Consulte os conectores compatíveis com a Application Integration.

Gerenciar perfis de autenticação

As tarefas na Application Integration podem exigir conexão com um aplicativo, serviço ou fonte de dados externa. Um perfil de autenticação permite configurar e armazenar os detalhes de autenticação da conexão na Application Integration. É possível configurar a tarefa para usar o perfil de autenticação armazenado. Um perfil de autenticação é criado apenas uma vez, e é possível reutilizar o mesmo perfil em várias integrações.

Funções exigidas

Se quiser ter as permissões necessárias para gerenciar perfis de autenticação, peça ao administrador para conceder a você os seguintes papéis do IAM na integração:

• Administrador do Application Integration (roles/integrations.integrationAdmin)
• Crie perfis de autenticação: Editor do Application Integration (roles/integrations.integrationEditor)
• Edite perfis de autenticação: Editor do Application Integration (roles/integrations.integrationEditor)
• Excluir perfis de autenticação: Administrador do Application Integration (roles/integrations.integrationAdmin)

Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Crie um ID do cliente OAuth 2.0

Um ID do cliente é usado para identificar um único aplicativo nos servidores OAuth do Google. Caso seu aplicativo seja executado em várias plataformas, cada uma precisará de seu próprio ID do cliente. Para usar o OAuth 2.0 no seu aplicativo, você precisa de um ID do cliente OAuth 2.0, que o aplicativo usa para solicitar um token de acesso OAuth 2.0.

Para criar um ID do cliente OAuth 2.0, siga estas etapas:

1. No Console do Google Cloud, acesse APIs e serviços > Credenciais.

   Ir para Credenciais

2. Clique em + Criar credenciais e selecione ID do cliente OAuth na lista de opções disponíveis.

   A página Criar ID do cliente OAuth é exibida.

3. Tipo de aplicativo: selecione Aplicativo da Web na lista suspensa.
4. Nome: insira um nome para seu cliente OAuth 2.0 para identificar o cliente no Console do Cloud.
5. Em URIs de redirecionamento autorizados, clique em +Adicionar URI e insira o seguinte:

    https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION

6. Clique em Criar.

   Um ID do cliente OAuth 2.0 foi criado.

Criar um novo perfil de autenticação

Para criar um novo perfil de autenticação, selecione uma das seguintes opções:

resource "google_integrations_client" "client" {
  location = "us-central1"
}

resource "google_integrations_auth_config" "auth_config_auth_token" {
  location     = "us-central1"
  display_name = "tf-auth-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "AUTH_TOKEN"
    auth_token {
      type  = "Basic"
      token = "some-random-token"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_certificate" {
  location     = "us-central1"
  display_name = "tf-certificate"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "CLIENT_CERTIFICATE_ONLY"
  }
  client_certificate {
    ssl_certificate       = <<EOT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
EOT
    encrypted_private_key = <<EOT
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
EOT
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_jwt" {
  location     = "us-central1"
  display_name = "tf-jwt"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "JWT"
    jwt {
      jwt_header  = "{\"alg\": \"HS256\", \"typ\": \"JWT\"}"
      jwt_payload = "{\"sub\": \"1234567890\", \"name\": \"John Doe\", \"iat\": 1516239022}"
      secret      = "secret"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_oauth2_authorization_code" {
  location     = "us-central1"
  display_name = "tf-oauth2-authorization-code"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_AUTHORIZATION_CODE"
    oauth2_authorization_code {
      client_id      = "Kf7utRvgr95oGO5YMmhFOLo8"
      client_secret  = "D-XXFDDMLrg2deDgczzHTBwC3p16wRK1rdKuuoFdWqO0wliJ"
      scope          = "photo offline_access"
      auth_endpoint  = "https://authorization-server.com/authorize"
      token_endpoint = "https://authorization-server.com/token"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_oauth2_client_credentials" {
  location     = "us-central1"
  display_name = "tf-oauth2-client-credentials"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_CLIENT_CREDENTIALS"
    oauth2_client_credentials {
      client_id      = "demo-backend-client"
      client_secret  = "MJlO3binatD9jk1"
      scope          = "read"
      token_endpoint = "https://login-demo.curity.io/oauth/v2/oauth-token"
      request_type   = "ENCODED_HEADER"
      token_params {
        entries {
          key {
            literal_value {
              string_value = "string-key"
            }
          }
          value {
            literal_value {
              string_value = "string-value"
            }
          }
        }
      }
    }
  }
  depends_on = [google_integrations_client.client]
}

Depois de salvar, o novo perfil de autenticação estará disponível como uma opção no menu suspenso Perfil de autorização para usar de qualquer tarefa que exija autenticação.

Opcional. Se você não tiver criado um perfil de autenticação antes de configurar uma tarefa de integração, será possível acessar a caixa de diálogo de criação de perfil selecionando + Adicionar novo perfil de autenticação na lista suspensa Perfil de autorização a ser usado no painel de configurações da tarefa. Siga as etapas anteriores para criar um novo perfil de autenticação.

Editar perfis de autenticação

Para editar um perfil de autenticação, siga estas etapas:

1. No console do Google Cloud, acesse a página Application Integration.

   Acessar o Application Integration

2. No menu de navegação, clique em Auth Profiles.

A página Perfis de autenticação é exibida.

3. Selecione uma Região para o perfil de autenticação usando o menu suspenso na página Perfis de autenticação.
4. Clique em more_vert (Menu de ações) e em Editar.

   A caixa de diálogo Authentication Profiles vai aparecer.

5. Edite os detalhes e clique em Salvar.

Excluir perfis de autenticação

Para excluir um perfil de autenticação, siga estas etapas:

1. No console do Google Cloud, acesse a página Application Integration.

   Acessar o Application Integration

2. No menu de navegação, clique em Auth Profiles.

A página Perfis de autenticação é exibida.

3. Selecione uma Região para o perfil de autenticação usando o menu suspenso na página Perfis de autenticação.
4. Clique em Excluir.

Tipos de autenticação

O tipo de autenticação necessário para concluir uma tarefa de integração depende da autenticação configurada no servidor de autorização. O servidor de autorização pode ser um servidor independente ou uma API que emite credenciais para o cliente que faz a chamada. A Application Integration oferece suporte aos seguintes tipos de autenticação:

• Token de autenticação
• Token de ID do OIDC do Google
• JSON Web Token (JWT)
• Código de autorização OAuth 2.0
• Credenciais do cliente OAuth 2.0
• Credenciais de senha do proprietário do recurso OAuth 2.0
• Apenas para certificado de cliente SSL/TLS
• Conta de serviço

As seções a seguir descrevem as propriedades de configuração dos tipos de autenticação.

Token de autenticação

• Tipo: tipo de autenticação, como Basic, Bearer ou MAC.
• Token: credenciais para o tipo de autenticação.

Se o servidor de autenticação exigir um certificado SSL/TLS, faça upload do certificado e da chave privada.

Token de ID do OIDC do Google

• Conta de serviço: conta de serviço (principal) no seu projeto do Google Cloud com permissão para acessar sua API.
• Público-alvo: o público-alvo do token OIDC (identifica os destinatários a que o JWT se destina). Por exemplo, URL do acionador é o público-alvo da tarefa Cloud Functions.

JSON Web Token (JWT)

• Cabeçalho JWT: algoritmo usado para gerar a assinatura.

  Observação: é possível especificar apenas o algoritmo HS256.

• Payload JWT: um conjunto de declarações. É possível usar declarações registradas, públicas ou personalizadas.
• Secret: chave compartilhada entre o cliente e o servidor de autenticação.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada.

Código de autorização OAuth 2.0

O tipo de autenticação código de autorização do OAuth 2.0 usa um token de autorização OAuth 2.0 para autenticação. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Endpoint de autenticação: endpoint para o endpoint de autenticação do aplicativo. Você será redirecionado a esse URL para revisar as permissões de acesso do aplicativo. O token será gerado somente após a concessão do acesso.
• Endpoint do token: endpoint que concede ou atualiza o token de acesso.
• ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
• Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
• Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Credenciais do cliente OAuth 2.0

O tipo de autenticação credenciais de cliente do OAuth 2.0 usa um token de autorização OAuth 2.0 para autenticação. Essa autenticação solicita um token de acesso usando as credenciais do cliente e depois usa o token para acessar os recursos protegidos. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Endpoint do token: endpoint que concede ou atualiza o token de acesso.
• ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
• Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
• Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
• Tipos de solicitação: mecanismos para enviar os parâmetros da solicitação ao servidor de autenticação para buscar o token de acesso. É possível especificar qualquer um dos tipos de solicitação a seguir:
  • Cabeçalho do codificador: codifica o CLIENT ID e o CLIENT SECRET no formato Base64 e envia a string codificada no cabeçalho de autorização HTTP. Os parâmetros de solicitação restantes são enviados no corpo da solicitação HTTP.
  • Parâmetros de consulta: envia os parâmetros de solicitação em uma string de consulta.
  • Corpo da solicitação: envia os parâmetros da solicitação usando o tipo de conteúdo application/x-www-form-urlencoded e o conjunto de caracteres UTF-8 no entity-body da solicitação HTTP.
  • Não especificado
• Parâmetros de token: parâmetros de solicitação necessários para receber o token. Especifique os valores no formato de chave-valor, em que Key é o nome do parâmetro e Value é o valor do parâmetro correspondente.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Credenciais de senha do proprietário do recurso OAuth 2.0

O tipo de autenticação credenciais de senha de proprietário do recurso OAuth 2.0 usa um token de autorização OAuth 2.0 para autenticação. Essa autenticação solicita um token de acesso usando as credenciais de proprietário do recurso (nome de usuário e senha) e depois usa o token para acessar os recursos protegidos. Para configurar esse tipo de autenticação, defina as seguintes propriedades com base no tipo de instância a que você se conecta:

• Endpoint do token: endpoint que concede ou atualiza o token de acesso.
• ID do cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registrado. O ID do cliente não é um secret e é exposto ao proprietário do recurso. Use esse campo junto de uma chave secreta do cliente.
• Secret: chave secreta compartilhada entre o cliente (integração) e o servidor de autenticação.
• Escopo(s): escopo do token de acesso. Os escopos permitem especificar permissões de acesso para os usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.
• Nome de usuário: nome de usuário do proprietário do recurso.
• Senha: senha do usuário.
• Tipos de solicitação: mecanismos para enviar os parâmetros da solicitação ao servidor de autenticação para buscar o token de acesso. É possível especificar qualquer um dos tipos de solicitação a seguir:
  • Cabeçalho do codificador: codifica o CLIENT ID e o CLIENT SECRET no formato Base64 e envia a string codificada no cabeçalho de autorização HTTP. Envia os parâmetros de solicitação restantes no corpo da solicitação HTTP.
  • Parâmetros de consulta: envia os parâmetros de solicitação em uma string de consulta.
  • Corpo da solicitação: envia os parâmetros da solicitação usando o tipo de conteúdo application/x-www-form-urlencoded e o conjunto de caracteres UTF-8 no entity-body da solicitação HTTP.
• Parâmetros de token: parâmetros de solicitação necessários para receber o token. Especifique os valores no formato de chave-valor, em que Key é o nome do parâmetro e Value é o valor do parâmetro correspondente.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Somente certificado do cliente SSL/TLS

• Certificado SSL: certificado codificado no formato PEM.
• Chave privada: arquivo de chave privada do certificado codificado no formato PEM.

  Se a chave privada exigir uma passphrase, digite a Senha longa da chave privada.

Conta de serviço

O tipo de autenticação Conta de serviço usa as credenciais de uma conta de serviço do projeto do Google Cloud para autenticação. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Conta de serviço: conta de serviço (principal) no seu projeto do Google Cloud com permissão para acessar sua API.
• Escopo(s): escopo das permissões de acesso dos usuários. É possível especificar vários escopos separados por um único espaço (" "). Para mais informações, consulte Escopos do OAuth 2.0 para APIs do Google.

Para saber mais sobre as práticas recomendadas para criar e gerenciar contas de serviço, leia a documentação Práticas recomendadas para trabalhar com contas de serviço.

Se o servidor de autenticação exigir um certificado SSL, faça o upload dele e da chave privada usando o seletor de arquivos. Digite a senha longa da chave privada no campo disponível, se necessário.

Compatibilidade dos tipos de autenticação com tarefas

A tabela a seguir mostra os tipos de autenticação e as tarefas compatíveis correspondentes. Use essas informações para decidir qual tipo de autenticação usar para uma tarefa.

Regra de autenticação

Se a integração tiver um perfil OAuth 2.0 e uma conta de serviço gerenciada pelo usuário configurados, o perfil OAuth 2.0 será usado para a autenticação por padrão. Se nem o perfil do OAuth 2.0 nem a conta de serviço gerenciada pelo usuário estiverem configurados, a conta de serviço padrão (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com) será usada. Se a tarefa não usar a conta de serviço padrão, a execução falhará.