Gestisci profili di autenticazione

Le attività nell'Apigee Integration potrebbero richiedere la connessione a un'applicazione, un servizio o un'origine dati esterni. Un profilo di autenticazione consente di configurare e archiviare i dettagli di autenticazione per la connessione in Apigee Integration. Puoi configurare l'attività in modo che utilizzi il profilo di autenticazione archiviato. La creazione di un profilo di autenticazione è un'attività una tantum e puoi riutilizzare lo stesso profilo in più integrazioni.

Crea ID client OAuth 2.0

Un ID client viene utilizzato per identificare una singola applicazione sui server OAuth di Google. Se l'applicazione viene eseguita su più piattaforme, ognuna avrà bisogno del proprio ID client. Per utilizzare OAuth 2.0 nella tua applicazione, devi disporre di un ID client OAuth 2.0, che l'applicazione utilizza quando richiede un token di accesso OAuth 2.0.

Per creare un ID client OAuth 2.0:

1. Nella console Google Cloud, vai ad API e servizi > Credenziali.

   Vai a Credenziali

2. Fai clic su + Crea credenziali e seleziona ID client OAuth dall'elenco di opzioni disponibili.

   Viene visualizzata la pagina Crea ID client OAuth.

3. Tipo di applicazione: seleziona Web Application (Applicazione web) dall'elenco a discesa.
4. Nome:inserisci un nome per il client OAuth 2.0 in modo da identificarlo nella console Cloud.
5. In URI di reindirizzamento autorizzati, fai clic su + Aggiungi URI e inserisci quanto segue:

   https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION

6. Fai clic su Crea.

   ID client OAuth 2.0 creato.

Crea un nuovo profilo di autenticazione

Per creare un nuovo profilo di autenticazione, segui questi passaggi:

1. Nell'interfaccia utente di Apigee, seleziona la tua organizzazione Apigee.
2. Fai clic su Sviluppa > Integrazioni.
3. Seleziona un'integrazione esistente per la quale vuoi creare il profilo di autenticazione.

   L'integrazione viene aperta nell'editor di integrazione.

4. Nella barra degli strumenti dell'editor di integrazione, fai clic su lock (Gestisci profili di autenticazione).

   Viene visualizzata la pagina Authentication Profiles (Profili di autenticazione).

5. Seleziona una Regione per il profilo di autenticazione utilizzando il menu a discesa nella pagina Profili di autenticazione.
6. Fai clic su Crea e inserisci i seguenti dettagli:
   • Nome del profilo di autenticazione: inserisci il nome del profilo di autenticazione da visualizzare nell'editor di integrazione.
   • Descrizione del profilo di autenticazione: inserisci una descrizione per il profilo di autenticazione.
   • Visibilità del profilo di autenticazione: seleziona una delle seguenti opzioni di visibilità del profilo:
     • Visibile a tutti gli utenti nel client: il profilo di autenticazione creato è disponibile per tutti gli utenti dell'organizzazione.

     • Visibile solo a te: il profilo di autenticazione creato non è visibile agli altri utenti dell'organizzazione.
   • Tipo di autenticazione: seleziona il tipo di autenticazione dall'elenco a discesa e inserisci i dettagli richiesti. In base alla tua selezione, nella finestra di dialogo vengono visualizzati campi aggiuntivi obbligatori per le credenziali di autenticazione. Puoi selezionare uno qualsiasi dei seguenti tipi di autenticazione:
     • Token di autenticazione
     • Token ID OIDC Google
     • Token web JSON (JWT)
     • Codice di autorizzazione OAuth 2.0
     • Credenziali client OAuth 2.0
     • Credenziali della password del proprietario delle risorse OAuth 2.0
     • Solo certificazione client SSL/TLS
     • Account di servizio
7. Fai clic su Salva.

Dopo il salvataggio, il nuovo profilo di autenticazione è disponibile come opzione nel menu a discesa Profilo di autorizzazione all'uso di qualsiasi attività che richieda l'autenticazione.

(Facoltativo) Se non hai creato un profilo di autenticazione prima di configurare un'attività di integrazione, puoi accedere alla finestra di dialogo di creazione del profilo selezionando + Aggiungi nuovo profilo di autenticazione dal menu a discesa Profilo di autorizzazione da utilizzare nel riquadro di configurazione dell'attività. Segui i passaggi precedenti per creare un nuovo profilo di autenticazione.

Modifica profili di autenticazione

Per modificare un profilo di autenticazione, segui questi passaggi:

1. Nell'interfaccia utente di Apigee, seleziona la tua organizzazione Apigee.
2. Fai clic su Sviluppa > Integrazioni.
3. Seleziona un'integrazione esistente per la quale vuoi creare il profilo di autenticazione.

   L'integrazione viene aperta nell'editor di integrazione.

4. Nella barra degli strumenti dell'editor di integrazione, fai clic su lock (Gestisci profili di autenticazione).

   Viene visualizzata la pagina Authentication Profiles (Profili di autenticazione).

5. Seleziona una Regione per il profilo di autenticazione utilizzando il menu a discesa nella pagina Profili di autenticazione.
6. Fai clic su more_vert (menu Azioni) e poi su Modifica.

   Viene visualizzata la finestra di dialogo Authentication Profiles (Profili di autenticazione).

7. Modifica i dettagli e fai clic su Salva.

Elimina profili di autenticazione

Per eliminare un profilo di autenticazione, segui questi passaggi:

1. Nell'interfaccia utente di Apigee, seleziona la tua organizzazione Apigee.
2. Fai clic su Sviluppa > Integrazioni.
3. Seleziona un'integrazione esistente per la quale vuoi creare il profilo di autenticazione.

   L'integrazione viene aperta nell'editor di integrazione.

4. Nella barra degli strumenti dell'editor di integrazione, fai clic su lock (Gestisci profili di autenticazione).

   Viene visualizzata la pagina Authentication Profiles (Profili di autenticazione).

5. Seleziona una Regione per il profilo di autenticazione utilizzando il menu a discesa nella pagina Profili di autenticazione.
6. Fai clic su Elimina.

Tipi di autenticazione

Il tipo di autenticazione richiesto per completare un'attività di integrazione dipende dall'autenticazione configurata nel server di autorizzazione. Il server di autorizzazione può essere un server autonomo o un'API che rilascia credenziali al client chiamante. Apigee Integration supporta i seguenti tipi di autenticazione:

• Token di autenticazione
• Token ID OIDC Google
• Token web JSON (JWT)
• Codice di autorizzazione OAuth 2.0
• Credenziali client OAuth 2.0
• Credenziali della password del proprietario delle risorse OAuth 2.0
• Solo certificazione client SSL/TLS
• Account di servizio

Le seguenti sezioni descrivono le proprietà di configurazione dei tipi di autenticazione.

Token di autenticazione

Il tipo di autenticazione Token di autenticazione utilizza un token (credenziali) per l'autenticazione. Le credenziali vengono inviate al server nell'intestazione della richiesta Authorization HTTP in formato Authorization: TYPE CREDENTIALS. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:

• Tipo: tipo di autenticazione, ad esempio Basic, Bearer o MAC.
• Token: credenziali per il tipo di autenticazione.

Se il server di autenticazione richiede un certificato SSL/TLS, carica il certificato e la chiave privata.

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

Token ID OIDC Google

Il tipo di autenticazione Google OIDC ID Token utilizza JWT (JSON Web Tokens) per l'autenticazione. Il provider Google OpenID Connect (OIDC), accounts.google.com, firma e rilascia questi JWT per l'autenticazione mediante un account di servizio. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:

• Account di servizio: account di servizio (entità) nel progetto Google Cloud con l'autorizzazione ad accedere all'API.
• Pubblico: il segmento di pubblico del token OIDC (identifica i destinatari a cui è destinato il JWT). Ad esempio, URL trigger è il segmento di pubblico per l'attività funzione Cloud Functions Functions.

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

JSON Web Token (JWT)

Il tipo di autenticazione JWT utilizza JWT (JSON Web Token) per l'autenticazione. Per ulteriori informazioni su JWT, consulta RFC7519. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:

• Intestazione JWT: algoritmo utilizzato per generare la firma.

  Nota: puoi specificare solo l'algoritmo HS256.

• Payload JWT: un insieme di attestazioni. Puoi utilizzare rivendicazioni registrate, pubbliche o personalizzate.
• Secret: chiave condivisa tra il client e il server di autenticazione.

Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando il selettore file. Inserisci la passphrase della chiave privata .

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

Codice di autorizzazione OAuth 2.0

Il tipo di autenticazione Codice di autorizzazione OAuth 2.0 utilizza un token di autorizzazione OAuth 2.0 per l'autenticazione. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:

• Endpoint di autenticazione: endpoint dell'endpoint di autenticazione dell'applicazione. Si aprirà questo URL per esaminare le autorizzazioni di accesso per l'applicazione. Il token verrà generato solo dopo aver concesso l'accesso.
• Endpoint token: endpoint che concede o aggiorna il token di accesso.
• ID client: una stringa univoca fornita dal server di autenticazione al client registrato. L'ID client non è un secret ed è esposto al proprietario della risorsa. Utilizza questo campo insieme a un client secret.
• Secret: chiave segreta condivisa tra il client (integrazione) e il server di autenticazione.
• Ambiti: l'ambito del token di accesso. Gli ambiti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per maggiori informazioni, consulta Ambiti OAuth 2.0 per API di Google.

Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando il selettore file. Inserisci la passphrase della chiave privata nel campo disponibile, se richiesto.

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

Credenziali client OAuth 2.0

Il tipo di autenticazione Credenziali client OAuth 2.0 utilizza un token di autorizzazione OAuth 2.0 per l'autenticazione. Questa autenticazione richiede prima un token di accesso utilizzando le credenziali del client, quindi utilizza il token per accedere alle risorse protette. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:

• Endpoint token: endpoint che concede o aggiorna il token di accesso.
• ID client: una stringa univoca fornita dal server di autenticazione al client registrato. L'ID client non è un secret ed è esposto al proprietario della risorsa. Utilizza questo campo insieme a un client secret.
• Secret: chiave segreta condivisa tra il client (integrazione) e il server di autenticazione.
• Ambiti: l'ambito del token di accesso. Gli ambiti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per maggiori informazioni, consulta Ambiti OAuth 2.0 per API di Google.
• Tipi di richieste: meccanismi per inviare i parametri della richiesta al server di autenticazione per il recupero del token di accesso. Puoi specificare uno qualsiasi dei seguenti tipi di richiesta:
  • Intestazione codificatore: codifica CLIENT ID e CLIENT SECRET in formato Base64 e invia la stringa codificata nell'intestazione di autorizzazione HTTP. I restanti parametri della richiesta vengono inviati nel corpo della richiesta HTTP.
  • Parametri di ricerca: invia i parametri della richiesta in una stringa di query.
  • Corpo della richiesta: invia i parametri della richiesta utilizzando il tipo di contenuti application/x-www-form-urlencoded e il set di caratteri UTF-8 nella sezione entity-body della richiesta HTTP.
  • Non specificato
• Parametri token: i parametri di richiesta necessari per ricevere il token. Specifica i valori nel formato chiave-valore, dove Key è il nome del parametro e Value è il valore parametro corrispondente.

Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando il selettore file. Inserisci la passphrase della chiave privata nel campo disponibile, se richiesto.

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

Credenziali della password del proprietario delle risorse OAuth 2.0

Il tipo di autenticazione Credenziali della password del proprietario delle risorse OAuth 2.0 utilizza un token di autorizzazione OAuth 2.0 per l'autenticazione. Questa autenticazione richiede prima un token di accesso utilizzando le credenziali del proprietario della risorsa (nome utente e password), quindi utilizza il token per accedere alle risorse protette. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà in base al tipo di istanza a cui ti connetti:

• Endpoint token: endpoint che concede o aggiorna il token di accesso.
• ID client: una stringa univoca fornita dal server di autenticazione al client registrato. L'ID client non è un secret ed è esposto al proprietario della risorsa. Utilizza questo campo insieme a un client secret.
• Secret: chiave segreta condivisa tra il client (integrazione) e il server di autenticazione.
• Ambiti: l'ambito del token di accesso. Gli ambiti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per maggiori informazioni, consulta Ambiti OAuth 2.0 per API di Google.
• Nome utente: nome utente del proprietario della risorsa.
• Password: la password dell'utente.
• Tipi di richieste: meccanismi per inviare i parametri della richiesta al server di autenticazione per il recupero del token di accesso. Puoi specificare uno qualsiasi dei seguenti tipi di richiesta:
  • Intestazione codificatore: codifica CLIENT ID e CLIENT SECRET in formato Base64 e invia la stringa codificata nell'intestazione di autorizzazione HTTP. Invia i restanti parametri della richiesta nel corpo della richiesta HTTP.
  • Parametri di ricerca: invia i parametri della richiesta in una stringa di query.
  • Corpo della richiesta: invia i parametri della richiesta utilizzando il tipo di contenuti application/x-www-form-urlencoded e il set di caratteri UTF-8 nella sezione entity-body della richiesta HTTP.
• Parametri token: i parametri di richiesta necessari per ricevere il token. Specifica i valori nel formato chiave-valore, dove Key è il nome del parametro e Value è il valore parametro corrispondente.

Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando il selettore file. Inserisci la passphrase della chiave privata nel campo disponibile, se richiesto.

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

Solo certificato client SSL/TLS

Il tipo di autenticazione Solo certificato client SSL/TLS utilizza solo il certificato SSL/TLS per l'autenticazione. Carica il certificato richiesto e la chiave privata. Per configurare questo tipo di autenticazione, carica i seguenti file:

• Certificato SSL: certificato codificato in formato PEM.
• Chiave privata: file della chiave privata del certificato codificato in formato PEM.

  Se la chiave privata richiede un passphrase, inserisci la passphrase della chiave privata.

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

Account di servizio

Il tipo di autenticazione Account di servizio utilizza le credenziali dell'account di servizio di un progetto Google Cloud per l'autenticazione. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:

• Account di servizio: account di servizio (entità) nel progetto Google Cloud con l'autorizzazione ad accedere all'API.
• Ambiti: l'ambito delle autorizzazioni di accesso concesse agli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per saperne di più, consulta la pagina Ambiti OAuth 2.0 per le API di Google.

Per conoscere le best practice per la creazione e la gestione degli account di servizio, leggi la documentazione relativa alle best practice per l'utilizzo degli account di servizio.

Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando il selettore file. Inserisci la passphrase della chiave privata nel campo disponibile, se richiesto.

Per scoprire quali attività supportano questo tipo di autenticazione, vedi Compatibilità dei tipi di autenticazione con le attività.

Compatibilità dei tipi di autenticazione con le attività

Nella tabella seguente sono elencati i tipi di autenticazione e le attività compatibili corrispondenti. Puoi utilizzare queste informazioni per decidere quale tipo di autenticazione utilizzare per un'attività.

Tipo di autenticazione	Attività e trigger compatibili
Token di autenticazione	Chiama endpoint REST
Token ID OIDC Google	Chiama endpoint REST funzione Cloud Functions Functions
Token web JSON (JWT)	Chiama endpoint REST
Codice di autorizzazione OAuth 2.0	Chiama endpoint REST Esegui Apps Script Attività Cloud Functions
Credenziali client OAuth 2.0	Chiama endpoint REST
Credenziali della password del proprietario delle risorse OAuth 2.0	Chiama endpoint REST Attivazione Salesforce
Solo certificato client SSL/TLS	Chiama endpoint REST
Account di servizio	Chiama endpoint REST Attività dei connettori Attività di integrazione delle chiamate Attività Cloud Functions

Regola di autenticazione

Se nell'integrazione sono configurati sia un profilo OAuth 2.0 sia un account di servizio gestito dall'utente, per l'autenticazione viene utilizzato per impostazione predefinita il profilo OAuth 2.0. Se non è configurato né il profilo OAuth 2.0 né un account di servizio gestito dall'utente, viene utilizzato l'account di servizio predefinito (service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com). Se l'attività non utilizza l'account di servizio predefinito, l'esecuzione non va a buon fine.