Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questo argomento spiega come configurare ed eseguire il deployment di un proxy API configurato per utilizzare l'autenticazione Google.
Introduzione
Apigee supporta l'utilizzo dei token OAuth di Google o dei token di OpenID Connect per l'autenticazione con servizi Google come Cloud Logging e Secret Manager e i servizi personalizzati in esecuzione su determinati prodotti Google Cloud come Cloud Functions e Cloud Run.
Per utilizzare questa funzionalità, devi configurare l'elemento XML <Authentication> in uno dei seguenti contesti:
- Norme di ServiceCallout
- Norme sui callout esterni
- Configurazioni TargetEndpoint
Dopo aver completato alcuni passaggi di configurazione di base (come descritto in questo argomento), Apigee esegue la generazione del token ed effettua chiamate sicure a servizi Google mirati o a servizi ospitati personalizzati per te, senza dover impostare manualmente le intestazioni di autenticazione o modificare in altro modo una richiesta di servizio. Dal punto di vista di uno sviluppatore di API, il processo di chiamata dei servizi Google dall'interno di un proxy API configurato correttamente viene gestito senza problemi.
Opzioni di configurazione del proxy API
Questa sezione spiega dove puoi utilizzare l'elemento XML <Authentication> per abilitare l'autenticazione tramite token Google OAuth o OpenID Connect:
| Opzione di configurazione | Descrizione |
|---|---|
| Norme di ServiceCallout | Il criterio Callout di servizio consente di chiamare altri servizi interni o esterni da un proxy API. Ad esempio, puoi utilizzare ServiceCallout per chiamare servizi Google esterni o servizi ospitati personalizzati. Per dettagli ed esempi di utilizzo, consulta le norme relative ai callout di servizio. |
| Norme sui callout esterni | Il criterio ExternalCallout consente di inviare richieste gRPC al server gRPC per implementare un comportamento personalizzato non supportato dai criteri di Apigee. Per dettagli ed esempi di utilizzo, consulta le norme sui callout esterni. |
| TargetEndpoint | Specifica un servizio Google o un servizio ospitato personalizzato come endpoint di destinazione del proxy API. Per dettagli ed esempi di utilizzo, vedi Riferimento per la configurazione del proxy API. |
Contesti supportati dal token di autenticazione Google
L'elemento <Authentication> ha due configurazioni di elementi secondari:
<GoogleAccessToken> o <GoogleIDToken>. La seguente tabella mostra i contesti in cui sono supportati questi elementi:
| Utilizzato in | GoogleAccessToken | GoogleIDToken |
|---|---|---|
| Norme relative ai callout di servizio | Supportato | Supportato |
| Norme sui callout esterni | Funzionalità non supportata | Supportato |
| TargetEndpoint | Supportato | Supportato |
Procedura di deployment
Questa sezione spiega come eseguire il deployment di un proxy API che utilizza l'autenticazione Google per chiamare servizi Google mirati o servizi in hosting personalizzati. Spieghiamo i passaggi di deployment per Apigee e Apigee hybrid separatamente.
Esegui il deployment su Apigee
I passaggi seguenti spiegano come eseguire il deployment di un proxy API su Apigee, dove il proxy è configurato per effettuare chiamate autenticate ai servizi Google o ai servizi ospitati personalizzati. I passaggi presuppongono che tu abbia già creato il proxy e che includa un elemento <Authentication> in uno dei contesti supportati elencati.
- Crea un account di servizio Google nello stesso progetto Google Cloud in cui è stata creata l'organizzazione Apigee. Devi fornire il nome di questo account di servizio quando esegui il deployment di un proxy API configurato per utilizzare l'autenticazione Google. I token OAuth generati rappresenteranno l'account di servizio.
Puoi creare l'account di servizio nella console Google Cloud o con il comando
gcloud. Vedi Creazione e gestione degli account di servizio. - Assegna all'utente che eseguirà il deployment (l'autore del deployment) l'autorizzazione
iam.serviceAccounts.actAsper l'account di servizio. Vedi anche Informazioni sulle autorizzazioni dell'account di servizio.gcloud iam service-accounts add-iam-policy-binding \ SA_NAME@PROJECT_ID.iam.gserviceaccount.com \ --member="MEMBER" \ --role="roles/iam.serviceAccountUser"
- PROJECT_ID: l'ID progetto. L'ID è uguale al nome della tua organizzazione.
- SA_NAME: il nome che hai fornito al momento della creazione dell'account di servizio.
- MEMBER: membro per cui aggiungere l'associazione. Deve essere nel formato
user|group|serviceAccount:emailodomain:domain. - Concedi all'account di servizio le autorizzazioni necessarie per comunicare con i servizi Google scelti come target. Ad esempio, se vuoi chiamare il servizio Google Logging, questo account di servizio deve includere le autorizzazioni richieste per comunicare con il servizio. Vedi anche Informazioni sui ruoli.
- Prima di eseguire il deployment di un proxy API configurato per l'utilizzo dell'autenticazione Google, devi disporre di:
- Il nome dell'account di servizio creato in precedenza. Ad esempio:
SA_NAME@PROJECT_ID.iam.gserviceaccount.com - In qualità di utente che esegue il deployment (l'autore del deployment), devi già avere o ricevere l'autorizzazione
iam.serviceAccounts.actAsper l'account di servizio. Vedi Concessione, modifica e revoca dell'accesso alle risorse.
- Il nome dell'account di servizio creato in precedenza. Ad esempio:
- Esegui il deployment del proxy API contenente la configurazione dell'autenticazione di Google implementata. Puoi utilizzare l'interfaccia utente o l'API Apigee per eseguire il deployment del proxy. Per scoprire di più, consulta Eseguire il deployment di un proxy API.
- Se utilizzi l'interfaccia utente, ti viene chiesto di fornire un nome per l'account di servizio. Utilizza il nome dell'account di servizio proxy che hai creato nel passaggio 1. Ad esempio:
SA_NAME@PROJECT_ID.iam.gserviceaccount.com.
- Se preferisci eseguire il deployment del proxy utilizzando l'API di deployment Apigee, ecco un comando cURL di esempio che puoi utilizzare. Tieni presente che il comando include il nome di un account di servizio come parametro di query. Questo è il nome dell'account di servizio che hai creato nel passaggio 1:
curl -H "Authorization: Bearer $TOKEN" \ "https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/apis/apiproxy/revisions/2/deployments?serviceAccount=SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \ -H "Content-Type: application/json" -X POST
Dove:
TOKEN: un token OAuth che devi ottenere in cambio delle tue credenziali Google. Per maggiori dettagli, vedi Ottenere un token di accesso per OAuth 2.0.ORG_NAME: nome della tua organizzazione Apigee.ENV_NAME: il nome dell'ambiente in cui eseguire il deployment del proxy API.SA_NAME: il nome che hai fornito al momento della creazione dell'account di servizio.PROJECT_ID: l'ID progetto Google Cloud (uguale al nome dell'organizzazione).
- Se utilizzi l'interfaccia utente, ti viene chiesto di fornire un nome per l'account di servizio. Utilizza il nome dell'account di servizio proxy che hai creato nel passaggio 1. Ad esempio:
- Al termine del deployment, testa il proxy API per assicurarti che il servizio Google restituisca la risposta prevista.
Dove:
Esegui il deployment su Apigee hybrid
I passaggi seguenti spiegano come eseguire il deployment in Apigee hybrid un proxy API configurato per effettuare chiamate autenticate ai servizi Google.
I passaggi presuppongono che tu abbia già creato il proxy e che includa un elemento <Authentication> in uno dei contesti supportati elencati.
- Crea un account di servizio e una chiave per il componente Apigee ibrido per runtime utilizzando uno dei seguenti metodi:
- Utilizza lo strumento
create-service-accountfornito con Apigee hybrid per creare un account di servizioapigee-runtime. Lo strumento crea l'account di servizio e restituisce una chiave dell'account di servizio. Per maggiori dettagli, vedi create-service-account. - Crea l'account di servizio nella console Google Cloud o con il comando
gcloud. Vedi Creazione e gestione degli account di servizio. Per recuperare la chiave dell'account di servizio, consulta Creazione e gestione delle chiavi degli account di servizio.
- Utilizza lo strumento
- Apri il file
overrides.yamle specifica il percorso del file della chiave dell'account di servizio per ogni ambiente che richiede funzionalità di autenticazione di Google:envs: - name: "ENVIRONMENT_NAME" serviceAccountPaths: runtime: "KEY_FILE_PATH"Ad esempio:
envs: - name: "test" serviceAccountPaths: runtime: "./service_accounts/my_runtime_sa.json" - Applica il file di override al cluster utilizzando apigeectl apply.
- Crea un secondo account di servizio, da noi chiamato account di servizio proxy. Questo account di servizio deve essere nello stesso progetto Google Cloud che hai utilizzato per creare la tua organizzazione Apigee. Devi fornire l'indirizzo email di questo account di servizio quando esegui il deployment di un proxy API configurato per utilizzare l'autenticazione Google. I token OAuth generati rappresenteranno l'account di servizio.
- Assegna all'utente che eseguirà il deployment (l'autore del deployment) l'autorizzazione
iam.serviceAccounts.actAsper l'account di servizio. Vedi anche Informazioni sulle autorizzazioni dell'account di servizio.gcloud iam service-accounts add-iam-policy-binding \ SA_NAME@PROJECT_ID.iam.gserviceaccount.com \ --member="MEMBER" \ --role="roles/iam.serviceAccountUser"
- PROJECT_ID: l'ID progetto. L'ID è uguale al nome della tua organizzazione.
- SA_NAME: il nome che hai fornito al momento della creazione dell'account di servizio.
- MEMBER: membro per cui aggiungere l'associazione. Il formato deve essere utente|gruppo|serviceAccount:email o dominio:dominio.
- Concedi all'account di servizio proxy le autorizzazioni necessarie per comunicare con i servizi Google scelti come target. Ad esempio, se vuoi chiamare il servizio Google Logging, questo account di servizio deve includere le autorizzazioni richieste per comunicare con il servizio. Vedi anche Informazioni sui ruoli.
- Assicurati che il runtime sia in grado di impersonare l'account di servizio proxy. Per fornire questa possibilità, concedi all'account di servizio di runtime il ruolo
iam.serviceAccountTokenCreatorsull'account di servizio proxy. Vedi anche Informazioni sulle autorizzazioni degli account di servizio. Ad esempio:gcloud iam service-accounts add-iam-policy-binding \ PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com \ --member=serviceAccount:RUNTIME_SA_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
Dove:
- PROJECT_ID: l'ID progetto. L'ID è uguale al nome della tua organizzazione. Tieni presente che non hai dovuto utilizzare il progetto associato alla tua organizzazione per creare l'account di servizio di runtime. Assicurati di utilizzare gli ID progetto corretti in questo comando.
- PROXY_SA_NAME: l'ID dell'account di servizio proxy.
- RUNTIME_SA_NAME: l'ID dell'account di servizio runtime.
- Prima di eseguire il deployment di un proxy API configurato per l'utilizzo dell'autenticazione Google, devi disporre di:
- Il nome dell'account di servizio proxy che hai creato in precedenza. Ad esempio:
PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com - In qualità di utente che esegue il deployment, devi già avere o ricevere l'autorizzazione
iam.serviceAccounts.actAsnel progetto Google Cloud in cui viene eseguito il provisioning dell'organizzazione Apigee. Vedi Concessione, modifica e revoca dell'accesso alle risorse.
- Il nome dell'account di servizio proxy che hai creato in precedenza. Ad esempio:
- Esegui il deployment del proxy API contenente la configurazione dell'autenticazione di Google implementata. Puoi utilizzare l'interfaccia utente o l'API Apigee per eseguire il deployment del proxy. Per scoprire di più, consulta Eseguire il deployment di un proxy API.
- Se utilizzi l'interfaccia utente, ti viene chiesto di fornire un nome per l'account di servizio. Utilizza il nome dell'account di servizio proxy che hai creato in precedenza. Ad esempio:
PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com. - Se preferisci eseguire il deployment del proxy utilizzando l'API di deployment Apigee, ecco un comando cURL di esempio che puoi utilizzare. Tieni presente che il comando include il nome di un account di servizio come parametro di query. Questo è il nome dell'account di servizio proxy:
curl -H "Authorization: Bearer $TOKEN" \ "https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/apis/apiproxy/revisions/2/deployments?serviceAccount=PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \ -H "Content-Type: application/json" -X POST
Dove:
TOKEN: un token OAuth che devi ottenere in cambio delle tue credenziali Google. Per maggiori dettagli, vedi Ottenere un token di accesso per OAuth 2.0.ORG_NAME: nome della tua organizzazione Apigee.ENV_NAME: il nome dell'ambiente in cui eseguire il deployment del proxy API.PROXY_SA_NAME: il nome dell'account di servizio proxy.PROJECT_ID: l'ID progetto Google Cloud (uguale al nome dell'organizzazione).
- Se utilizzi l'interfaccia utente, ti viene chiesto di fornire un nome per l'account di servizio. Utilizza il nome dell'account di servizio proxy che hai creato in precedenza. Ad esempio:
- Al termine del deployment, testa il proxy API per assicurarti che il servizio Google restituisca la risposta prevista.
Dove:
Informazioni sulle autorizzazioni degli account di servizio
Per configurare un proxy API in modo che utilizzi l'autenticazione Google, devi creare un account di servizio come descritto nella tabella seguente. Vedi anche Creazione e gestione degli account di servizio.
| Account di servizio | Obbligatorio per | Descrizione |
|---|---|---|
| Proxy | Apigee e Apigee hybrid | Dispone delle autorizzazioni necessarie a un proxy API per effettuare chiamate autenticate ai servizi Google mirati.
|
| Runtime | Solo Apigee hybrid | Consente al runtime Apigee di generare token per l'autenticazione sui servizi Google richiesti da un proxy API. Questo account di servizio "si assume" l'account di servizio specifico del proxy per effettuare chiamate autenticate per suo conto.
|