Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan autentikasi Google

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat dokumentasi Apigee Edge.

Topik ini menjelaskan cara menyiapkan dan men-deploy proxy API yang dikonfigurasi untuk menggunakan autentikasi Google.

Pengantar

Apigee mendukung penggunaan token OAuth Google atau token OpenID Connect untuk mengautentikasi dengan layanan Google seperti Cloud Logging dan Secret Manager serta layanan kustom yang berjalan di produk Google Cloud tertentu seperti Cloud Functions dan Cloud Run.

Untuk menggunakan fitur ini, Anda harus mengonfigurasi elemen XML <Authentication> dalam salah satu konteks berikut:

Kebijakan ServiceCallout
Kebijakan ExternalCallout
Konfigurasi TargetEndpoint

Setelah Anda menyelesaikan beberapa langkah penyiapan dasar (seperti yang dijelaskan dalam topik ini), Apigee akan melakukan pembuatan token dan melakukan panggilan yang aman ke layanan Google yang ditargetkan atau layanan yang dihosting kustom untuk Anda, tanpa perlu menetapkan header autentikasi secara manual atau mengubah permintaan layanan. Dari perspektif developer API, proses memanggil layanan Google dari dalam proxy API yang dikonfigurasi dengan benar ditangani dengan lancar.

Opsi konfigurasi proxy API

Bagian ini menjelaskan tempat Anda dapat menggunakan elemen XML <Authentication> untuk mengaktifkan autentikasi Token OAuth Google atau OpenID Connect:

Opsi konfigurasi	Deskripsi
Kebijakan ServiceCallout	Kebijakan ServiceCallout memungkinkan Anda memanggil layanan internal atau eksternal lainnya dari proxy API. Misalnya, Anda dapat menggunakan ServiceCallout untuk memanggil layanan Google eksternal atau layanan yang dihosting kustom. Untuk mengetahui detail dan contoh penggunaan, lihat Kebijakan ServiceCallout.
Kebijakan ExternalCallout	kebijakan ExternalCallout memungkinkan Anda mengirim permintaan gRPC ke server gRPC untuk menerapkan perilaku kustom yang tidak didukung oleh kebijakan Apigee. Untuk mengetahui detail dan contoh penggunaan, lihat kebijakan ExternalCallout.
TargetEndpoint	Tentukan layanan Google atau layanan yang dihosting kustom sebagai endpoint target proxy API. Untuk mengetahui detail dan contoh penggunaan, lihat referensi konfigurasi Proxy API.

Konteks yang didukung Token Google Auth

Elemen <Authentication> memiliki dua konfigurasi sub-elemen: <GoogleAccessToken> atau <GoogleIDToken>. Tabel berikut menunjukkan konteks tempat elemen ini didukung:

Digunakan di	GoogleAccessToken	GoogleIDToken
Kebijakan ServiceCallout	Didukung	Didukung
Kebijakan ExternalCallout	Tidak didukung	Didukung
TargetEndpoint	Didukung	Didukung

Langkah-langkah penerapan

Bagian ini menjelaskan cara men-deploy proxy API yang menggunakan autentikasi Google untuk memanggil layanan Google yang ditargetkan atau layanan yang dihosting kustom. Kami menjelaskan langkah-langkah deployment untuk Apigee dan Apigee hybrid secara terpisah.

Catatan: Deployment alur bersama juga mendukung penggunaan tag Authentication dalam kebijakan yang didukung dan konfigurasi TargetEndpoint. Lihat juga dokumentasi API deployment alur bersama.

Men-deploy di Apigee

Langkah-langkah berikut menjelaskan cara men-deploy proxy API di Apigee, tempat proxy dikonfigurasi untuk melakukan panggilan yang diautentikasi ke layanan Google atau layanan yang dihosting kustom. Langkah-langkah ini mengasumsikan bahwa Anda telah membuat proxy, dan proxy tersebut menyertakan elemen <Authentication> di salah satu konteks yang didukung yang tercantum.

Buat akun layanan Google di project Google Cloud yang sama dengan tempat organisasi Apigee Anda dibuat. Anda harus memberikan nama akun layanan ini saat men-deploy proxy API yang dikonfigurasi untuk menggunakan autentikasi Google, dan token OAuth yang dihasilkan akan mewakili akun layanan. Anda dapat membuat akun layanan di konsol Google Cloud atau dengan perintah gcloud. Lihat Membuat dan mengelola akun layanan.
Berikan izin iam.serviceAccounts.actAs di akun layanan kepada pengguna yang akan melakukan deployment (deployer). Lihat juga Tentang izin akun layanan.
Perhatian: Pengguna yang diberi peran Service Account User di akun layanan dapat menggunakannya untuk mengakses semua resource secara tidak langsung yang dapat diakses oleh akun layanan. Untuk mengetahui detailnya, lihat Peran Service Account User. Sebaiknya konfigurasikan akun layanan untuk hak istimewa terendah guna meminimalkan dampak penetapan peran pengguna.

Catatan: Langkah ini dapat bersifat opsional jika deployer sudah memiliki izin yang memadai, misalnya, saat men-deploy melalui UI dan pengguna Google Cloud memiliki peran Pemilik di project.
```
gcloud iam service-accounts add-iam-policy-binding \
SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--member="MEMBER" \
  --role="roles/iam.serviceAccountUser"
```

Dengan keterangan:

PROJECT_ID: Project ID. ID-nya sama dengan nama organisasi Anda.
SA_NAME: Nama yang Anda berikan saat membuat akun layanan.
MEMBER: Anggota yang akan ditambahkan binding-nya. Harus dalam format user|group|serviceAccount:email atau domain:domain.

Berikan izin akun layanan yang diperlukan untuk berkomunikasi dengan layanan Google yang Anda targetkan. Misalnya, jika Anda ingin memanggil layanan Google Logging, akun layanan ini harus menyertakan izin yang diperlukan untuk berkomunikasi dengan layanan tersebut. Lihat juga Memahami peran.
Sebelum men-deploy proxy API yang dikonfigurasi untuk menggunakan autentikasi Google, Anda memerlukan:
- Nama akun layanan yang Anda buat sebelumnya. Contoh: SA_NAME@PROJECT_ID.iam.gserviceaccount.com
- Sebagai pengguna yang melakukan deployment (deployer), Anda harus sudah memiliki atau diberi izin iam.serviceAccounts.actAs di akun layanan. Lihat Memberikan, mengubah, dan mencabut akses ke resource.
Deploy proxy API yang berisi konfigurasi autentikasi Google yang Anda terapkan. Anda dapat menggunakan UI atau API Apigee untuk men-deploy proxy. Untuk mempelajari lebih lanjut, lihat Men-deploy proxy API.
- Jika menggunakan UI, Anda akan diminta untuk memberikan nama akun layanan. Gunakan nama akun layanan proxy yang Anda buat di Langkah 1. Contoh: SA_NAME@PROJECT_ID.iam.gserviceaccount.com.
- Jika Anda lebih memilih untuk men-deploy proxy menggunakan API deployment Apigee, berikut adalah contoh perintah cURL yang dapat Anda gunakan. Perhatikan bahwa perintah menyertakan nama akun layanan sebagai parameter kueri. Ini adalah nama akun layanan yang Anda buat di Langkah 1:
```
curl -H "Authorization: Bearer $TOKEN" \
"https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/apis/apiproxy/revisions/2/deployments?serviceAccount=SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
-H "Content-Type: application/json" -X POST
```
  Dengan keterangan:
  - TOKEN: Token OAuth yang harus Anda peroleh sebagai ganti kredensial Google Anda. Untuk mengetahui detailnya, lihat Mendapatkan token akses OAuth 2.0.
  - ORG_NAME: Nama organisasi Apigee Anda.
  - ENV_NAME: Nama lingkungan tempat proxy API akan di-deploy.
  - SA_NAME: Nama yang Anda berikan saat membuat akun layanan.
  - PROJECT_ID: Project ID Google Cloud Anda (sama dengan nama organisasi).
Setelah deployment selesai, uji proxy API Anda untuk memastikan layanan Google menampilkan respons yang diharapkan.

Men-deploy di Apigee hybrid

Langkah-langkah berikut menjelaskan cara men-deploy proxy API yang dikonfigurasi untuk melakukan panggilan terautentikasi ke layanan Google ke Apigee hybrid. Langkah-langkah ini mengasumsikan bahwa Anda telah membuat proxy, dan proxy tersebut menyertakan elemen <Authentication> di salah satu konteks yang didukung yang tercantum.

Buat akun layanan dan kunci untuk komponen runtime Apigee hybrid menggunakan salah satu metode berikut:
Catatan: Jika Anda sudah membuat akun layanan apigee-runtime saat menginstal Apigee hybrid, Anda dapat melewati langkah ini.
- Gunakan alat create-service-account yang disertakan dengan Apigee hybrid untuk membuat akun layanan apigee-runtime. Alat ini membuat akun layanan dan menampilkan kunci akun layanan. Lihat create-service-account untuk mengetahui detailnya.
- Buat akun layanan di konsol Google Cloud atau dengan perintah gcloud. Lihat Membuat dan mengelola akun layanan. Untuk mengambil kunci akun layanan, lihat Membuat dan mengelola kunci akun layanan.
Catatan: Anda dapat membuat akun layanan runtime di project Google Cloud mana pun yang izinnya Anda miliki. Akun layanan runtime tidak harus dibuat di project yang sama dengan yang digunakan untuk organisasi Apigee Anda.
Buka file overrides.yaml dan tentukan jalur ke file kunci akun layanan untuk setiap lingkungan yang memerlukan kemampuan autentikasi Google:
```
envs:
  - name: "ENVIRONMENT_NAME"
    serviceAccountPaths:
      runtime: "KEY_FILE_PATH"
```
Catatan: Jika Anda memiliki beberapa lingkungan yang memerlukan kemampuan Autentikasi Google, setiap lingkungan dapat memiliki akun layanannya sendiri, atau semua lingkungan dapat berbagi akun layanan yang sama. Lihat juga Tentang izin akun layanan.

Contoh:
```
envs:
  - name: "test"
    serviceAccountPaths:
      runtime: "./service_accounts/my_runtime_sa.json"
```
Terapkan file penggantian ke cluster Anda menggunakan apigeectl apply.
Buat akun layanan kedua, yang kita sebut akun layanan proxy. Akun layanan ini harus berada di project Google Cloud yang sama dengan yang Anda gunakan untuk membuat organisasi Apigee. Anda harus memberikan alamat email akun layanan ini saat men-deploy proxy API yang dikonfigurasi untuk menggunakan autentikasi Google, dan token OAuth yang dihasilkan akan mewakili akun layanan.
Berikan izin iam.serviceAccounts.actAs di akun layanan kepada pengguna yang akan melakukan deployment (deployer). Lihat juga Tentang izin akun layanan.
Perhatian: Pengguna yang diberi peran Service Account User di akun layanan dapat menggunakannya untuk mengakses semua resource secara tidak langsung yang dapat diakses oleh akun layanan. Untuk mengetahui detailnya, lihat Peran Service Account User. Sebaiknya konfigurasikan akun layanan untuk hak istimewa terendah guna meminimalkan dampak penetapan peran pengguna.

Catatan: Langkah ini mungkin bersifat opsional jika deployer sudah memiliki izin yang memadai, misalnya, saat men-deploy melalui UI dan pengguna Google Cloud memiliki peran Pemilik di project.
```
gcloud iam service-accounts add-iam-policy-binding \
SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--member="MEMBER" \
  --role="roles/iam.serviceAccountUser"
```

Dengan keterangan:

PROJECT_ID: Project ID. ID-nya sama dengan nama organisasi Anda.
SA_NAME: Nama yang Anda berikan saat membuat akun layanan.
MEMBER: Anggota yang akan ditambahkan binding-nya. Harus dalam format user|group|serviceAccount:email atau domain:domain.

Berikan izin akun layanan proxy yang diperlukan untuk berkomunikasi dengan layanan Google yang ditargetkan. Misalnya, jika Anda ingin memanggil layanan Google Logging, akun layanan ini harus menyertakan izin yang diperlukan untuk berkomunikasi dengan layanan tersebut. Lihat juga Memahami peran.
Pastikan runtime memiliki kemampuan untuk meniru identitas akun layanan proxy. Untuk memberikan kemampuan ini, berikan peran iam.serviceAccountTokenCreator ke akun layanan proxy di akun layanan runtime. Lihat juga Tentang izin akun layanan. Contoh:
```
gcloud iam service-accounts add-iam-policy-binding \
PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--member=serviceAccount:RUNTIME_SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
--role=roles/iam.serviceAccountTokenCreator
```
Dengan keterangan:
- PROJECT_ID: Project ID. ID-nya sama dengan nama organisasi Anda. Perhatikan bahwa Anda tidak perlu menggunakan project yang terkait dengan organisasi untuk membuat akun layanan runtime. Pastikan Anda menggunakan project ID yang benar dalam perintah ini.
- PROXY_SA_NAME: ID untuk akun layanan proxy.
- RUNTIME_SA_NAME: ID untuk akun layanan runtime.
Sebelum men-deploy proxy API yang dikonfigurasi untuk menggunakan autentikasi Google, Anda memerlukan:
- Nama akun layanan proxy yang Anda buat sebelumnya. Contoh: PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com
- Sebagai pengguna yang melakukan deployment, Anda harus sudah memiliki atau diberi izin iam.serviceAccounts.actAs di Project Google Cloud tempat organisasi Apigee disediakan. Lihat Memberikan, mengubah, dan mencabut akses ke resource.
Deploy proxy API yang berisi konfigurasi autentikasi Google yang Anda terapkan. Anda dapat menggunakan UI atau API Apigee untuk men-deploy proxy. Untuk mempelajari lebih lanjut, lihat Men-deploy proxy API.
- Jika menggunakan UI, Anda akan diminta untuk memberikan nama akun layanan. Gunakan nama akun layanan proxy yang Anda buat sebelumnya. Contoh: PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com.
- Jika Anda lebih memilih untuk men-deploy proxy menggunakan API deployment Apigee, berikut adalah contoh perintah cURL yang dapat Anda gunakan. Perhatikan bahwa perintah menyertakan nama akun layanan sebagai parameter kueri. Ini adalah nama akun layanan proxy:
```
curl -H "Authorization: Bearer $TOKEN" \
"https://apigee.googleapis.com/v1/organizations/ORG_NAME/environments/ENV_NAME/apis/apiproxy/revisions/2/deployments?serviceAccount=PROXY_SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
-H "Content-Type: application/json" -X POST
```
  Dengan keterangan:
  - TOKEN: Token OAuth yang harus Anda peroleh sebagai ganti kredensial Google Anda. Untuk mengetahui detailnya, lihat Mendapatkan token akses OAuth 2.0.
  - ORG_NAME: Nama organisasi Apigee Anda.
  - ENV_NAME: Nama lingkungan tempat proxy API akan di-deploy.
  - PROXY_SA_NAME: Nama akun layanan proxy.
  - PROJECT_ID: Project ID Google Cloud Anda (sama dengan nama organisasi).
Setelah deployment selesai, uji proxy API Anda untuk memastikan layanan Google menampilkan respons yang diharapkan.

Tentang izin akun layanan

Untuk mengonfigurasi proxy API agar menggunakan autentikasi Google, Anda harus membuat akun layanan seperti yang dijelaskan dalam tabel berikut. Lihat juga Membuat dan mengelola akun layanan.

Akun layanan Diperlukan untuk Deskripsi

Proxy

Apigee dan Apigee Hybrid

Akun layanan	Diperlukan untuk	Deskripsi
Proxy	Apigee dan Apigee Hybrid	Memiliki izin yang diperlukan agar proxy API dapat melakukan panggilan yang diautentikasi ke layanan Google yang ditargetkan. Harus dibuat di project Google Cloud yang sama dengan organisasi Apigee Anda. Pengguna yang melakukan deployment (deployer), harus memiliki atau diberi izin `iam.serviceAccounts.actAs` di akun layanan proxy. Harus menyertakan izin yang diperlukan untuk berkomunikasi dengan layanan Google target tertentu. Misalnya, jika Anda ingin memanggil layanan Google Logging, akun layanan ini harus menyertakan izin yang diperlukan untuk berkomunikasi dengan layanan tersebut. Lihat juga Memahami peran. Nama akun layanan harus diberikan saat Anda men-deploy proxy yang menggunakan autentikasi Google.
Runtime	Khusus Apigee Hybrid	Memungkinkan runtime Apigee membuat token untuk diautentikasi di layanan Google yang diminta oleh proxy API. Akun layanan ini "meniru identitas" akun layanan khusus proxy untuk melakukan panggilan yang diautentikasi atas namanya. Agar dapat meniru identitas akun layanan proxy dan membuat token, akun layanan runtime harus diberi peran `roles/iam.serviceAccountTokenCreator` di akun layanan proxy. Lihat Mengelola akses ke akun layanan.

Memiliki izin yang diperlukan agar proxy API dapat melakukan panggilan yang diautentikasi ke layanan Google yang ditargetkan.

Harus dibuat di project Google Cloud yang sama dengan organisasi Apigee Anda.
Pengguna yang melakukan deployment (deployer), harus memiliki atau diberi izin iam.serviceAccounts.actAs di akun layanan proxy.
Harus menyertakan izin yang diperlukan untuk berkomunikasi dengan layanan Google target tertentu. Misalnya, jika Anda ingin memanggil layanan Google Logging, akun layanan ini harus menyertakan izin yang diperlukan untuk berkomunikasi dengan layanan tersebut. Lihat juga Memahami peran.
Nama akun layanan harus diberikan saat Anda men-deploy proxy yang menggunakan autentikasi Google.

Runtime

Khusus Apigee Hybrid

Memungkinkan runtime Apigee membuat token untuk diautentikasi di layanan Google yang diminta oleh proxy API. Akun layanan ini "meniru identitas" akun layanan khusus proxy untuk melakukan panggilan yang diautentikasi atas namanya.

Agar dapat meniru identitas akun layanan proxy dan membuat token, akun layanan runtime harus diberi peran roles/iam.serviceAccountTokenCreator di akun layanan proxy. Lihat Mengelola akses ke akun layanan.