Lihat konektor yang didukung untuk Integration Aplikasi.
Mengelola profil autentikasi
Tugas di Integrasi Aplikasi Anda mungkin memerlukan koneksi ke aplikasi, layanan, atau sumber data eksternal. Profil autentikasi memungkinkan Anda mengonfigurasi dan menyimpan detail autentikasi untuk koneksi di Application Integration. Anda dapat mengonfigurasi tugas untuk menggunakan profil autentikasi yang tersimpan. Membuat profil autentikasi adalah aktivitas satu kali, dan Anda dapat menggunakan kembali profil yang sama di beberapa integrasi.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengelola profil autentikasi, minta administrator untuk memberi Anda peran IAM berikut pada integrasi:
-
Application Integration Admin (
roles/integrations.integrationAdmin
) -
Membuat profil autentikasi:
Editor Integrasi Aplikasi (
roles/integrations.integrationEditor
) -
Mengedit profil autentikasi:
Editor Integrasi Aplikasi (
roles/integrations.integrationEditor
) -
Menghapus profil autentikasi:
Admin Integrasi Aplikasi (
roles/integrations.integrationAdmin
)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat client ID OAuth 2.0
Client ID digunakan untuk mengidentifikasi satu aplikasi ke server OAuth Google. Jika aplikasi Anda berjalan di beberapa platform, setiap platform akan memerlukan client ID sendiri. Untuk menggunakan OAuth 2.0 di aplikasi, Anda memerlukan client ID OAuth 2.0, yang digunakan aplikasi Anda saat meminta token akses OAuth 2.0.
Untuk membuat client ID OAuth 2.0, lakukan langkah-langkah berikut:
- Di konsol Google Cloud, buka APIs & Services > Credentials.
- Klik + Create Credentials, lalu pilih OAuth client ID dari daftar opsi yang tersedia.
Halaman Create OAuth client ID akan muncul.
- Jenis aplikasi: Pilih Aplikasi Web dari menu drop-down.
- Nama: Masukkan nama untuk klien OAuth 2.0 Anda guna mengidentifikasi klien di konsol Cloud.
- Di bagian Authorized redirect URIs, klik +Add URI dan masukkan URL berikut:
https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION
- Klik Create.
Client ID OAuth 2.0 berhasil dibuat.
Membuat profil autentikasi baru
Untuk membuat profil autentikasi baru, pilih salah satu opsi berikut:
Konsol
- Di konsol Google Cloud, buka halaman Integrasi Aplikasi.
- Di menu navigasi, klik Auth Profiles.
- Klik Create dan masukkan detail berikut:
- Di kolom Profile name, masukkan nama profil autentikasi yang akan ditampilkan di editor integrasi.
- Dari daftar Region, pilih region untuk profil autentikasi.
- Di kolom Deskripsi, masukkan deskripsi untuk profil autentikasi.
- Klik Lanjutkan.
- Dari daftar Authentication type, pilih jenis autentikasi dan masukkan detail yang diperlukan. Berdasarkan pilihan Anda, dialog akan menampilkan kolom tambahan yang diperlukan untuk kredensial autentikasi. Anda dapat memilih salah satu jenis autentikasi berikut:
- Secara opsional, Anda dapat menambahkan sertifikat klien SSL/TLS yang digunakan oleh server untuk memvalidasi identitas klien. Anda dapat memasukkan kolom berikut:
- Sertifikat SSL
- Kunci pribadi
- Frasa sandi kunci pribadi
- Klik Create.
Halaman Authentication Profiles akan muncul.
Terraform
Gunakan resource google_integrations_client
.
Anda dapat menggunakan terraform untuk membuat profil autentikasi berikut:
- Token autentikasi
- Khusus sertifikasi klien SSL/TLS
- Token Web JSON (JWT)
- Kode otorisasi OAuth 2.0
- Kredensial klien OAuth 2.0
- Token ID OIDC
- Service account
Token autentikasi
Contoh berikut membuat Jenis autentikasi token Auth di region us-central1
:
Sertifikasi klien SSL/TLS
Contoh berikut membuat jenis autentikasi sertifikasi klien SSL/TLS di region us-central1
:
Token Web JSON (JWT)
Contoh berikut membuat jenis autentikasi Token Web JSON (JWT) di region us-central1
:
Kode otorisasi OAuth 2.0
Contoh berikut membuat jenis autentikasi sertifikasi klien SSL/TLS di region us-central1
:
Kredensial klien OAuth 2.0
Contoh berikut membuat jenis autentikasi kredensial klien OAuth 2.0 di region us-central1
:
Token ID OIDC Google
Contoh berikut membuat jenis autentikasi token ID OIDC Google di region us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_oidc_token" { location = "us-central1" display_name = "tf-oidc-token" description = "Test auth config created via terraform" decrypted_credential { credential_type = "OIDC_TOKEN" oidc_token { service_account_email = google_service_account.service_account.email audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Service account
Contoh berikut membuat jenis autentikasi akun layanan di region us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_service_account" { location = "us-central1" display_name = "tf-service-account" description = "Test auth config created via terraform" decrypted_credential { credential_type = "SERVICE_ACCOUNT" service_account_credentials { service_account = google_service_account.service_account.email scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Setelah Anda menyimpan, profil autentikasi baru akan tersedia sebagai opsi di drop-down Authorization profile to use dari tugas apa pun yang memerlukan autentikasi.
Opsional. Jika belum membuat profil autentikasi sebelum mengonfigurasi tugas integrasi, Anda dapat mengakses dialog pembuatan profil dengan memilih + Tambahkan profil autentikasi baru dari drop-down Profil otorisasi yang akan digunakan di panel konfigurasi tugas. Ikuti langkah-langkah sebelumnya untuk membuat profil autentikasi baru.
Mengedit profil autentikasi
Untuk mengedit profil autentikasi, ikuti langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Integrasi Aplikasi.
- Di menu navigasi, klik Auth Profiles.
- Pilih Region untuk profil autentikasi menggunakan menu drop-down di halaman Authentication Profiles.
- Klik
Dialog Authentication Profiles akan muncul.
(menu Tindakan), lalu klik Edit.
- Edit detailnya, lalu klik Simpan.
Halaman Authentication Profiles akan muncul.
Menghapus profil autentikasi
Untuk menghapus profil autentikasi, ikuti langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Integrasi Aplikasi.
- Di menu navigasi, klik Auth Profiles.
- Pilih Region untuk profil autentikasi menggunakan menu drop-down di halaman Authentication Profiles.
- Klik Hapus.
Halaman Authentication Profiles akan muncul.
Jenis autentikasi
Jenis autentikasi yang diperlukan untuk menyelesaikan tugas integrasi bergantung pada autentikasi yang dikonfigurasi di server otorisasi. Server otorisasi dapat berupa server mandiri atau API yang menerbitkan kredensial ke klien pemanggil. Integrasi Aplikasi mendukung jenis autentikasi berikut:
- Token autentikasi
- Token ID OIDC Google
- Token Web JSON (JWT)
- Kode otorisasi OAuth 2.0
- Kredensial klien OAuth 2.0
- Kredensial sandi pemilik resource OAuth 2.0
- Khusus sertifikasi klien SSL/TLS
- Service account
Bagian berikut menjelaskan properti konfigurasi jenis autentikasi.
Token Autentikasi
Jenis autentikasi Token autentikasi menggunakan token (kredensial) untuk autentikasi. Kredensial dikirim ke server dalam header permintaanAuthorization
HTTP dalam format Authorization: TYPE CREDENTIALS
. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:
- Jenis: Jenis autentikasi seperti
Basic
,Bearer
, atauMAC
. - Token: Kredensial untuk jenis autentikasi.
Jika server autentikasi memerlukan sertifikat SSL/TLS, upload sertifikat dan kunci pribadi.
Untuk mengetahui tugas mana yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.Token ID OIDC Google
Jenis autentikasi Token ID OIDC Google menggunakan Token Web JSON (JWT) untuk autentikasi. Penyedia OpenID Connect (OIDC) Google, accounts.google.com, menandatangani dan menerbitkan JWT ini untuk autentikasi menggunakan akun layanan. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:- Akun layanan: Akun layanan (akun utama) di project Google Cloud Anda dengan izin untuk mengakses API.
- Audiens: Audiens untuk token OIDC (ini mengidentifikasi penerima yang dituju JWT). Misalnya, Trigger URL adalah audiens untuk tugas Cloud Function.
Token Web JSON (JWT)
Jenis autentikasi JWT menggunakan Token Web JSON (JWT) untuk autentikasi. Untuk mengetahui informasi selengkapnya tentang JWT, lihat RFC7519. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:- Header JWT: Algoritma yang digunakan untuk membuat tanda tangan.
Catatan: Anda hanya dapat menentukan algoritma HS256.
- Payload JWT: Kumpulan klaim. Anda dapat menggunakan klaim terdaftar, publik, atau kustom.
- Rahasia: Kunci bersama antara klien dan server autentikasi.
Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi .
Untuk mengetahui tugas mana yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.Kode otorisasi OAuth 2.0
Jenis autentikasi kode otorisasi OAuth 2.0 menggunakan token otorisasi OAuth 2.0
untuk autentikasi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:
- Endpoint autentikasi: Endpoint ke endpoint autentikasi aplikasi. Anda akan dialihkan ke URL ini untuk meninjau izin akses aplikasi. Token hanya akan dibuat setelah akses diberikan.
- Endpoint token: Endpoint yang memberikan atau memperbarui token akses.
- Client ID: String unik yang diberikan oleh server autentikasi kepada klien terdaftar. Client ID bukan rahasia, dan ditampilkan kepada pemilik resource. Gunakan kolom ini bersama dengan secret klien.
- Rahasia: Kunci rahasia bersama antara klien (integrasi) dan server autentikasi.
- Cakupan: Cakupan token akses. Cakupan memungkinkan Anda menentukan izin akses untuk pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan oleh satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.
Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.
Untuk mengetahui tugas mana yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.Kredensial klien OAuth 2.0
Jenis autentikasi kredensial klien OAuth 2.0 menggunakan token otorisasi OAuth 2.0
untuk autentikasi. Autentikasi ini pertama-tama meminta token akses menggunakan
kredensial klien, lalu menggunakan token untuk mengakses resource yang dilindungi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:
- Endpoint token: Endpoint yang memberikan atau memperbarui token akses.
- Client ID: String unik yang diberikan oleh server autentikasi kepada klien terdaftar. Client ID bukan rahasia, dan ditampilkan kepada pemilik resource. Gunakan kolom ini bersama dengan secret klien.
- Rahasia: Kunci rahasia bersama antara klien (integrasi) dan server autentikasi.
- Cakupan: Cakupan token akses. Cakupan memungkinkan Anda menentukan izin akses untuk pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan oleh satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.
- Jenis permintaan: Mekanisme untuk mengirim parameter permintaan ke
server autentikasi untuk mengambil token akses. Anda dapat menentukan salah satu jenis permintaan berikut:
- Header encoder: Mengenkode
CLIENT ID
danCLIENT SECRET
dalam formatBase64
dan mengirim string yang dienkode dalam header otorisasi HTTP. Parameter permintaan yang tersisa dikirim dalam isi permintaan HTTP. - Parameter kueri: Mengirim parameter permintaan dalam string kueri.
- Isi permintaan: Mengirim parameter permintaan menggunakan
jenis konten
application/x-www-form-urlencoded
dan karakterUTF-8
dientity-body
permintaan HTTP. - Tidak ditentukan
- Header encoder: Mengenkode
- Parameter token: Parameter permintaan yang diperlukan untuk mendapatkan token. Tentukan
nilai dalam format nilai kunci dengan
Key
adalah nama parameter danValue
adalah nilai parameter yang sesuai.
Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.
Untuk mengetahui tugas mana yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.Kredensial sandi pemilik resource OAuth 2.0
Jenis autentikasi kredensial sandi pemilik resource OAuth 2.0 menggunakan token otorisasi OAuth 2.0
untuk autentikasi. Autentikasi ini pertama-tama meminta token akses menggunakan
kredensial pemilik resource (Nama Pengguna dan Sandi), lalu menggunakan token untuk mengakses resource yang dilindungi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut berdasarkan jenis instance yang Anda hubungkan:
- Endpoint token: Endpoint yang memberikan atau memperbarui token akses.
- Client ID: String unik yang diberikan oleh server autentikasi kepada klien terdaftar. Client ID bukan rahasia, dan ditampilkan kepada pemilik resource. Gunakan kolom ini bersama dengan secret klien.
- Rahasia: Kunci rahasia bersama antara klien (integrasi) dan server autentikasi.
- Cakupan: Cakupan token akses. Cakupan memungkinkan Anda menentukan izin akses untuk pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan oleh satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.
- Nama pengguna: Nama pengguna pemilik resource.
- Sandi: Sandi pengguna.
- Jenis permintaan: Mekanisme untuk mengirim parameter permintaan ke
server autentikasi untuk mengambil token akses. Anda dapat menentukan salah satu jenis permintaan berikut:
- Header encoder: Mengenkode
CLIENT ID
danCLIENT SECRET
dalam formatBase64
dan mengirim string yang dienkode dalam header otorisasi HTTP. Mengirimkan parameter permintaan yang tersisa dalam isi permintaan HTTP. - Parameter kueri: Mengirim parameter permintaan dalam string kueri.
- Isi permintaan: Mengirim parameter permintaan menggunakan
jenis konten
application/x-www-form-urlencoded
dan karakterUTF-8
dientity-body
permintaan HTTP.
- Header encoder: Mengenkode
- Parameter token: Parameter permintaan yang diperlukan untuk mendapatkan token. Tentukan
nilai dalam format nilai kunci dengan
Key
adalah nama parameter danValue
adalah nilai parameter yang sesuai.
Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.
Untuk mengetahui tugas mana yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.Khusus sertifikat klien SSL/TLS
Jenis autentikasi khusus sertifikat klien SSL/TLS hanya menggunakan sertifikat SSL/TLS untuk autentikasi. Upload sertifikat dan kunci pribadi yang diperlukan. Untuk mengonfigurasi jenis autentikasi ini, upload file berikut:- Sertifikat SSL: Sertifikat yang dienkode dalam format PEM.
- Kunci pribadi: File kunci pribadi sertifikat yang dienkode dalam format PEM.
Jika kunci pribadi memerlukan
passphrase
, masukkan Frasa sandi kunci pribadi.
Akun layanan
Jenis autentikasi Akun layanan menggunakan kredensial akun layanan project Google Cloud untuk autentikasi. Untuk mengonfigurasi jenis autentikasi ini, tetapkan properti berikut:
- Akun layanan: Akun layanan (akun utama) di project Google Cloud Anda dengan izin untuk mengakses API Anda.
- Cakupan: Cakupan izin akses yang diberikan kepada pengguna. Anda dapat menentukan beberapa cakupan yang dipisahkan oleh satu spasi (" "). Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API.
Untuk mempelajari praktik terbaik dalam membuat dan mengelola akun layanan, baca Praktik terbaik untuk menggunakan dokumentasi akun layanan.
Jika server autentikasi memerlukan sertifikat SSL, upload sertifikat dan kunci pribadi menggunakan pemilih file. Masukkan frasa sandi kunci pribadi di kolom yang tersedia, jika diperlukan.
Untuk mengetahui tugas mana yang mendukung jenis autentikasi ini, lihat Kompatibilitas jenis autentikasi dengan tugas.Kompatibilitas jenis autentikasi dengan tugas
Tabel berikut mencantumkan jenis autentikasi dan tugas yang kompatibel. Anda dapat menggunakan informasi ini untuk memutuskan jenis autentikasi yang akan digunakan untuk suatu tugas.
Authentication type | Tugas dan pemicu yang kompatibel |
---|---|
Token autentikasi | |
Token ID OIDC Google | |
Token Web JSON (JWT) | |
Kode otorisasi OAuth 2.0 | |
Kredensial klien OAuth 2.0 | |
Kredensial sandi pemilik resource OAuth 2.0 | |
Khusus sertifikat klien SSL/TLS | |
Service account |
Aturan autentikasi
Jika integrasi Anda memiliki profil OAuth 2.0 dan akun layanan yang dikelola pengguna yang dikonfigurasi, profil OAuth 2.0 akan digunakan untuk autentikasi secara default. Jika profil OAuth 2.0 atau akun layanan yang dikelola pengguna tidak dikonfigurasi, akun layanan default (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
) akan digunakan. Jika tugas tidak menggunakan akun layanan default, eksekusi akan gagal.