Consulta i connettori supportati per Application Integration.

Panoramica del controllo dell'accesso

Quando crei un Google Cloud progetto, sei l'unico utente principale del progetto. Per impostazione predefinita, nessun'altra entità (utenti, gruppi o account di servizio) ha accesso al progetto o alle sue risorse. Dopo aver eseguito il provisioning di Integration di app nel tuo progetto, puoi aggiungere nuovi principali e impostare il controllo degli accessi per le risorse di Integration di app.

L'integrazione delle applicazioni utilizza Identity and Access Management (IAM) per gestire il controllo degli accessi all'interno del progetto. Puoi utilizzare IAM per gestire l'accesso a livello di progetto o di risorsa:

  • Per concedere l'accesso alle risorse a livello di progetto, assegna uno o più ruoli a un'entità.
  • Per concedere l'accesso a una risorsa specifica, imposta un criterio IAM su quella risorsa. La risorsa deve supportare i criteri a livello di risorsa. Il criterio definisce i ruoli assegnati alle entità.

Ruoli IAM

A ogni entità nel tuo Google Cloud progetto viene assegnato un ruolo con autorizzazioni specifiche. Quando aggiungi un'entità a un progetto o a una risorsa, specifichi i ruoli da concederle. Ogni ruolo IAM contiene un insieme di autorizzazioni che consente all'entità di eseguire azioni specifiche sulla risorsa.

Per saperne di più sui diversi tipi di ruoli in IAM, consulta Informazioni sui ruoli.

Per informazioni sulla concessione dei ruoli alle entità, consulta Concedere, modificare e revocare l'accesso.

Application Integration fornisce un insieme specifico di ruoli IAM predefiniti. Puoi utilizzare questi ruoli per fornire l'accesso a risorse Application Integration specifiche e impedire l'accesso indesiderato ad altre risorse Google Cloud.

Account di servizio

Gli account di servizio sono Google Cloud account associati al tuo progetto che possono eseguire attività o operazioni per tuo conto. Gli account di servizio sono assegnati a ruoli e autorizzazioni nello stesso modo dei principali, utilizzando IAM. Per ulteriori informazioni sugli account di servizio e sui diversi tipi di account di servizio, consulta Account di servizio IAM.

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire a questo account di servizio di accedere ai metodi API pertinenti. Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato l'account di servizio avrà l'autorizzazione conferita da quel ruolo. Se non esiste un ruolo predefinito per il livello di accesso che ti interessa, puoi creare e concedere ruoli personalizzati.

L'integrazione di applicazioni utilizza due tipi di account di servizio:

Service account gestito dall'utente

Un account di servizio gestito dall'utente può essere associato a un'integrazione per fornire le credenziali necessarie per eseguire l'attività. Per ulteriori informazioni, consulta Account di servizio gestiti dall'utente.

L'autorizzazione fornita all'integrazione è limitata da due configurazioni distinte: i ruoli concessi all'account di servizio associato e gli ambiti di accesso. Entrambe le configurazioni devono consentire l'accesso prima che l'integrazione possa eseguire l'attività.

Un account di servizio gestito dall'utente ha il seguente indirizzo email:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

Service account predefinito

I nuovi progetti Google Cloud per i quali è stato eseguito il provisioning di Integration for Applications hanno un account di servizio predefinito di Integration for Applications con il seguente indirizzo email:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

L'account di servizio predefinito di Integration for Applications viene creato durante il provisioning e aggiunto automaticamente al progetto con i ruoli e le autorizzazioni IAM di base. Per ulteriori informazioni, consulta Account di servizio predefiniti.

Per informazioni su come concedere ruoli o autorizzazioni aggiuntivi all'account di servizio predefinito, vedi Concedere, modificare e revocare l'accesso.

Aggiungi un account di servizio

L'integrazione delle applicazioni offre due modi per aggiungere un account di servizio all'integrazione:

Regola di autenticazione

Se per l'integrazione sono configurati sia il profilo OAuth 2.0 sia un account di servizio gestito dall'utente, per impostazione predefinita viene utilizzato il profilo OAuth 2.0 per l'autenticazione. Se non sono configurati né il profilo OAuth 2.0 né l'account di servizio gestito dall'utente, viene utilizzato l'account di servizio predefinito (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Se l'attività non utilizza l'account di servizio predefinito, l'esecuzione non va a buon fine.

Regola di autorizzazione

Se colleghi un account di servizio all'integrazione, devi determinare il livello di accesso dell'account di servizio in base ai ruoli IAM che concedi all'account di servizio. Se l'account di servizio non ha ruoli IAM, non è possibile accedere a nessuna risorsa utilizzando l'account di servizio.

Gli ambiti di accesso possono limitare ulteriormente l'accesso ai metodi API durante l'autenticazione tramite OAuth. Tuttavia, non si applicano ad altri protocolli di autenticazione come gRPC.

Ruoli IAM

Devi concedere i ruoli IAM appropriati a un account di servizio per consentire a questo account di servizio di accedere ai metodi API pertinenti.

Quando concedi un ruolo IAM a un account di servizio, qualsiasi integrazione a cui è associato quell'account di servizio avrà l'autorizzazione conferita dal ruolo.

Ambiti di accesso

Gli ambiti di accesso sono il metodo legacy per specificare l'autorizzazione per l'integrazione. Definiscono gli ambiti OAuth predefiniti utilizzati nelle richieste dall'interfaccia a riga di comando gcloud o dalle librerie client. Gli ambiti ti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, consulta Ambiti OAuth 2.0 per le API di Google. Per gli account di servizio gestiti dall'utente, l'ambito è predefinito come segue:

https://www.googleapis.com/auth/cloud-platform