Kunci rahasia bersama antara klien (integrasi) dan server autentikasi.
Cakupan: Cakupan token akses. Cakupan memungkinkan Anda menentukan izin akses bagi pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan dengan satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.
Nama pengguna: Nama pengguna pemilik resource.
Sandi: Sandi pengguna.
Jenis permintaan: Mekanisme pengiriman parameter permintaan ke server autentikasi untuk mengambil token akses. Anda dapat menentukan salah satu jenis permintaan berikut:
- Header encoder: Mengenkode CLIENT ID dan CLIENT SECRET dalam format Base64 dan mengirimkan string yang dienkode di header otorisasi HTTP. Mengirim parameter permintaan yang tersisa dalam isi permintaan HTTP.
- Parameter kueri: Mengirim parameter permintaan dalam string kueri.
- Request body: Mengirim parameter permintaan menggunakan jenis konten application/x-www-form-urlencoded dan charset UTF-8 dalam entity-body permintaan HTTP.
Parameter token: Parameter permintaan yang diperlukan untuk mendapatkan token. Tentukan nilai dalam format nilai kunci dengan Key sebagai nama parameter dan Value sebagai nilai parameter yang sesuai.

Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

Khusus sertifikat klien SSL/TLS

Jenis autentikasi khusus sertifikat klien SSL/TLS hanya menggunakan sertifikat SSL/TLS untuk autentikasi. Upload sertifikat dan kunci pribadi yang diperlukan. Untuk mengonfigurasi jenis autentikasi ini, upload file berikut:

Sertifikat SSL: Sertifikat yang dienkode dalam format PEM.
Kunci pribadi: File kunci pribadi sertifikat yang dienkode dalam format PEM.
Jika kunci pribadi memerlukan passphrase, masukkan Frasa sandi kunci pribadi.

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

Akun layanan

Jenis autentikasi Akun layanan menggunakan kredensial akun layanan project Google Cloud untuk autentikasi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:

Akun layanan: Akun layanan (utama) di project Google Cloud Anda dengan izin untuk mengakses API Anda.
Catatan: Tetapkan peran IAM Service Account Token Creator ke akun layanan service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com. Untuk mengetahui informasi selengkapnya tentang penetapan peran IAM, lihat Peran dan izin IAM.
Cakupan: Cakupan izin akses yang diberikan kepada pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan dengan satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.

Untuk mempelajari praktik terbaik dalam membuat dan mengelola akun layanan, baca dokumentasi Praktik terbaik untuk menggunakan akun layanan.

Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.

Untuk mengetahui tugas yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.

Kompatibilitas jenis autentikasi dengan tugas

Tabel berikut mencantumkan jenis autentikasi dan tugas kompatibel terkait. Anda dapat menggunakan informasi ini untuk menentukan jenis autentikasi yang akan digunakan untuk suatu tugas.

Authentication type	Tugas dan pemicu yang kompatibel
Token Auth	Memanggil Endpoint REST
Token ID OIDC Google	Memanggil Endpoint REST Cloud Function
Token Web JSON (JWT)	Memanggil Endpoint REST
Kode otorisasi OAuth 2.0	Memanggil Endpoint REST Menjalankan Apps Script Tugas Cloud Functions
Kredensial klien OAuth 2.0	Memanggil Endpoint REST
Kredensial sandi pemilik resource OAuth 2.0	Memanggil Endpoint REST Pemicu Salesforce
Khusus sertifikat klien SSL/TLS	Memanggil Endpoint REST
Service account	Memanggil Endpoint REST Tugas konektor Tugas Integrasi Panggilan Tugas Cloud Functions

Aturan autentikasi

Jika integrasi Anda memiliki profil OAuth 2.0 dan akun layanan yang dikelola pengguna yang dikonfigurasi, maka secara default profil OAuth 2.0 digunakan untuk autentikasi. Jika profil OAuth 2.0 atau akun layanan yang dikelola pengguna tidak dikonfigurasi, akun layanan default (service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com) akan digunakan. Jika tugas tidak menggunakan akun layanan default, eksekusi akan gagal.