Consulta i connettori supportati per Application Integration.
Gestisci profili di autenticazione
Le attività in Application Integration potrebbero richiedere la connessione a un'applicazione, un servizio o un'origine dati esterni. Un profilo di autenticazione ti consente di configurare e archiviare i dettagli di autenticazione per la connessione in Application Integration. Puoi configurare l'attività in modo che utilizzi il profilo di autenticazione archiviato. La creazione di un profilo di autenticazione è un'attività una tantum e puoi riutilizzare lo stesso profilo in più integrazioni.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per gestire i profili di autenticazione, chiedi all'amministratore di concederti i seguenti ruoli IAM in un'integrazione:
-
Application Integration Admin (
roles/integrations.integrationAdmin
) -
Crea profili di autenticazione:
Application Integration Editor (
roles/integrations.integrationEditor
) -
Modifica dei profili di autenticazione:
Application Integration Editor (
roles/integrations.integrationEditor
) -
Elimina profili di autenticazione:
Amministratore integrazione applicazioni (
roles/integrations.integrationAdmin
)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea ID client OAuth 2.0
L'ID client viene utilizzato per identificare una singola applicazione nei server OAuth di Google. Se l'applicazione viene eseguita su più piattaforme, ognuna dovrà avere il proprio ID client. Per utilizzare OAuth 2.0 nella tua applicazione, devi disporre di un ID client OAuth 2.0, che la tua applicazione utilizza quando richiede un token di accesso OAuth 2.0.
Per creare un ID client OAuth 2.0, segui questi passaggi:
- Nella Google Cloud console, vai a API e servizi > Credenziali.
- Fai clic su + Crea credenziali e seleziona ID client OAuth dall'elenco delle opzioni disponibili.
Viene visualizzata la pagina Crea ID client OAuth.
- Tipo di applicazione:seleziona Web Application (Applicazione web) dall'elenco a discesa.
- Nome:inserisci un nome per il client OAuth 2.0 per identificarlo nella console Cloud.
- In URI di reindirizzamento autorizzati, fai clic su +Aggiungi URI e inserisci quanto segue:
https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION
- Fai clic su Crea.
Viene creato correttamente un ID client OAuth 2.0.
Crea un nuovo profilo di autenticazione
Per creare un nuovo profilo di autenticazione, seleziona una delle seguenti opzioni:
Console
- Nella console Google Cloud , vai alla pagina Integrazione di applicazioni.
- Nel menu di navigazione, fai clic su Profili di autenticazione.
- Fai clic su Crea e inserisci i seguenti dettagli:
- Nel campo Nome profilo, inserisci il nome del profilo di autenticazione da visualizzare nell'editor di integrazione.
- Dall'elenco Regione, seleziona una regione per il profilo di autenticazione.
- Nel campo Descrizione, inserisci una descrizione per il profilo di autenticazione.
- Fai clic su Continua.
- Dall'elenco Tipo di autenticazione, seleziona il tipo di autenticazione e inserisci i dettagli richiesti. In base alla tua selezione, la finestra di dialogo mostra i campi aggiuntivi richiesti per le credenziali di autenticazione. Puoi selezionare uno dei seguenti tipi di autenticazione:
- Se vuoi, puoi aggiungere certificati client SSL/TLS utilizzati dal server per convalidare l'identità di un client. Puoi inserire il seguente campo:
- Certificato SSL
- Chiave privata
- Passphrase della chiave privata
- Fai clic su Crea.
Viene visualizzata la pagina Profili di autenticazione.
Terraform
Utilizza la risorsa google_integrations_client
.
Puoi utilizzare Terraform per creare i seguenti profili di autenticazione:
- Token di autenticazione
- Solo certificazione client SSL/TLS
- JSON Web Token (JWT)
- Codice di autorizzazione OAuth 2.0
- Credenziali client OAuth 2.0
- Token ID OIDC
- Service account
Token di autenticazione
L'esempio seguente crea un tipo di autenticazione con token di autenticazione nella regione us-central1
:
Certificazione client SSL/TLS
L'esempio seguente crea un tipo di autenticazione basata su certificato client SSL/TLS nella regione us-central1
:
JSON Web Token (JWT)
L'esempio seguente crea un tipo di autenticazione JSON Web Token (JWT) nella regione us-central1
:
Codice di autorizzazione OAuth 2.0
L'esempio seguente crea un tipo di autenticazione basata su certificato client SSL/TLS nella regione us-central1
:
Credenziali client OAuth 2.0
L'esempio seguente crea un tipo di autenticazione con credenziali client OAuth 2.0 nella regione us-central1
:
Token ID OIDC Google
L'esempio seguente crea un tipo di autenticazione con token ID Google OIDC nella regione us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_oidc_token" { location = "us-central1" display_name = "tf-oidc-token" description = "Test auth config created via terraform" decrypted_credential { credential_type = "OIDC_TOKEN" oidc_token { service_account_email = google_service_account.service_account.email audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Service account
L'esempio seguente crea un tipo di autenticazione del service account nella regione us-central1
:
resource "random_id" "default" { byte_length = 8 } resource "google_service_account" "service_account" { account_id = "sa-${random_id.default.hex}" display_name = "Service Account" } resource "google_integrations_auth_config" "auth_config_service_account" { location = "us-central1" display_name = "tf-service-account" description = "Test auth config created via terraform" decrypted_credential { credential_type = "SERVICE_ACCOUNT" service_account_credentials { service_account = google_service_account.service_account.email scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly" } } depends_on = [google_service_account.service_account, google_integrations_client.client] }
Dopo il salvataggio, il nuovo profilo di autenticazione è disponibile come opzione nel menu a discesa Profilo di autorizzazione da utilizzare di qualsiasi attività che richiede l'autenticazione.
(Facoltativo) Se non hai creato un profilo di autenticazione prima di configurare un'attività di integrazione, puoi accedere alla finestra di dialogo di creazione del profilo selezionando + Aggiungi nuovo profilo di autenticazione dal menu a discesa Profilo di autorizzazione da utilizzare nel riquadro di configurazione dell'attività. Segui i passaggi precedenti per creare un nuovo profilo di autenticazione.
Modifica profili di autenticazione
Per modificare un profilo di autenticazione:
- Nella console Google Cloud , vai alla pagina Integrazione di applicazioni.
- Nel menu di navigazione, fai clic su Profili di autenticazione.
- Seleziona una regione per il profilo di autenticazione utilizzando il menu a discesa nella pagina Profili di autenticazione.
- Fai clic su
Viene visualizzata la finestra di dialogo Profili di autenticazione.
(menu Azioni) e poi su Modifica.
- Modifica i dettagli e fai clic su Salva.
Viene visualizzata la pagina Profili di autenticazione.
Elimina profili di autenticazione
Per eliminare un profilo di autenticazione:
- Nella console Google Cloud , vai alla pagina Integrazione di applicazioni.
- Nel menu di navigazione, fai clic su Profili di autenticazione.
- Seleziona una regione per il profilo di autenticazione utilizzando il menu a discesa nella pagina Profili di autenticazione.
- Fai clic su Elimina.
Viene visualizzata la pagina Profili di autenticazione.
Tipi di autenticazione
Il tipo di autenticazione richiesto per completare un'attività di integrazione dipende dall'autenticazione configurata nel server di autorizzazione. Il server di autorizzazione può essere un server autonomo o un'API che rilascia credenziali al client chiamante. Application Integration supporta i seguenti tipi di autenticazione:
- Token di autenticazione
- Token ID OIDC Google
- JSON Web Token (JWT)
- Codice di autorizzazione OAuth 2.0
- Credenziali client OAuth 2.0
- Credenziali della password del proprietario delle risorse OAuth 2.0
- Solo certificazione client SSL/TLS
- Service account
Le sezioni seguenti descrivono le proprietà di configurazione dei tipi di autenticazione.
Token di autenticazione
Il tipo di autenticazione Token di autenticazione utilizza un token (credenziali) per l'autenticazione. Le credenziali vengono inviate al server nell'intestazione della richiesta HTTPAuthorization
nel formato
Authorization: TYPE CREDENTIALS
. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:
- Tipo: tipo di autenticazione come
Basic
,Bearer
oMAC
. - Token: credenziali per il tipo di autenticazione.
Se il server di autenticazione richiede un certificato SSL/TLS, carica il certificato e la chiave privata.
Per scoprire quali attività supportano questo tipo di autenticazione, consulta la sezione Compatibilità dei tipi di autenticazione con le attività.Token ID OIDC Google
Il tipo di autenticazione Token ID Google OIDC utilizza i token web JSON (JWT) per l'autenticazione. Il provider Google OpenID Connect (OIDC), accounts.google.com, firma ed emette questi JWT per l'autenticazione utilizzando un account di servizio. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:- Service account: service account (principal) nel tuo progetto Google Cloud con l'autorizzazione ad accedere alla tua API.
- Audience: il pubblico per il token OIDC (identifica i destinatari a cui è destinato il JWT). Ad esempio, URL trigger è il pubblico per l'attività funzione Cloud.
JSON Web Token (JWT)
Il tipo di autenticazione JWT utilizza il token JWT (JSON Web Token) per l'autenticazione. Per ulteriori informazioni su JWT, consulta RFC7519. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:- Intestazione JWT: algoritmo utilizzato per generare la firma.
Nota: puoi specificare solo l'algoritmo HS256.
- Payload JWT: un insieme di attestazioni. Puoi utilizzare rivendicazioni registrate, pubbliche o personalizzate.
- Secret: chiave condivisa tra il client e il server di autenticazione.
Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando ilselettore filee. Inserisci la passphrase della chiave privata .
Per scoprire quali attività supportano questo tipo di autenticazione, consulta la sezione Compatibilità dei tipi di autenticazione con le attività.Codice di autorizzazione OAuth 2.0
Il tipo di autenticazione codice di autorizzazione OAuth 2.0 utilizza un token di autorizzazione OAuth 2.0
per l'autenticazione. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:
- Endpoint di autenticazione: endpoint dell'applicazione per l'autenticazione. Verrà visualizzato questo URL per esaminare le autorizzazioni di accesso per l'applicazione. Il token verrà generato solo dopo la concessione dell'accesso.
- Endpoint token: endpoint che concede o aggiorna il token di accesso.
- ID client: una stringa univoca fornita dal server di autenticazione al client registrato. L'ID client non è un secret ed è visibile al proprietario della risorsa. Utilizza questo campo insieme a un client secret.
- Secret: chiave segreta condivisa tra il client (integrazione) e il server di autenticazione.
- Ambiti: l'ambito del token di accesso. Gli ambiti ti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, vedi Ambiti OAuth 2.0 per le API di Google.
Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando ilselettore filee. Se necessario, inserisci la passphrase della chiave privata nel campo disponibile.
Per scoprire quali attività supportano questo tipo di autenticazione, consulta la sezione Compatibilità dei tipi di autenticazione con le attività.Credenziali client OAuth 2.0
Il tipo di autenticazione credenziali client OAuth 2.0 utilizza un token di autorizzazione OAuth 2.0
per l'autenticazione. Questa autenticazione richiede prima un token di accesso utilizzando le
credenziali client e poi utilizza il token per accedere alle risorse protette. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:
- Endpoint token: endpoint che concede o aggiorna il token di accesso.
- ID client: una stringa univoca fornita dal server di autenticazione al client registrato. L'ID client non è un secret ed è visibile al proprietario della risorsa. Utilizza questo campo insieme a un client secret.
- Secret: chiave segreta condivisa tra il client (integrazione) e il server di autenticazione.
- Ambiti: l'ambito del token di accesso. Gli ambiti ti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, vedi Ambiti OAuth 2.0 per le API di Google.
- Tipi di richieste: meccanismi per inviare i parametri della richiesta al server di autenticazione per recuperare il token di accesso. Puoi specificare uno dei seguenti
tipi di richieste:
- Intestazione del codificatore: codifica
CLIENT ID
eCLIENT SECRET
in formatoBase64
e invia la stringa codificata nell'intestazione di autorizzazione HTTP. I parametri della richiesta rimanenti vengono inviati nel corpo della richiesta HTTP. - Parametri di query: invia i parametri della richiesta in una stringa di query.
- Corpo della richiesta: invia i parametri della richiesta utilizzando il tipo di contenuto
application/x-www-form-urlencoded
e il set di caratteriUTF-8
nell'intestazioneentity-body
della richiesta HTTP. - Non specificato
- Intestazione del codificatore: codifica
- Parametri del token: parametri di richiesta necessari per ottenere il token. Specifica
i valori nel formato chiave-valore, dove
Key
è il nome del parametro eValue
è il valore parametro corrispondente.
Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando ilselettore filee. Se necessario, inserisci la passphrase della chiave privata nel campo disponibile.
Per scoprire quali attività supportano questo tipo di autenticazione, consulta la sezione Compatibilità dei tipi di autenticazione con le attività.Credenziali della password del proprietario delle risorse OAuth 2.0
Il tipo di autenticazione Credenziali della password del proprietario delle risorse OAuth 2.0 utilizza un token di autorizzazione OAuth 2.0
per l'autenticazione. Questa autenticazione richiede innanzitutto un token di accesso utilizzando le
credenziali del proprietario della risorsa (nome utente e password) e poi utilizza il token per accedere alle risorse protette. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà in base al tipo di istanza a cui ti connetti:
- Endpoint token: endpoint che concede o aggiorna il token di accesso.
- ID client: una stringa univoca fornita dal server di autenticazione al client registrato. L'ID client non è un secret ed è visibile al proprietario della risorsa. Utilizza questo campo insieme a un client secret.
- Secret: chiave segreta condivisa tra il client (integrazione) e il server di autenticazione.
- Ambiti: l'ambito del token di accesso. Gli ambiti ti consentono di specificare le autorizzazioni di accesso per gli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, vedi Ambiti OAuth 2.0 per le API di Google.
- Nome utente: nome utente del proprietario della risorsa.
- Password: password utente.
- Tipi di richieste: meccanismi per inviare i parametri della richiesta al server di autenticazione per recuperare il token di accesso. Puoi specificare uno dei seguenti
tipi di richieste:
- Intestazione del codificatore: codifica
CLIENT ID
eCLIENT SECRET
in formatoBase64
e invia la stringa codificata nell'intestazione di autorizzazione HTTP. Invia i parametri della richiesta rimanenti nel corpo della richiesta HTTP. - Parametri di query: invia i parametri della richiesta in una stringa di query.
- Corpo della richiesta: invia i parametri della richiesta utilizzando il tipo di contenuto
application/x-www-form-urlencoded
e il set di caratteriUTF-8
nell'intestazioneentity-body
della richiesta HTTP.
- Intestazione del codificatore: codifica
- Parametri del token: parametri di richiesta necessari per ottenere il token. Specifica
i valori nel formato chiave-valore, dove
Key
è il nome del parametro eValue
è il valore parametro corrispondente.
Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando ilselettore filee. Se necessario, inserisci la passphrase della chiave privata nel campo disponibile.
Per scoprire quali attività supportano questo tipo di autenticazione, consulta la sezione Compatibilità dei tipi di autenticazione con le attività.Solo certificato client SSL/TLS
Il tipo di autenticazione Solo certificato client SSL/TLS utilizza solo il certificato SSL/TLS per l'autenticazione. Carica il certificato richiesto e la chiave privata. Per configurare questo tipo di autenticazione, carica i seguenti file:- Certificato SSL: certificato codificato in formato PEM.
- Chiave privata: file della chiave privata del certificato codificato in formato PEM.
Se la chiave privata richiede un
passphrase
, inserisci la passphrase della chiave privata.
Service account
Il tipo di autenticazione Service account utilizza le credenziali di un account di servizio del progettoGoogle Cloud per l'autenticazione. Per configurare questo tipo di autenticazione, imposta le seguenti proprietà:
- Service account: service account (entità) nel tuo progetto Google Cloud con l'autorizzazione ad accedere alla tua API.
- Ambito/i: ambito delle autorizzazioni di accesso concesse agli utenti. Puoi specificare più ambiti separati da un singolo spazio (" "). Per ulteriori informazioni, vedi Ambiti OAuth 2.0 per le API di Google.
Per scoprire le best practice per la creazione e la gestione dei service account, consulta la documentazione relativa alle best practice per l'utilizzo dei service account.
Se il server di autenticazione richiede un certificato SSL, carica il certificato e la chiave privata utilizzando ilselettore filee. Se necessario, inserisci la passphrase della chiave privata nel campo disponibile.
Per scoprire quali attività supportano questo tipo di autenticazione, consulta la sezione Compatibilità dei tipi di autenticazione con le attività.Compatibilità dei tipi di autenticazione con le attività
La tabella seguente elenca i tipi di autenticazione e le attività compatibili corrispondenti. Puoi utilizzare queste informazioni per decidere quale tipo di autenticazione utilizzare per un'attività.
Tipo di autenticazione | Attività e trigger compatibili |
---|---|
Token di autenticazione | |
Token ID OIDC Google | |
JSON Web Token (JWT) | |
Codice di autorizzazione OAuth 2.0 | |
Credenziali client OAuth 2.0 | |
Credenziali della password del proprietario delle risorse OAuth 2.0 | |
Solo certificato client SSL/TLS | |
Service account |
Regola di autenticazione
Se la tua integrazione ha configurato sia il profilo OAuth 2.0 sia un account di servizio gestito dall'utente, per impostazione predefinita viene utilizzato il profilo OAuth 2.0 per l'autenticazione. Se non sono configurati né il profilo OAuth 2.0 né il account di servizio gestito dall'utente, viene utilizzato il account di servizio predefinito (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
). Se l'attività non utilizza il account di servizio predefinito, l'esecuzione non va a buon fine.