Informationen zu den unterstützten Connectors für Application Integration.
Authentifizierungsprofile verwalten
Die Aufgaben in Ihrer Anwendungsintegration erfordern möglicherweise eine Verbindung zu einer externen Anwendung, einem Dienst oder einer Datenquelle. Mit einem Authentifizierungsprofil können Sie die Authentifizierungsdetails für die Verbindung in Application Integration konfigurieren und speichern. Sie können die Aufgabe so konfigurieren, dass das gespeicherte Authentifizierungsprofil verwendet wird. Das Erstellen eines Authentifizierungsprofils ist eine einmalige Aktivität, die Sie in mehreren Integrationen verwenden können.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für eine Integration zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Authentifizierungsprofilen benötigen:
-
Administrator von Anwendungsintegrationen (
roles/integrations.integrationAdmin
) -
Authentifizierungsprofile erstellen:
Application Integration Editor (
roles/integrations.integrationEditor
) -
Authentifizierungsprofile bearbeiten:
Application Integration-Bearbeiter (
roles/integrations.integrationEditor
) -
Authentifizierungsprofile löschen:
Application Integration Admin (
roles/integrations.integrationAdmin
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
OAuth 2.0-Client-ID erstellen
Eine Client-ID wird zur Identifizierung einer einzelnen Anwendung bei Googles OAuth-Servern verwendet. Wenn Ihre Anwendung auf mehreren Plattformen ausgeführt wird, erfordert jede eine eigene Client-ID. Zur Verwendung von OAuth 2.0 in Ihrer Anwendung benötigen Sie eine OAuth 2.0-Client-ID, die Ihre Anwendung verwendet, wenn ein OAuth 2.0-Zugriffstoken angefordert wird.
So erstellen Sie eine OAuth 2.0-Client-ID:
- Rufen Sie in der Google Cloud -Console APIs und Dienste > Anmeldedaten auf.
- Klicken Sie auf + Anmeldedaten erstellen und wählen Sie OAuth-Client-ID aus der Liste der verfügbaren Optionen aus.
Die Seite OAuth-Client-ID erstellen wird angezeigt.
- Anwendungstyp: Wählen Sie aus der Drop-down-Liste Webanwendung aus.
- Name: Geben Sie einen Namen für den OAuth 2.0-Client ein, um den Client in der Cloud Console zu identifizieren.
- Klicken Sie unter Autorisierte Weiterleitungs-URIs auf + ADD-URI und geben Sie Folgendes ein:
https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION
- Klicken Sie auf Erstellen.
Eine OAuth 2.0-Client-ID wurde erfolgreich erstellt.
Neues Authentifizierungsprofil erstellen
Wählen Sie eine der folgenden Optionen aus, um ein neues Authentifizierungsprofil zu erstellen:
Console
- Rufen Sie in der Google Cloud -Console die Seite Application Integration auf.
- Klicken Sie im Navigationsmenü auf Auth-Profile.
- Klicken Sie auf ERSTELLEN und geben Sie die folgenden Details ein:
- Geben Sie im Feld Profilname den Namen des Authentifizierungsprofils ein, das im Integrationseditor angezeigt werden soll.
- Wählen Sie in der Liste Region eine Region für das Authentifizierungsprofil aus.
- Geben Sie im Feld Beschreibung eine Beschreibung für das Authentifizierungsprofil ein.
- Klicken Sie auf Weiter.
- Wählen Sie in der Liste Authentifizierungstyp den Authentifizierungstyp aus und geben Sie die erforderlichen Details ein. Abhängig von Ihrer Auswahl werden im Dialogfeld zusätzliche Felder angezeigt, die für die Authentifizierungsdaten erforderlich sind. Sie können einen der folgenden Authentifizierungstypen auswählen:
- Optional können Sie SSL/TLS-Clientzertifikate hinzufügen, die vom Server verwendet werden, um die Identität eines Clients zu prüfen. Sie können Folgendes eingeben:
- SSL-Zertifikat
- Privater Schlüssel
- Passphrase für privaten Schlüssel
- Klicken Sie auf Erstellen.
Die Seite Authentifizierungsprofile wird angezeigt.
Terraform
Verwenden Sie die Ressource google_integrations_client
:
Mit Terraform können Sie die folgenden Authentifizierungsprofile erstellen:
- Authentifizierungstoken
- Nur SSL/TLS-Client-Zertifizierung
- JSON-Webtoken (JWT)
- OAuth 2.0-Autorisierungscode
- OAuth 2.0-Clientanmeldedaten
- OIDC-ID-Token
- Dienstkonto
Authentifizierungstoken
Im folgenden Beispiel wird ein Authentifizierungstyp für Authentifizierungstoken in der Region us-central1
erstellt:
SSL/TLS-Client-Zertifizierung
Im folgenden Beispiel wird in der Region us-central1
ein SSL/TLS-Authentifizierungstyp für die Clientzertifizierung erstellt:
JSON-Webtoken (JWT)
Im folgenden Beispiel wird in der Region us-central1
ein JSON Web Token (JWT)-Authentifizierungstyp erstellt:
OAuth 2.0-Autorisierungscode
Im folgenden Beispiel wird in der Region us-central1
ein SSL/TLS-Authentifizierungstyp für die Clientzertifizierung erstellt:
OAuth 2.0-Clientanmeldedaten
Im folgenden Beispiel wird in der Region us-central1
ein Authentifizierungstyp vom Typ „OAuth 2.0-Clientanmeldedaten“ erstellt:
Google OIDC-ID-Token
Im folgenden Beispiel wird ein Google OIDC-ID-Token-Authentifizierungstyp in der Region us-central1
erstellt:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_oidc_token" { location = "us-central1" display_name = "tf-oidc-token" description = "Test auth config created via terraform" decrypted_credential { credential_type = "OIDC_TOKEN" oidc_token { service_account_email = google_service_account.service_account.email audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Dienstkonto
Im folgenden Beispiel wird ein Authentifizierungstyp für Dienstkonten in der Region us-central1
erstellt:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_service_account" { location = "us-central1" display_name = "tf-service-account" description = "Test auth config created via terraform" decrypted_credential { credential_type = "SERVICE_ACCOUNT" service_account_credentials { service_account = google_service_account.service_account.email scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Nach dem Speichern steht das neue Authentifizierungsprofil im Drop-down-Menü Zu verwendendes Autorisierungsprofil für alle Aufgaben zur Authentifizierung zur Verfügung.
Optional: Wenn Sie vor der Konfiguration einer Integrationsaufgabe kein Authentifizierungsprofil erstellt haben, können Sie auf das Dialogfeld für die Profilerstellung zugreifen, indem Sie + Neues Authentifizierungsprofil hinzufügen aus dem Drop-down Zu verwendendes Autorisierungsprofil im Aufgabenkonfigurationsbereich auswählen. Führen Sie die vorherigen Schritte aus, um ein neues Authentifizierungsprofil zu erstellen.
Authentifizierungsprofile bearbeiten
So bearbeiten Sie ein Authentifizierungsprofil:
- Rufen Sie in der Google Cloud -Console die Seite Application Integration auf.
- Klicken Sie im Navigationsmenü auf Auth-Profile.
- Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
- Klicken Sie auf
Das Dialogfeld Authentifizierungsprofile wird angezeigt.
(Menü „Aktionen“) und dann auf Bearbeiten.
- Bearbeiten Sie die Details und klicken Sie auf Speichern.
Die Seite Authentifizierungsprofile wird angezeigt.
Authentifizierungsprofile löschen
So löschen Sie ein Authentifizierungsprofil:
- Rufen Sie in der Google Cloud -Console die Seite Application Integration auf.
- Klicken Sie im Navigationsmenü auf Auth-Profile.
- Wählen Sie auf der Seite Authentifizierungsprofile im Drop-down-Menü eine Region für das Authentifizierungsprofil aus.
- Klicken Sie auf Löschen.
Die Seite Authentifizierungsprofile wird angezeigt.
Authentifizierungstypen
Der Authentifizierungstyp, die zum Ausführen einer Integrationsaufgabe erforderlich ist, hängt von der im Autorisierungsserver konfigurierten Authentifizierung ab. Der Autorisierungsserver kann ein eigenständiger Server oder eine API sein, die Anmeldedaten an den aufrufenden Client ausgibt. Application Integration unterstützt die folgenden Authentifizierungstypen:
- Authentifizierungstoken
- Google OIDC ID Token
- JSON-Webtoken (JWT)
- OAuth 2.0-Autorisierungscode
- OAuth 2.0-Clientanmeldedaten
- Anmeldedaten für den OAuth 2.0-Ressourceninhaber
- Nur SSL/TLS-Client-Zertifizierung
- Dienstkonto
In den folgenden Abschnitten werden die Konfigurationsattribute der Authentifizierungstypen beschrieben.
Authentifizierungstoken
Für den Authentifizierungstyp Authentifizierungstoken wird ein Token (Anmeldedaten) für die Authentifizierung verwendet. Die Anmeldedaten werden im HTTP-AnfrageheaderAuthorization
im Format Authorization: TYPE CREDENTIALS
an den Server gesendet. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:- Typ: Authentifizierungstyp wie
Basic
,Bearer
oderMAC
. - Token: Anmeldedaten für den Authentifizierungstyp.
Wenn der Authentifizierungsserver ein SSL/TLS-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel hoch.
Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.Google OIDC ID Token
Der Authentifizierungstyp Google OIDC ID Token verwendet JSON Web Tokens (JWT) zur Authentifizierung. Der OIDC-Anbieter (Google OpenID Connect) accounts.google.com signiert diese JWTs und gibt sie für die Authentifizierung über ein Dienstkonto aus. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:- Dienstkonto: Dienstkonto (Hauptkonto) in Ihrem Google Cloud -Projekt mit Berechtigung zum Zugriff auf Ihre API.
- Zielgruppe: Die Zielgruppe für das OIDC-Token (also die Empfänger, für die das JWT bestimmt ist). Beispielsweise ist Trigger-URL die Zielgruppe für die Cloud Functions-Aufgabe.
JSON-Webtoken (JWT)
Der Authentifizierungstyp JWT verwendet zur Authentifizierung das JSON-Web-Token (JWT). Weitere Informationen zu JWTs finden Sie unter RFC7519. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:- JWT-Header: Der Algorithmus, mit dem die Signatur generiert wird.
Hinweis: Sie können nur den HS256-Algorithmus angeben.
- JWT-Nutzlast: Eine Reihe von Anforderungen. Sie können registrierte, öffentliche und benutzerdefinierte Anforderungen verwenden.
- Secret: Gemeinsamer Schlüssel von Client und Authentifizierungsserver.
Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie die Passphrase des privaten Schlüssels ein.
Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.OAuth 2.0-Autorisierungscode
Der Authentifizierungstyp OAuth 2.0-Autorisierungscode verwendet zur Authentifizierung ein OAuth 2.0
-Autorisierungstoken. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:
- Authentifizierungsendpunkt: Endpunkt des Authentifizierungsendpunkts der Anwendung. Sie werden zu dieser URL weitergeleitet, um die Zugriffsberechtigungen für die Anwendung zu prüfen. Das Token wird erst generiert, nachdem der Zugriff gewährt wurde.
- Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
- Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
- Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
- Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.
Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.OAuth 2.0-Clientanmeldedaten
Der Authentifizierungstyp OAuth 2.0-Clientanmeldedaten verwendet für die Authentifizierung das Autorisierungstoken OAuth 2.0
. Diese Authentifizierung fordert zuerst mit den Clientanmeldedaten ein Zugriffstoken an und verwendet dann das Token für den Zugriff auf die geschützten Ressourcen. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:
- Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
- Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
- Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
- Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
- Anfragetypen: Mechanismen zum Senden der Anfrageparameter an den Authentifizierungsserver zum Abrufen des Zugriffstokens. Sie können einen der folgenden Anfragetypen angeben:
- Encoder-Header: Codiert
CLIENT ID
undCLIENT SECRET
im FormatBase64
und sendet den codierten String im HTTP-Autorisierungsheader. Die verbleibenden Anfrageparameter werden im HTTP-Anfragetext gesendet. - Abfrageparameter: Sendet die Anfrageparameter in einem Abfragestring.
- Anfragetext: Sendet die Anfrageparameter unter Verwendung des Inhaltstyps
application/x-www-form-urlencoded
und des ZeichensatzesUTF-8
imentity-body
der HTTP-Anfrage. - Ohne Angabe
- Encoder-Header: Codiert
- Tokenparameter: Parameter, die zum Abrufen des Tokens erforderlich sind. Geben Sie die Werte im Schlüssel/Wert-Format an, wobei
Key
der Parametername undValue
der entsprechende Parameterwert ist.
Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.
Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.Anmeldedaten für den OAuth 2.0-Ressourceninhaber
Der Authentifizierungstyp OAuth 2.0 „Anmeldedaten des Ressourceninhabers“ verwendet ein OAuth 2.0
-Autorisierungstoken zur Authentifizierung. Diese Authentifizierung erfordert zuerst ein Zugriffstoken mit den Anmeldedaten des Projektinhabers (Nutzername und Passwort) und verwendet dann das Token, um auf die geschützten Ressourcen zuzugreifen. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren. Dabei müssen Sie sich an den Instanztyp halten, mit dem Sie eine Verbindung herstellen:
- Token-Endpunkt: Endpunkt, mit dem das Zugriffstoken gewährt oder aktualisiert wird.
- Client-ID: Ein eindeutiger String, der vom Authentifizierungsserver an den registrierten Client bereitgestellt wird. Die Client-ID ist kein Secret und wird dem Ressourceninhaber mitgeteilt. Verwenden Sie dieses Feld zusammen mit einem Clientschlüssel.
- Secret: Gemeinsamer geheimer Schlüssel zwischen dem Client (Integration) und dem Authentifizierungsserver.
- Bereiche: Bereich des Zugriffstokens. Mit Bereichen können Sie Zugriffsberechtigungen für Nutzer festlegen. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
- Nutzername: Der Nutzername des Ressourceninhabers.
- Passwort: Nutzerpasswort.
- Anfragetypen: Mechanismen zum Senden der Anfrageparameter an den Authentifizierungsserver zum Abrufen des Zugriffstokens. Sie können einen der folgenden Anfragetypen angeben:
- Encoder-Header: Codiert
CLIENT ID
undCLIENT SECRET
im FormatBase64
und sendet den codierten String im HTTP-Autorisierungsheader. Die verbleibenden Anfrageparameter werden im HTTP-Anfragetext gesendet. - Abfrageparameter: Sendet die Anfrageparameter in einem Abfragestring.
- Anfragetext: Sendet die Anfrageparameter unter Verwendung des Inhaltstyps
application/x-www-form-urlencoded
und des ZeichensatzesUTF-8
imentity-body
der HTTP-Anfrage.
- Encoder-Header: Codiert
- Tokenparameter: Parameter, die zum Abrufen des Tokens erforderlich sind. Geben Sie die Werte im Schlüssel/Wert-Format an, wobei
Key
der Parametername undValue
der entsprechende Parameterwert ist.
Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.
Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.Nur SSL/TLS-Clientzertifikat
Der Authentifizierungstyp Nur SSL/TLS-Clientzertifikat verwendet nur das SSL/TLS-Zertifikat für die Authentifizierung. Laden Sie das erforderliche Zertifikat und den privaten Schlüssel hoch. Laden Sie die folgenden Dateien hoch, um diesen Authentifizierungstyp zu konfigurieren:- SSL-Zertifikat: Zertifikat im PEM-Format codiert.
- Privater Schlüssel: Die private Schlüsseldatei des Zertifikats im PEM-Format codiert.
Wenn der private Schlüssel eine
passphrase
erfordert, geben Sie die Passphrase für den privaten Schlüssel ein.
Dienstkonto
Der Authentifizierungstyp Dienstkonto verwendet die Anmeldedaten des Dienstkontos einesGoogle Cloud -Projekts für die Authentifizierung. Legen Sie die folgenden Attribute fest, um diesen Authentifizierungstyp zu konfigurieren:
- Dienstkonto: Dienstkonto (Hauptkonto) in Ihrem Google Cloud-Projekt mit Berechtigung zum Zugriff auf Ihre API.
- Bereiche: Bereich der Zugriffsberechtigungen, die Nutzern gewährt werden. Sie können mehrere Bereiche angeben. Trennen Sie sie dazu durch ein einzelnes Leerzeichen („ “). Weitere Informationen finden Sie unter OAuth 2.0-Bereiche für Google APIs.
Informationen zu Best Practices für das Erstellen und Verwalten von Dienstkonten finden Sie in der Dokumentation zu Best Practices für die Arbeit mit Dienstkonten.
Wenn der Authentifizierungsserver ein SSL-Zertifikat erfordert, laden Sie das Zertifikat und den privaten Schlüssel mithilfe der Dateiauswahl hoch. Geben Sie bei Bedarf die Passphrase für den privaten Schlüssel in das verfügbare Feld ein.
Informationen darüber, welche Aufgaben diesen Authentifizierungstyp unterstützen, finden Sie unter Kompatibilität der Authentifizierungstypen mit Aufgaben.Kompatibilität von Authentifizierungstypen mit Aufgaben
In der folgenden Tabelle sind die Authentifizierungstypen und die entsprechenden kompatiblen Aufgaben aufgeführt. Anhand dieser Informationen können Sie entscheiden, welcher Authentifizierungstyp für eine Aufgabe verwendet werden soll.
Authentifizierungstyp | Kompatible Aufgaben und Trigger |
---|---|
Authentifizierungstoken | |
Google OIDC ID Token | |
JSON-Webtoken (JWT) | |
OAuth 2.0-Autorisierungscode | |
OAuth 2.0-Clientanmeldedaten | |
Anmeldedaten für den OAuth 2.0-Ressourceninhaber | |
Nur SSL/TLS-Clientzertifikat | |
Dienstkonto |
Authentifizierungsregel
Wenn für Ihre Integration sowohl ein OAuth 2.0-Profil als auch ein nutzerverwaltetes Dienstkonto konfiguriert ist, wird standardmäßig das OAuth 2.0-Profil für die Authentifizierung verwendet. Wenn weder das OAuth 2.0-Profil noch das nutzerverwaltete Dienstkonto konfiguriert ist, wird das Standarddienstkonto (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
) verwendet. Wenn für die Aufgabe nicht das Standarddienstkonto verwendet wird, schlägt die Ausführung fehl.