查看 Application Integration 支援的連接器。
管理驗證設定檔
Application Integration 中的工作可能需要連線至外部應用程式、服務或資料來源。驗證設定檔可讓您針對 Application Integration 中的連線,設定及儲存驗證詳細資料。您可以設定工作,使用儲存的驗證設定檔。建立驗證設定檔是一次性活動,您可以在多項整合中重複使用同一個設定檔。
必要的角色
如要取得管理驗證設定檔所需的權限,請要求管理員在整合服務中授予下列 IAM 角色:
-
應用程式整合管理員 (
roles/integrations.integrationAdmin
) -
建立驗證設定檔:
Application Integration 編輯器 (
roles/integrations.integrationEditor
) -
編輯驗證設定檔:
Application Integration 編輯者 (
roles/integrations.integrationEditor
) -
刪除驗證設定檔:
應用程式整合管理員 (
roles/integrations.integrationAdmin
)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
建立 OAuth 2.0 用戶端 ID
Google 的 OAuth 伺服器會使用用戶端 ID 來識別個別應用程式。如果您的應用程式是在多個平台中運作,每個平台都會需要專屬的用戶端 ID。如要在應用程式中使用 OAuth 2.0,您需要 OAuth 2.0 用戶端 ID。應用程式要求 OAuth 2.0 存取權杖時,會使用這個 ID。
如要建立 OAuth 2.0 用戶端 ID,請按照下列步驟操作:
- 在 Google Cloud 控制台中,依序前往「APIs & Services」(API 和服務) >「Credentials」(憑證)。
- 按一下「+ 建立憑證」,然後從可用選項清單中選取「OAuth 用戶端 ID」。
系統會顯示「建立 OAuth 用戶端 ID」頁面。
- 應用程式類型:從下拉式清單中選取「網頁應用程式」。
- 名稱:輸入 OAuth 2.0 用戶端的名稱,以便在 Cloud 控制台中識別用戶端。
- 在「Authorized redirect URIs」(已授權的重新導向 URI) 下方,按一下「+Add URI」(新增 URI),然後輸入下列內容:
https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION
- 按一下「建立」。
系統已成功建立 OAuth 2.0 用戶端 ID。
建立新的驗證設定檔
如要建立新的驗證設定檔,請選取下列其中一個選項:
控制台
- 前往 Google Cloud 控制台的「Application Integration」頁面。
- 在導覽選單中,按一下「Auth Profiles」(驗證設定檔)。
- 按一下「建立」,然後輸入下列詳細資料:
- 在「設定檔名稱」欄位中,輸入要在整合編輯器中顯示的驗證設定檔名稱。
- 從「Region」(區域) 清單中,選取驗證設定檔的區域。
- 在「Description」(說明) 欄位中,輸入驗證設定檔的說明。
- 按一下 [繼續]。
- 在「驗證類型」清單中選取驗證類型,然後輸入必要詳細資料。 對話方塊會根據您的選擇,顯示驗證憑證所需的其他欄位。您可以選取下列任一驗證類型:
- 您也可以視需要新增 SSL/TLS 用戶端憑證,供伺服器驗證用戶端的身分。你可以輸入下列欄位:
- SSL 憑證
- 私密金鑰
- 私密金鑰通關密語
- 點選「建立」。
系統隨即會顯示「Authentication Profiles」(驗證設定檔) 頁面。
Terraform
使用 google_integrations_client
資源。
您可以使用 Terraform 建立下列驗證設定檔:
驗證權杖
下列範例會在 us-central1
地區中建立「驗證權杖」驗證類型:
SSL/TLS 用戶端憑證
以下範例會在 us-central1
區域中建立 SSL/TLS 用戶端憑證驗證類型:
JSON Web Token (JWT)
下列範例會在 us-central1
區域中建立 JSON Web Token (JWT) 驗證類型:
OAuth 2.0 授權碼
以下範例會在 us-central1
區域中建立 SSL/TLS 用戶端憑證驗證類型:
OAuth 2.0 用戶端憑證
下列範例會在 us-central1
區域中建立 OAuth 2.0 用戶端憑證驗證類型:
Google OIDC ID 權杖
下列範例會在 us-central1
區域中建立 Google OIDC ID 權杖驗證類型:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_oidc_token" { location = "us-central1" display_name = "tf-oidc-token" description = "Test auth config created via terraform" decrypted_credential { credential_type = "OIDC_TOKEN" oidc_token { service_account_email = google_service_account.service_account.email audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
服務帳戶
以下範例會在 us-central1
區域中建立服務帳戶驗證類型:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_service_account" { location = "us-central1" display_name = "tf-service-account" description = "Test auth config created via terraform" decrypted_credential { credential_type = "SERVICE_ACCOUNT" service_account_credentials { service_account = google_service_account.service_account.email scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
儲存後,新的驗證設定檔會顯示在任何需要驗證的工作的「要使用的授權設定檔」下拉式選單中。
(選用) 如果您在設定整合工作前未建立驗證設定檔,可以從工作設定窗格的「Authorization profile to use」下拉式選單中選取「+ Add new authentication profile」,存取設定檔建立對話方塊。按照上述步驟建立新的驗證設定檔。
編輯驗證設定檔
如要編輯驗證設定檔,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Application Integration」頁面。
- 在導覽選單中,按一下「Auth Profiles」(驗證設定檔)。
- 在「驗證設定檔」頁面中,使用下拉式選單選取驗證設定檔的區域。
- 按一下「動作選單」圖示
系統會隨即顯示「Authentication Profiles」對話方塊。
,然後按一下「編輯」。
- 編輯詳細資料,然後按一下「儲存」。
系統隨即會顯示「Authentication Profiles」(驗證設定檔) 頁面。
刪除驗證設定檔
如要刪除驗證設定檔,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Application Integration」頁面。
- 在導覽選單中,按一下「Auth Profiles」(驗證設定檔)。
- 在「驗證設定檔」頁面中,使用下拉式選單選取驗證設定檔的區域。
- 點選「刪除」。
系統隨即會顯示「Authentication Profiles」(驗證設定檔) 頁面。
驗證類型
完成整合工作所需的驗證類型,取決於授權伺服器中設定的驗證。 授權伺服器可以是獨立伺服器,也可以是向呼叫用戶端核發憑證的 API。Application Integration 支援下列驗證類型:
- 驗證權杖
- Google OIDC ID 權杖
- JSON Web Token (JWT)
- OAuth 2.0 授權碼
- OAuth 2.0 用戶端憑證
- OAuth 2.0 資源擁有者密碼憑證
- 僅限 SSL/TLS 用戶端憑證
- 服務帳戶
以下各節說明驗證類型的設定屬性。
驗證權杖
「Auth token」驗證類型會使用權杖 (憑證) 進行驗證。 憑證會以Authorization: TYPE CREDENTIALS
格式傳送至 HTTP Authorization
要求標頭中的伺服器。如要設定這類驗證方式,請設定下列屬性:
- 類型:驗證類型,例如
Basic
、Bearer
或MAC
。 - 權杖:驗證類型的憑證。
如果驗證伺服器需要 SSL/TLS 憑證,請上傳憑證和私密金鑰。
如要瞭解哪些工作支援這類驗證,請參閱「驗證類型與工作的相容性」。Google OIDC ID 權杖
Google OIDC ID 權杖驗證類型會使用 JSON Web Token (JWT) 進行驗證。 Google OpenID Connect (OIDC) 供應商 (accounts.google.com) 會簽署並核發這些 JWT,以透過服務帳戶進行驗證。如要設定這類驗證方式,請設定下列屬性:- 服務帳戶: Google Cloud 專案中的服務帳戶 (主體),具備存取 API 的權限。
- 目標對象:OIDC 權杖的目標對象 (這會識別 JWT 的指定接收者)。舉例來說,「觸發網址」是 Cloud Function 工作適用的目標對象。
JSON Web Token (JWT)
JWT 驗證類型會使用 JSON Web Token (JWT) 進行驗證。如要進一步瞭解 JWT,請參閱 RFC7519。如要設定這類驗證方式,請設定下列屬性:- JWT 標頭:用於產生簽章的演算法。
注意:您只能指定 HS256 演算法。
- JWT 酬載:一組憑證附加資訊。您可以使用已註冊、公開或自訂的聲明。
- 密鑰:用戶端與驗證伺服器之間共用的金鑰。
如果驗證伺服器需要 SSL 憑證,請使用檔案挑選器上傳憑證和私密金鑰。輸入私密金鑰通關密語。
如要瞭解哪些工作支援這類驗證,請參閱「驗證類型與工作的相容性」。OAuth 2.0 授權碼
OAuth 2.0 授權碼驗證類型會使用授權權杖 OAuth 2.0
進行驗證。如要設定這類驗證方式,請設定下列屬性:
- 驗證端點:應用程式驗證端點的端點。系統會將您重新導向至這個網址,以查看應用程式的存取權限。只有在授予存取權後,系統才會產生權杖。
- 權杖端點:授予或重新整理存取權杖的端點。
- 用戶端 ID:驗證伺服器提供給已註冊用戶端的專屬字串。用戶端 ID 不是密鑰,會向資源擁有者公開。請一併使用這個欄位和用戶端密碼。
- 密鑰:用戶端 (整合) 與驗證伺服器之間共用的密鑰。
- 範圍:存取權杖的範圍。範圍可讓您指定使用者的存取權限。您可以指定多個範圍,並以單一空格 (" ") 分隔。詳情請參閱「Google API 適用的 OAuth 2.0 範圍」。
如果驗證伺服器需要 SSL 憑證,請使用檔案挑選器上傳憑證和私密金鑰。視需要輸入私密金鑰通關密語。
如要瞭解哪些工作支援這類驗證,請參閱「驗證類型與工作的相容性」。OAuth 2.0 用戶端憑證
OAuth 2.0 用戶端憑證驗證類型會使用授權權杖進行驗證。OAuth 2.0
這項驗證會先使用用戶端憑證要求存取權杖,然後使用該權杖存取受保護的資源。如要設定這類驗證方式,請設定下列屬性:
- 權杖端點:授予或重新整理存取權杖的端點。
- 用戶端 ID:驗證伺服器提供給已註冊用戶端的專屬字串。 用戶端 ID 不是密鑰,會向資源擁有者公開。請一併使用這個欄位和用戶端密碼。
- 密鑰:用戶端 (整合) 與驗證伺服器之間共用的密鑰。
- 範圍:存取權杖的範圍。範圍可讓您指定使用者的存取權限。您可以指定多個範圍,並以單一空格 (" ") 分隔。詳情請參閱「Google API 適用的 OAuth 2.0 範圍」。
- 要求類型:將要求參數傳送至驗證伺服器,以擷取存取權杖的機制。您可以指定下列任一要求類型:
- 編碼器標頭:以
Base64
格式編碼CLIENT ID
和CLIENT SECRET
,並在 HTTP 授權標頭中傳送編碼後的字串。其餘要求參數會透過 HTTP 要求主體傳送。 - 查詢參數:在查詢字串中傳送要求參數。
- 要求主體:在 HTTP 要求的
entity-body
中,使用application/x-www-form-urlencoded
內容類型和UTF-8
字元集傳送要求參數。 - 未指定
- 編碼器標頭:以
- 權杖參數:取得權杖時必須提供的要求參數。以鍵/值格式指定值,其中
Key
是參數名稱,Value
則是對應的參數值。
如果驗證伺服器需要 SSL 憑證,請使用檔案挑選器上傳憑證和私密金鑰。視需要輸入私密金鑰通關密語。
如要瞭解哪些工作支援這類驗證,請參閱「驗證類型與工作的相容性」。OAuth 2.0 資源擁有者密碼憑證
OAuth 2.0 資源擁有者密碼憑證驗證類型會使用授權權杖進行驗證。OAuth 2.0
這項驗證會先使用資源擁有者憑證 (使用者名稱和密碼) 要求存取權杖,然後使用該權杖存取受保護的資源。如要設定這類驗證類型,請根據您連線的執行個體類型設定下列屬性:
- 權杖端點:授予或重新整理存取權杖的端點。
- 用戶端 ID:驗證伺服器提供給已註冊用戶端的專屬字串。 用戶端 ID 不是密鑰,會向資源擁有者公開。請一併使用這個欄位和用戶端密碼。
- 密鑰:用戶端 (整合) 與驗證伺服器之間共用的密鑰。
- 範圍:存取權杖的範圍。範圍可讓您指定使用者的存取權限。您可以指定多個範圍,並以單一空格 (" ") 分隔。詳情請參閱「Google API 適用的 OAuth 2.0 範圍」。
- 使用者名稱:資源擁有者的使用者名稱。
- 「Password」(密碼):使用者密碼。
- 要求類型:將要求參數傳送至驗證伺服器,以擷取存取權杖的機制。您可以指定下列任一要求類型:
- 編碼器標頭:以
Base64
格式編碼CLIENT ID
和CLIENT SECRET
,並在 HTTP 授權標頭中傳送編碼後的字串。在 HTTP 要求主體中傳送其餘要求參數。 - 查詢參數:在查詢字串中傳送要求參數。
- 要求主體:在 HTTP 要求的
entity-body
中,使用application/x-www-form-urlencoded
內容類型和UTF-8
字元集傳送要求參數。
- 編碼器標頭:以
- 權杖參數:取得權杖時必須提供的要求參數。以鍵/值格式指定值,其中
Key
是參數名稱,Value
則是對應的參數值。
如果驗證伺服器需要 SSL 憑證,請使用檔案挑選器上傳憑證和私密金鑰。視需要輸入私密金鑰通關密語。
如要瞭解哪些工作支援這類驗證,請參閱「驗證類型與工作的相容性」。僅限 SSL/TLS 用戶端憑證
僅限 SSL/TLS 用戶端憑證驗證類型只會使用 SSL/TLS 憑證進行驗證。 上傳必要憑證和私密金鑰。如要設定這類驗證方式,請上傳下列檔案:- SSL 憑證:以 PEM 格式編碼的憑證。
- 私密金鑰:以 PEM 格式編碼的憑證私密金鑰檔案。
如果私密金鑰需要
passphrase
,請輸入私密金鑰通關密語。
服務帳戶
「服務帳戶」驗證類型會使用Google Cloud 專案的服務帳戶憑證進行驗證。如要設定這類驗證方式,請設定下列屬性:
- 服務帳戶:Google Cloud 專案中的服務帳戶 (主體),具有存取 API 的權限。
- 範圍:授予使用者的存取權限範圍。您可以指定多個範圍,並以單一空格 (" ") 分隔。詳情請參閱「Google API 適用的 OAuth 2.0 範圍」。
如要瞭解建立及管理服務帳戶的最佳做法,請參閱「使用服務帳戶的最佳做法」說明文件。
如果驗證伺服器需要 SSL 憑證,請使用檔案挑選器上傳憑證和私密金鑰。視需要輸入私密金鑰通關密語。
如要瞭解哪些工作支援這類驗證,請參閱「驗證類型與工作的相容性」。驗證類型與工作相容性
下表列出驗證類型和對應的相容工作。您可以根據這項資訊,決定要為工作使用哪種驗證類型。
驗證類型 | 相容的工作和觸發條件 |
---|---|
驗證權杖 | |
Google OIDC ID 權杖 | |
JSON Web Token (JWT) | |
OAuth 2.0 授權碼 | |
OAuth 2.0 用戶端憑證 | |
OAuth 2.0 資源擁有者密碼憑證 | |
僅限 SSL/TLS 用戶端憑證 | |
服務帳戶 |
驗證規則
如果您的整合功能同時設定了 OAuth 2.0 設定檔和使用者管理的服務帳戶,系統預設會使用 OAuth 2.0 設定檔進行驗證。如果未設定 OAuth 2.0 設定檔和使用者自管服務帳戶,系統會使用預設服務帳戶 (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
)。如果工作未使用預設服務帳戶,執行作業就會失敗。