Consulta los conectores compatibles para Application Integration.
Administrar los perfiles de autenticación
Las tareas en la Application Integration pueden requerir una conexión a una aplicación, un servicio o una fuente de datos externos. Un perfil de autenticación te permite configurar y almacenar los detalles de autenticación para la conexión en Application Integration. Puedes configurar la tarea para usar el perfil de autenticación almacenado. La creación de un perfil de autenticación es una actividad única, y puedes volver a usar el mismo perfil en varias integraciones.
Roles obligatorios
Para obtener los permisos que necesitas para administrar los perfiles de autenticación, pídele a tu administrador que te otorgue los siguientes roles de IAM en una integración:
-
Administrador de integraciones de aplicaciones (
roles/integrations.integrationAdmin
) -
Crear perfiles de autenticación:
Editor de Application Integration (
roles/integrations.integrationEditor
) -
Edita los perfiles de autenticación:
Editor de Application Integration (
roles/integrations.integrationEditor
) -
Borrar perfiles de autenticación: Administrador de Integration de aplicaciones (
roles/integrations.integrationAdmin
)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea un ID de cliente de OAuth 2.0
Un ID de cliente se usa con el fin de identificar una sola aplicación para los servidores de OAuth de Google. Si tu aplicación se ejecuta en varias plataformas, cada una necesitará su propio ID de cliente. Para usar OAuth 2.0 en tu aplicación, necesitas un ID de cliente de OAuth 2.0, que tu aplicación usa cuando solicita un token de acceso de OAuth 2.0.
Para crear un ID de cliente de OAuth 2.0, sigue estos pasos:
- En la consola de Google Cloud , ve a APIs y servicios > Credenciales.
- Haz clic en + Crear credenciales y, luego, elige ID de cliente de OAuth en la lista de opciones disponibles.
Aparecerá la página Crear ID de cliente de OAuth.
- Tipo de aplicación: elige Aplicación web en la lista desplegable.
- Nombre: escribe un nombre para tu cliente de OAuth 2.0 para identificarlo en la consola de Cloud.
- En URI de redireccionamiento autorizados, haz clic en + Agregar URI y escribe lo siguiente:
https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION
- Haz clic en Crear.
Se crea correctamente un ID de cliente de OAuth 2.0.
Crea un perfil de autenticación nuevo
Para crear un perfil de autenticación nuevo, selecciona una de las siguientes opciones:
Console
- En la consola de Google Cloud , ve a la página Integración de aplicaciones.
- En el menú de navegación, haz clic en Perfiles de autenticación.
- Haz clic en Crear y escribe los siguientes detalles:
- En el campo Nombre del perfil, ingresa el nombre del perfil de autenticación que se mostrará en el editor de integración.
- En la lista Región, selecciona una región para el perfil de autenticación.
- En el campo Descripción, ingresa una descripción para el perfil de autenticación.
- Haga clic en Continuar.
- En la lista Tipo de autenticación, selecciona el tipo de autenticación y, luego, ingresa los detalles obligatorios. En función de tu selección, en el cuadro de diálogo se muestran campos adicionales necesarios para las credenciales de autenticación. Puedes elegir cualquiera de los siguientes tipos de autenticación:
- De manera opcional, puedes agregar certificados de cliente SSL/TLS que el servidor usa para validar la identidad de un cliente. Puedes ingresar el siguiente campo:
- Certificado SSL
- Clave privada
- Frase de contraseña de clave privada
- Haz clic en Crear.
Aparecerá la página Authentication Profiles.
Terraform
Usa el recurso google_integrations_client
.
Puedes usar Terraform para crear los siguientes perfiles de autenticación:
- Token de autenticación
- Solo certificación de cliente SSL/TLS
- Token web JSON (JWT)
- Código de autorización de OAuth 2.0
- Credenciales de cliente de OAuth 2.0
- Token de ID de OIDC
- Cuenta de servicio
Token de autenticación
En el siguiente ejemplo, se crea un tipo de autenticación de token de autenticación en la región us-central1
:
Certificación de cliente SSL/TLS
En el siguiente ejemplo, se crea un tipo de autenticación de certificación de cliente SSL/TLS en la región us-central1
:
Token web JSON (JWT)
En el siguiente ejemplo, se crea un tipo de autenticación de token web JSON (JWT) en la región us-central1
:
Código de autorización de OAuth 2.0
En el siguiente ejemplo, se crea un tipo de autenticación de certificación de cliente SSL/TLS en la región us-central1
:
Credenciales de cliente de OAuth 2.0
En el siguiente ejemplo, se crea un tipo de autenticación de credenciales de cliente de OAuth 2.0 en la región us-central1
:
Token de ID de OIDC de Google
En el siguiente ejemplo, se crea un tipo de autenticación de token de ID de Google OIDC en la región us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_oidc_token" { location = "us-central1" display_name = "tf-oidc-token" description = "Test auth config created via terraform" decrypted_credential { credential_type = "OIDC_TOKEN" oidc_token { service_account_email = google_service_account.service_account.email audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Cuenta de servicio
En el siguiente ejemplo, se crea un tipo de autenticación de cuenta de servicio en la región us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_service_account" { location = "us-central1" display_name = "tf-service-account" description = "Test auth config created via terraform" decrypted_credential { credential_type = "SERVICE_ACCOUNT" service_account_credentials { service_account = google_service_account.service_account.email scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Después de guardar, el nuevo perfil de autenticación estará disponible como opción en el menú desplegable Perfil de autorización para usar de cualquier tarea que requiera autenticación.
Opcional: Si no creaste un perfil de autenticación antes de configurar una tarea de integración, puedes acceder al diálogo de creación de perfil si seleccionas + Agregar nuevo perfil de autenticación en el menú desplegable Perfil de autorización para usar en el panel de configuración de la tarea. Sigue los pasos anteriores para crear un perfil de autenticación nuevo.
Editar perfiles de autenticación
Para editar un perfil de autenticación, sigue estos pasos:
- En la consola de Google Cloud , ve a la página Integración de aplicaciones.
- En el menú de navegación, haz clic en Perfiles de autenticación.
- Elige Región para el perfil de autenticación mediante el menú desplegable en la página Authentication Profiles.
- Haz clic en
Aparecerá el cuadro de diálogo Authentication Profiles.
(menú de acciones) y, luego, en Editar.
- Edita los detalles y haz clic en Guardar.
Aparecerá la página Authentication Profiles.
Borrar perfiles de autenticación
Para borrar un perfil de autenticación, sigue estos pasos:
- En la consola de Google Cloud , ve a la página Integración de aplicaciones.
- En el menú de navegación, haz clic en Perfiles de autenticación.
- Elige Región para el perfil de autenticación mediante el menú desplegable en la página Authentication Profiles.
- Haz clic en Borrar.
Aparecerá la página Authentication Profiles.
Tipos de autenticación
El tipo de autenticación necesario para completar una tarea de integración depende de la autenticación configurada en el servidor de autorización. El servidor de autorización puede ser un servidor independiente o una API que emita credenciales al cliente que hace la llamada. Application Integration admite los siguientes tipos de autenticación:
- Token de autenticación
- Token de ID de OIDC de Google
- Token web JSON (JWT)
- Código de autorización de OAuth 2.0
- Credenciales de cliente de OAuth 2.0
- Credenciales de la contraseña del propietario de recursos de OAuth 2.0
- Solo certificación de cliente SSL/TLS
- Cuenta de servicio
En las siguientes secciones, se describen las propiedades de configuración de los tipos de autenticación.
Token de autenticación
El tipo de autenticación del token de autenticación usa un token (credenciales) para la autenticación. Las credenciales se envían al servidor en el encabezado de la solicitud deAuthorization
HTTP con el formato Authorization: TYPE CREDENTIALS
. Para configurar este tipo de autenticación, establece las siguientes propiedades:
- TYPE: Tipo de autenticación, como
Basic
,Bearer
oMAC
. - Token: Credenciales para el tipo de autenticación.
Si el servidor de autenticación requiere un certificado SSL/TLS, sube el certificado y la clave privada.
Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.Token de ID de OIDC de Google
El tipo de autenticación de Token de ID de Google OIDC usa tokens web JSON (JWT) para la autenticación. El proveedor de Google OpenID Connect (OIDC) accounts.google.com firma y emite estos JWT para la autenticación mediante una cuenta de servicio. Para configurar este tipo de autenticación, establece las siguientes propiedades:- Cuenta de servicio: Cuenta de servicio (principal) en tu proyecto de Google Cloud con permiso para acceder a tu API.
- Público: El público del token de OIDC (identifica los destinatarios a los que se orienta el JWT). Por ejemplo, la URL del activador es el público de la tarea de Cloud Function.
Token web JSON (JWT)
El tipo de autenticación JWT usa el token web JSON (JWT) para la autenticación. Para obtener más información sobre JWT, consulta RFC7519. Para configurar este tipo de autenticación, establece las siguientes propiedades:- JWT HEADER: El algoritmo para generar la firma.
Nota: Solo puedes especificar el algoritmo HS256.
- JWT PAYLOAD: Un conjunto de reclamaciones. Puedes usar reclamaciones registradas, públicas o personalizadas.
- SECRET: Clave compartida entre el cliente y el servidor de autenticación.
Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada.
Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.Código de autorización de OAuth 2.0
El tipo de autenticación del código de autorización de OAuth 2.0 usa un token de autorización OAuth 2.0
para la autenticación. Para configurar este tipo de autenticación, establece las siguientes propiedades:
- Authentication endpoint: Extremo para el extremo de autenticación de la aplicación. Se te redireccionará a esta URL para que revises los permisos de acceso de la aplicación. El token solo se generará después de que se otorgue acceso.
- TOKEN ENDPOINT: URL de extremo que otorga o actualiza el token de acceso.
- ID de cliente: Una string única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se expone al propietario del recurso. Usa este campo junto con un secreto del cliente.
- SECRET: Clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
- Permiso(s): El permiso del token de acceso. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.
Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.
Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.Credenciales de cliente de OAuth 2.0
El tipo de autenticación de las credenciales de cliente de OAuth 2.0 usa un token de autorización OAuth 2.0
para la autenticación. Esta autenticación primero solicita un token de acceso mediante las credenciales del cliente y, luego, usa el token para acceder a los recursos protegidos. Para configurar este tipo de autenticación, establece las siguientes propiedades:
- TOKEN ENDPOINT: URL de extremo que otorga o actualiza el token de acceso.
- ID de cliente: Una string única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se expone al propietario del recurso. Usa este campo junto con un secreto del cliente.
- SECRET: Clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
- Permiso(s): El permiso del token de acceso. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.
- Tipos de solicitud: Mecanismos para enviar los parámetros de solicitud al servidor de autenticación para recuperar el token de acceso. Puedes especificar cualquiera de los siguientes tipos de solicitudes:
- Encabezado de codificador: Codifica los
CLIENT ID
yCLIENT SECRET
en formatoBase64
y envía la string codificada en el encabezado de autorización HTTP. Los parámetros de solicitud restantes se envían en el cuerpo de la solicitud HTTP. - Parámetros de búsqueda: Envía los parámetros de la solicitud en una cadena de consulta.
- Cuerpo de la solicitud: Envía los parámetros de la solicitud mediante el tipo de contenido
application/x-www-form-urlencoded
y el charsetUTF-8
en elentity-body
de la solicitud HTTP. - Sin especificar
- Encabezado de codificador: Codifica los
- Parámetros de token: Solicita los parámetros necesarios para obtener el token. Especifica los valores en formato de clave-valor en el que
Key
es el nombre del parámetro yValue
es el valor del parámetro correspondiente.
Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.
Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.Credenciales de la contraseña del propietario de recursos de OAuth 2.0
El tipo de autenticación de las credenciales de contraseña del propietario de recursos de OAuth 2.0 usa un token de autorización OAuth 2.0
para la autenticación. Esta autenticación primero solicita un token de acceso con las credenciales de propietario del recurso (Nombre de usuario y contraseña) y, luego, usa el token para acceder a los recursos protegidos. Para configurar este tipo de autenticación, establece las siguientes propiedades según el tipo de instancia a la que te conectes:
- TOKEN ENDPOINT: URL de extremo que otorga o actualiza el token de acceso.
- ID de cliente: Una string única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se expone al propietario del recurso. Usa este campo junto con un secreto del cliente.
- SECRET: Clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
- Permiso(s): El permiso del token de acceso. Los permisos te permiten especificar los permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.
- USERNAME: Nombre de usuario del propietario del recurso.
- PASSWORD: Contraseña de usuario.
- Tipos de solicitud: Mecanismos para enviar los parámetros de solicitud al servidor de autenticación para recuperar el token de acceso. Puedes especificar cualquiera de los siguientes tipos de solicitudes:
- Encabezado de codificador: Codifica los
CLIENT ID
yCLIENT SECRET
en formatoBase64
y envía la string codificada en el encabezado de autorización HTTP. Envía los parámetros de solicitud restantes en el cuerpo de la solicitud HTTP. - Parámetros de búsqueda: Envía los parámetros de la solicitud en una cadena de consulta.
- Cuerpo de la solicitud: Envía los parámetros de la solicitud mediante el tipo de contenido
application/x-www-form-urlencoded
y el charsetUTF-8
en elentity-body
de la solicitud HTTP.
- Encabezado de codificador: Codifica los
- Parámetros de token: Solicita los parámetros necesarios para obtener el token. Especifica los valores en formato de clave-valor en el que
Key
es el nombre del parámetro yValue
es el valor del parámetro correspondiente.
Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.
Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.Solo certificado de cliente SSL/TLS
El tipo de autenticación solo certificado de cliente SSL/TLS usa el certificado SSL/TLS solo para la autenticación. Sube el certificado requerido y la clave privada. Para configurar este tipo de autenticación, sube los siguientes archivos:- Certificado SSL: Certificado codificado en formato PEM.
- Clave privada: Es el archivo de claves privadas del certificado codificado en formato PEM.
Si la clave privada requiere un
passphrase
, escribe la Frase de contraseña de clave privada.
Cuenta de servicio
El tipo de autenticación de Cuenta de servicio usa las credenciales de una cuenta de servicio de un proyecto deGoogle Cloud para la autenticación. Para configurar este tipo de autenticación, establece las siguientes propiedades:
- Cuenta de servicio: Cuenta de servicio (principal) en tu proyecto de Google Cloud con permiso para acceder a tu API.
- Permiso(s): Permiso de permisos de acceso para los usuarios. Puedes especificar varios permisos separados por un único espacio (" "). Para obtener más información, consulta la página sobre permisos de OAuth 2.0 para las API de Google.
Para obtener información de las prácticas recomendadas para crear y administrar cuentas de servicio, lee la documentación de Prácticas recomendadas para trabajar con cuentas de servicio.
Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Escribe la frase de contraseña de la clave privada en el campo disponible, si es necesario.
Para saber qué tareas son compatibles con este tipo de autenticación, consulta Compatibilidad de tipos de autenticación con tareas.Compatibilidad de los tipos de autenticación con las tareas
En la siguiente tabla, se enumeran los tipos de autenticación y las tareas compatibles correspondientes. Puedes usar esta información para decidir qué tipo de autenticación usar para una tarea.
Regla de autenticación
Si tu integración tiene configurados un perfil de OAuth 2.0 y una cuenta de servicio administrada por el usuario, de forma predeterminada, el perfil de OAuth 2.0 se usa para la autenticación. Si no se configura el perfil de OAuth 2.0 ni la cuenta de servicio administrada por el usuario, se usa la cuenta de servicio predeterminada (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
). Si la tarea no usa la cuenta de servicio predeterminada, la ejecución fallará.