Cómo autorizar aplicaciones

Para autorizar una aplicación en App Engine se requiere una cuenta de servicio, es decir, una cuenta que pertenece a tu aplicación y no un usuario final individual. Las cuentas de servicio se utilizan para autorizar llamadas a las API de Google y otros servicios.

Google ofrece tres métodos para autorizar una llamada de cuenta de servicio a las API de Google:

Servicio de autorización Objetivo
Credencial predeterminada de la aplicación La credencial predeterminada de la aplicación utiliza la cuenta de servicio integrada para un proyecto de Google Cloud Platform. Es la forma más sencilla de conectarse con las API de Google Cloud Platform.
Autorización OAuth 2.0 La autorización OAuth 2.0 es la mejor manera de autorizar el alojamiento de las apps, VM o servicios fuera de Google Cloud. Puedes crear tus propios tokens de autorización OAuth 2.0 para acceder a las API de Google.
Delegación de autoridad de todo el dominio de G Suite La delegación de autoridad de todo el dominio te permite conceder a las aplicaciones de terceros el acceso a los datos de la aplicación en todo el dominio. Se basa en OAuth 2.0 para autorizar el acceso en todo el dominio de las cuentas de G Suite.

Credencial predeterminada de la aplicación

La Credencial predeterminada de la aplicación proporciona la forma más sencilla de obtener y utilizar las credenciales de la cuenta de servicio para llamar a otras API de Google Cloud Platform. La credencial predeterminada de la aplicación utiliza una cuenta de servicio integrada para un proyecto que se ejecuta en App Engine o en Compute Engine.

La credencial predeterminada de la aplicación es lo más adecuado cuando la llamada debe tener la misma identidad y nivel de autorización para la aplicación, independientemente del usuario. Este es el enfoque recomendado para autorizar llamadas a las API de Google Cloud Platform, en especial, cuando compilas una aplicación que se implementará en las máquinas virtuales de App Engine, Google Kubernetes Engine o Compute Engine.

Los ejemplos de uso la credencial predeterminada de la aplicación en Node.js están disponibles en la página Biblioteca cliente de la API de Google para Node.js. El repositorio de GitHub para Node.js en Google Cloud Platform destaca cómo comenzar a utilizar Node.js con los servicios de Google Cloud Platform.

Autorización OAuth 2.0

Si utilizas alojamiento de aplicaciones o VM fuera de Google Cloud Platform, puedes crear tus propios tokens de autorización OAuth 2.0 con el fin de acceder a las API de Google. En la sección Uso de OAuth 2.0 para acceder a las API de Google se explica cómo utilizar las bibliotecas de OAuth 2.0 que proporciona Google a fin de llamar a las API de Google. Si deseas ver una demostración interactiva de cómo utilizar OAuth 2.0 con Google (incluye la opción de utilizar tus propias credenciales de cliente), puedes probar OAuth 2.0 Playground.

Si quieres que tu app obtenga datos del usuario desde otro servicio de Google, tendrás que configurar OAuth 2.0 para aplicaciones de servidor web. Por ejemplo, si deseas extraer datos de un usuario desde Google Drive y agregarlos a tu app, utiliza OAuth 2.0 para las aplicaciones de servidor web a fin de compartir datos específicos y mantener la privacidad de otros datos, como nombres de usuario y contraseñas.

Delegación de autoridad de todo el dominio de G Suite

Si tienes un dominio de G Suite, un administrador de este dominio puede autorizar a una aplicación para que acceda a los datos del usuario en nombre de los usuarios del dominio de G Suite. Por ejemplo, una aplicación que utiliza la API del Calendario de Google para agregar eventos a los calendarios de todos los usuarios en un dominio de G Suite utilizará una cuenta de servicio para acceder a la API del Calendario de Google en nombre de los usuarios.

La autorización de una cuenta de servicio para acceder a los datos en nombre de los usuarios en un dominio se conoce como "delegación de la autoridad de todo el dominio" a una cuenta de servicio. Para esto, se utiliza OAuth 2.0 y se requiere que un administrador de dominio de G Suite autorice la delegación de autoridad de todo el dominio a la cuenta de servicio.

En la página Delegación de autoridad de todo el dominio de G Suite, se incluyen ejemplos de implementación. En Autenticación y autorización de Cuentas de Google encontrarás más información sobre el uso de OAuth 2.0 para configurar situaciones de consumidor de Dominio.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación del entorno estándar de App Engine para Node.js