Gerenciar perfis de autenticação

As tarefas na integração da Apigee exigem conexão com um aplicativo, serviço ou fonte de dados externo. Um perfil de autenticação permite configurar e armazenar os detalhes de autenticação da conexão na integração da Apigee. É possível configurar a tarefa para usar o perfil de autenticação armazenado. Um perfil de autenticação é criado apenas uma vez, e é possível reutilizar o mesmo perfil em várias integrações.

Crie um ID do cliente OAuth 2.0

Um ID do cliente é usado para identificar um único aplicativo nos servidores OAuth do Google. Caso seu aplicativo seja executado em várias plataformas, cada uma precisará de seu próprio ID do cliente. Para usar o OAuth 2.0 no seu aplicativo, você precisa de um ID do cliente OAuth 2.0, que o aplicativo usa para solicitar um token de acesso OAuth 2.0.

Para criar um ID do cliente OAuth 2.0, siga estas etapas:

1. No Console do Google Cloud, acesse APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em + Criar credenciais e selecione ID do cliente OAuth na lista de opções disponíveis.

   A página Criar ID do cliente OAuth é exibida.

3. Tipo de aplicativo: selecione Aplicativo da Web na lista suspensa.
4. Nome: insira um nome para seu cliente OAuth 2.0 para identificar o cliente no Console do Cloud.
5. Em URIs de redirecionamento autorizados, clique em +Adicionar URI e insira o seguinte:

   https://apigee.google.com/organizations/GOOGLE_CLOUD_PROJECT_NAME/integrations/callback/locations/AUTH_PROFILE_REGION

6. Clique em Criar.

   Um ID do cliente OAuth 2.0 foi criado.

Criar um novo perfil de autenticação

Para criar um novo perfil de autenticação, siga estas etapas:

1. Na IU da Apigee, selecione sua organização da Apigee.
2. Clique em Desenvolver > Integrações.
3. Selecione uma integração atual para a qual você quer criar o perfil de autenticação.

   Isso abre a integração na página do editor de integração.

4. Na barra de ferramentas do designer de integração, clique em lock (Gerenciar perfis de autenticação).

   A página Perfis de autenticação é exibida.

5. Selecione uma Região para o perfil de autenticação usando o menu suspenso na página Perfis de autenticação.
6. Clique em Criar e digite os seguintes detalhes:
   • Nome do perfil de autenticação: insira o nome do perfil de autenticação que será exibido no designer de integração.
   • Descrição do perfil de autenticação: digite uma descrição para o perfil de autenticação.
   • Visibilidade do perfil de autenticação: selecione uma das seguintes opções de visibilidade do perfil:
     • Visível para todos os usuários no cliente: o perfil de autenticação criado está disponível para todos os usuários na organização.

     • Visível apenas para você: o perfil de autenticação criado não fica visível a nenhum outro usuário da organização.
   • Tipo de autenticação: selecione o tipo de autenticação na lista suspensa e insira os detalhes necessários. Com base na seleção, a caixa de diálogo exibe campos adicionais obrigatórios para as credenciais de autenticação. É possível selecionar qualquer um dos seguintes tipos de autenticação:
     • Token de autenticação
     • Token de ID do OIDC do Google
     • JSON Web Token (JWT)
     • Código de autorização OAuth 2.0
     • Credenciais do cliente OAuth 2.0
     • Credenciais de senha do proprietário do recurso OAuth 2.0
     • Apenas para certificado de cliente SSL/TLS
     • Conta de serviço
7. Clique em Save.

Depois de salvar, o novo perfil de autenticação estará disponível como uma opção no menu suspenso Perfil de autorização a ser usado de qualquer tarefa que exija autenticação.

Opcional. Se você não tiver criado um perfil de autenticação antes de configurar uma tarefa de integração, será possível acessar a caixa de diálogo de criação de perfil selecionando + Adicionar novo perfil de autenticação na lista suspensa Perfil de autorização a ser usado no painel de configurações da tarefa. Siga as etapas anteriores para criar um novo perfil de autenticação.

Editar perfis de autenticação

Para editar um perfil de autenticação, siga estas etapas:

1. Na interface da Apigee, selecione sua organização da Apigee.
2. Clique em Desenvolver > Integrações.
3. Selecione uma integração atual para a qual você quer criar o perfil de autenticação.

   Isso abre a integração na página do editor de integração.

4. Na barra de ferramentas do designer de integração, clique em lock (Gerenciar perfis de autenticação).

   A página Perfis de autenticação é exibida.

5. Selecione uma Região para o perfil de autenticação usando o menu suspenso na página Perfis de autenticação.
6. Clique em more_vert (Menu de ações) e em Editar.

   A caixa de diálogo Authentication Profiles vai aparecer.

7. Edite os detalhes e clique em Salvar.

Excluir perfis de autenticação

Para excluir um perfil de autenticação, siga estas etapas:

1. Na interface da Apigee, selecione sua organização da Apigee.
2. Clique em Desenvolver > Integrações.
3. Selecione uma integração atual para a qual você quer criar o perfil de autenticação.

   Isso abre a integração na página do editor de integração.

4. Na barra de ferramentas do designer de integração, clique em lock (Gerenciar perfis de autenticação).

   A página Perfis de autenticação é exibida.

5. Selecione uma Região para o perfil de autenticação usando o menu suspenso na página Perfis de autenticação.
6. Clique em Excluir.

Tipos de autenticação

O tipo de autenticação necessário para concluir uma tarefa de integração depende da autenticação configurada no servidor de autorização. O servidor de autorização pode ser um servidor independente ou uma API que emite credenciais para o cliente que faz a chamada. A integração com a Apigee é compatível com os seguintes tipos de autenticação:

• Token de autenticação
• Token de ID do OIDC do Google
• JSON Web Token (JWT)
• Código de autorização OAuth 2.0
• Credenciais do cliente OAuth 2.0
• Credenciais de senha do proprietário do recurso OAuth 2.0
• Apenas para certificado de cliente SSL/TLS
• Conta de serviço

As seções a seguir descrevem as propriedades de configuração dos tipos de autenticação.

Token de autenticação

O tipo de autenticação Token de autenticação usa um token (credenciais) para autenticação. As credenciais são enviadas ao servidor no cabeçalho da solicitação HTTP Authorization no formato Authorization: TYPE CREDENTIALS. Para configurar esse tipo de autenticação, defina as seguintes propriedades:

• Tipo: tipo de autenticação, como Basic, Bearer ou MAC.
• Token: credenciais para o tipo de autenticação.

Se o servidor de autenticação exigir um certificado SSL/TLS, faça upload do certificado e da chave privada.

Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

Token de ID do OIDC do Google

O tipo de autenticação do token de ID do OIDC do Google usa JSON Web Tokens (JWT) para autenticação. O provedor OpenID Connect (OIDC) do Google, accounts.google.com, assina e emite esses JWTs para autenticação usando uma conta de serviço. Para configurar esse tipo de autenticação, defina as seguintes propriedades:

• Conta de serviço: conta de serviço (principal) no seu projeto do Google Cloud com permissão para acessar sua API.
• Público-alvo: o público-alvo do token OIDC (identifica os destinatários a que o JWT se destina). Por exemplo, URL do acionador é o público-alvo da tarefa Cloud Functions.

Para descobrir quais tarefas são compatíveis com esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

JSON Web Token (JWT)

O tipo de autenticação JWT usa o JSON Web Token (JWT) para autenticação. Para mais informações sobre o JWT, consulte RFC7519. Para configurar esse tipo de autenticação, defina as seguintes propriedades

• Cabeçalho JWT: algoritmo para gerar a assinatura.

  Observação: é possível especificar apenas o algoritmo HS256.

• Payload JWT: um conjunto de declarações. É possível usar declarações registradas, públicas ou personalizadas.
• Secret: chave compartilhada entre o cliente e o servidor de autenticação.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada.

Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

Código de autorização OAuth 2.0

O tipo de autenticação código de autorização do OAuth 2.0 usa um token de autorização OAuth 2.0 para autenticação. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Endpoint de autenticação: endpoint para o endpoint de autenticação do aplicativo. Você será redirecionado a esse URL para revisar as permissões de acesso do aplicativo. O token será gerado somente após a concessão do acesso.
• Endpoint do token: endpoint que concede ou atualiza o token de acesso.
• ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
• Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
• Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

Credenciais do cliente OAuth 2.0

O tipo de autenticação credenciais de cliente do OAuth 2.0 usa um token de autorização OAuth 2.0 para autenticação. Essa autenticação solicita um token de acesso usando as credenciais do cliente e depois usa o token para acessar os recursos protegidos. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Endpoint do token: endpoint que concede ou atualiza o token de acesso.
• ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
• Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
• Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
• Tipos de solicitação: mecanismos para enviar os parâmetros da solicitação ao servidor de autenticação para buscar o token de acesso. É possível especificar qualquer um dos tipos de solicitação a seguir:
  • Cabeçalho do codificador: codifica o CLIENT ID e o CLIENT SECRET no formato Base64 e envia a string codificada no cabeçalho de autorização HTTP. Os parâmetros de solicitação restantes são enviados no corpo da solicitação HTTP.
  • Parâmetros de consulta: envia os parâmetros de solicitação em uma string de consulta.
  • Corpo da solicitação: envia os parâmetros da solicitação usando o tipo de conteúdo application/x-www-form-urlencoded e o conjunto de caracteres UTF-8 no entity-body da solicitação HTTP.
  • Não especificado
• Parâmetros de token: parâmetros de solicitação necessários para receber o token. Especifique os valores no formato de chave-valor, em que Key é o nome do parâmetro e Value é o valor do parâmetro correspondente.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

Credenciais de senha do proprietário do recurso OAuth 2.0

O tipo de autenticação credenciais de senha de proprietário do recurso OAuth 2.0 usa um token de autorização OAuth 2.0 para autenticação. Essa autenticação solicita um token de acesso usando as credenciais de proprietário do recurso (nome de usuário e senha) e depois usa o token para acessar os recursos protegidos. Para configurar esse tipo de autenticação, defina as seguintes propriedades com base no tipo de instância a que você se conecta:

• Endpoint do token: endpoint que concede ou atualiza o token de acesso.
• ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
• Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
• Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
• Nome de usuário: nome de usuário do proprietário do recurso.
• Senha: senha do usuário.
• Tipos de solicitação: mecanismos para enviar os parâmetros da solicitação ao servidor de autenticação para buscar o token de acesso. É possível especificar qualquer um dos tipos de solicitação a seguir:
  • Cabeçalho do codificador: codifica o CLIENT ID e o CLIENT SECRET no formato Base64 e envia a string codificada no cabeçalho de autorização HTTP. Envia os parâmetros de solicitação restantes no corpo da solicitação HTTP.
  • Parâmetros de consulta: envia os parâmetros de solicitação em uma string de consulta.
  • Corpo da solicitação: envia os parâmetros da solicitação usando o tipo de conteúdo application/x-www-form-urlencoded e o conjunto de caracteres UTF-8 no entity-body da solicitação HTTP.
• Parâmetros de token: parâmetros de solicitação necessários para receber o token. Especifique os valores no formato de chave-valor, em que Key é o nome do parâmetro e Value é o valor do parâmetro correspondente.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

Somente certificado do cliente SSL/TLS

O tipo de autenticação Certificado do cliente SSL/TLS usa apenas o certificado SSL/TLS para autenticação. Faça upload do certificado necessário e da chave privada. Para configurar esse tipo de autenticação, faça o upload dos seguintes arquivos:

• Certificado SSL: certificado codificado no formato PEM.
• Chave privada: arquivo de chave privada do certificado codificado no formato PEM.

  Se a chave privada exigir uma passphrase, digite a Senha longa da chave privada.

Para descobrir quais tarefas são compatíveis com esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

Conta de serviço

O tipo de autenticação Conta de serviço usa as credenciais de uma conta de serviço do projeto do Google Cloud para autenticação. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Conta de serviço: conta de serviço (principal) no seu projeto do Google Cloud com permissão para acessar sua API.
• Escopo(s): escopo das permissões de acesso dos usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.

Para saber mais sobre as práticas recomendadas para criar e gerenciar contas de serviço, leia a documentação Práticas recomendadas para trabalhar com contas de serviço.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Para descobrir quais tarefas aceitam esse tipo de autenticação, consulte Compatibilidade de tipos de autenticação com tarefas.

Compatibilidade dos tipos de autenticação com tarefas

A tabela a seguir mostra os tipos de autenticação e as tarefas compatíveis correspondentes. Use essas informações para decidir qual tipo de autenticação usar para uma tarefa.

Tipo de autenticação	Tarefas e gatilhos compatíveis
Token de autenticação	Chamar endpoints REST
Token de ID do OIDC do Google	Chamar endpoints REST Função do Cloud
JSON Web Token (JWT)	Chamar endpoints REST
Código de autorização OAuth 2.0	Chamar endpoints REST Executar o Apps Script Tarefa do Cloud Functions
Credenciais do cliente OAuth 2.0	Chamar endpoints REST
Credenciais de senha do proprietário do recurso OAuth 2.0	Chamar endpoints REST Gatilho do Salesforce
Somente certificado do cliente SSL/TLS	Chamar endpoints REST
Conta de serviço	Chamar endpoints REST Tarefa do Conectores Tarefa "Chamar integração" Tarefa do Cloud Functions

Regra de autenticação

Se a integração tiver um perfil OAuth 2.0 e uma conta de serviço gerenciada pelo usuário configurados, o perfil OAuth 2.0 será usado para a autenticação por padrão. Se nem o perfil do OAuth 2.0 nem a conta de serviço gerenciada pelo usuário estiverem configurados, a conta de serviço padrão (service-PROJECT_NUMBER@gcp-sa-apigee.iam.gserviceaccount.com) será usada. Se a tarefa não usar a conta de serviço padrão, a execução falhará.