Consulte os conetores suportados para a solução Application Integration.

Gerir perfis de autenticação

As tarefas na sua integração de aplicações podem exigir uma ligação a uma aplicação externa, um serviço ou uma origem de dados. Um perfil de autenticação permite-lhe configurar e armazenar os detalhes de autenticação da ligação na integração de aplicações. Pode configurar a tarefa para usar o perfil de autenticação armazenado. A criação de um perfil de autenticação é uma atividade única e pode reutilizar o mesmo perfil em várias integrações.

Funções necessárias

Para receber as autorizações de que precisa para gerir perfis de autenticação, peça ao seu administrador que lhe conceda as seguintes funções de IAM numa integração:

• Administrador de integração de aplicações (roles/integrations.integrationAdmin)
• Crie perfis de autenticação: Editor de integração de aplicações (roles/integrations.integrationEditor)
• Editar perfis de autenticação: Editor de integração de aplicações (roles/integrations.integrationEditor)
• Elimine perfis de autenticação: Administrador da integração de aplicações (roles/integrations.integrationAdmin)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie um ID de cliente OAuth 2.0

Um ID de cliente é usado para identificar uma única aplicação nos servidores OAuth da Google. Se a sua aplicação for executada em várias plataformas, cada uma precisa do seu próprio ID de cliente. Para usar o OAuth 2.0 na sua aplicação, precisa de um ID de cliente OAuth 2.0, que a sua aplicação usa quando pede uma chave de acesso OAuth 2.0.

Para criar um ID de cliente OAuth 2.0, siga estes passos:

1. Na Google Cloud consola, aceda a APIs e serviços > Credenciais.

   Aceder a Credenciais

2. Clique em + Criar credenciais e selecione ID de cliente OAuth na lista de opções disponíveis.

   É apresentada a página Criar ID de cliente OAuth.

3. Tipo de aplicação: selecione Aplicação Web na lista pendente.
4. Nome: introduza um nome para o seu cliente OAuth 2.0 para identificar o cliente na Cloud Console.
5. Em URIs de redirecionamento autorizados, clique em +Adicionar URI e introduza o seguinte:

    https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION

6. Clique em Criar.

   Um ID de cliente OAuth 2.0 é criado com êxito.

Crie um novo perfil de autenticação

Para criar um novo perfil de autenticação, selecione uma das seguintes opções:

resource "google_integrations_client" "client" {
  location = "us-central1"
}

resource "google_integrations_auth_config" "auth_config_auth_token" {
  location     = "us-central1"
  display_name = "tf-auth-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "AUTH_TOKEN"
    auth_token {
      type  = "Basic"
      token = "some-random-token"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_certificate" {
  location     = "us-central1"
  display_name = "tf-certificate"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "CLIENT_CERTIFICATE_ONLY"
  }
  client_certificate {
    ssl_certificate       = <<EOT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
EOT
    encrypted_private_key = <<EOT
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
EOT
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_jwt" {
  location     = "us-central1"
  display_name = "tf-jwt"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "JWT"
    jwt {
      jwt_header  = "{\"alg\": \"HS256\", \"typ\": \"JWT\"}"
      jwt_payload = "{\"sub\": \"1234567890\", \"name\": \"John Doe\", \"iat\": 1516239022}"
      secret      = "secret"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_oauth2_authorization_code" {
  location     = "us-central1"
  display_name = "tf-oauth2-authorization-code"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_AUTHORIZATION_CODE"
    oauth2_authorization_code {
      client_id      = "Kf7utRvgr95oGO5YMmhFOLo8"
      client_secret  = "D-XXFDDMLrg2deDgczzHTBwC3p16wRK1rdKuuoFdWqO0wliJ"
      scope          = "photo offline_access"
      auth_endpoint  = "https://authorization-server.com/authorize"
      token_endpoint = "https://authorization-server.com/token"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_oauth2_client_credentials" {
  location     = "us-central1"
  display_name = "tf-oauth2-client-credentials"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_CLIENT_CREDENTIALS"
    oauth2_client_credentials {
      client_id      = "demo-backend-client"
      client_secret  = "MJlO3binatD9jk1"
      scope          = "read"
      token_endpoint = "https://login-demo.curity.io/oauth/v2/oauth-token"
      request_type   = "ENCODED_HEADER"
      token_params {
        entries {
          key {
            literal_value {
              string_value = "string-key"
            }
          }
          value {
            literal_value {
              string_value = "string-value"
            }
          }
        }
      }
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "random_id" "default" {
  byte_length = 8
}

resource "google_service_account" "service_account" {
  account_id   = "sa-${random_id.default.hex}"
  display_name = "Service Account"
}

resource "google_integrations_auth_config" "auth_config_oidc_token" {
  location     = "us-central1"
  display_name = "tf-oidc-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OIDC_TOKEN"
    oidc_token {
      service_account_email = google_service_account.service_account.email
      audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com"
    }
  }
depends_on = [google_service_account.service_account, google_integrations_client.client]
}

resource "random_id" "default" {
  byte_length = 8
}
  
resource "google_service_account" "service_account" {
  account_id   = "sa-${random_id.default.hex}"
  display_name = "Service Account"
}
resource "google_integrations_auth_config" "auth_config_service_account" {
  location     = "us-central1"
  display_name = "tf-service-account"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "SERVICE_ACCOUNT"
    service_account_credentials {
    service_account = google_service_account.service_account.email
    scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly"
    }
  }
depends_on = [google_service_account.service_account, google_integrations_client.client]
}

Depois de guardar, o novo perfil de autenticação fica disponível como uma opção no menu pendente Perfil de autorização a usar de qualquer tarefa que exija autenticação.

Opcional. Se não tiver criado um perfil de autenticação antes de configurar uma tarefa de integração, pode aceder à caixa de diálogo de criação de perfil selecionando + Adicionar novo perfil de autenticação no menu pendente Perfil de autorização a usar no painel de configuração da tarefa. Siga os passos anteriores para criar um novo perfil de autenticação.

Edite perfis de autenticação

Para editar um perfil de autenticação, siga estes passos:

1. Na Google Cloud consola, aceda à página Application Integration.

   Aceda à solução Application Integration

2. No menu de navegação, clique em Perfis de autorização.

É apresentada a página Perfis de autenticação.

3. Selecione uma Região para o perfil de autenticação através do menu pendente na página Perfis de autenticação.
4. Clique em more_vert (menu Ações) e, de seguida, em Editar.

   É apresentada a caixa de diálogo Perfis de autenticação.

5. Edite os detalhes e clique em Guardar.

Quando edita um perfil de autenticação, tenha em atenção o seguinte:

• Se editar um perfil de autenticação usado por uma tarefa numa integração de rascunho, publique a integração para que as alterações entrem em vigor. Quando testa uma integração de rascunho, esta continua a usar o perfil de autenticação da última versão publicada.
• Se uma tarefa numa integração com um mecanismo de repetição usar um perfil de autenticação, publique a integração depois de atualizar o perfil para garantir que a tarefa usa o perfil atualizado.

Elimine perfis de autenticação

Para eliminar um perfil de autenticação, siga estes passos:

1. Na Google Cloud consola, aceda à página Application Integration.

   Aceda à solução Application Integration

2. No menu de navegação, clique em Perfis de autorização.

É apresentada a página Perfis de autenticação.

3. Selecione uma Região para o perfil de autenticação através do menu pendente na página Perfis de autenticação.
4. Clique em Eliminar.

Tipos de autenticação

O tipo de autenticação necessário para concluir uma tarefa de integração depende da autenticação configurada no servidor de autorização. O servidor de autorização pode ser um servidor autónomo ou uma API que emite credenciais para o cliente de chamada. A integração de aplicações suporta os seguintes tipos de autenticação:

• Símbolo de autorização
• Token de ID OIDC da Google
• Símbolo da Web JSON (JWT)
• Código de autorização do OAuth 2.0
• Credenciais de cliente OAuth 2.0
• Credenciais de palavra-passe do proprietário do recurso OAuth 2.0
• Apenas certificação de cliente SSL/TLS
• Conta de serviço

As secções seguintes descrevem as propriedades de configuração dos tipos de autenticação.

Símbolo de autenticação

• Tipo: tipo de autenticação, como Basic, Bearer ou MAC.
• Token: credenciais para o tipo de autenticação.

Se o servidor de autenticação exigir um certificado SSL/TLS, carregue o certificado e a chave privada.

Token de ID OIDC da Google

• Conta de serviço: conta de serviço (principal) no seu projeto Google Cloud com autorização para aceder à sua API.
• Público-alvo: o público-alvo do token OIDC (isto identifica os destinatários a quem o JWT se destina). Por exemplo, o URL do acionador é o público-alvo da tarefa Função do Google Cloud.

Símbolo da Web JSON (JWT)

• Cabeçalho JWT: algoritmo usado para gerar a assinatura.

  Nota: só pode especificar o algoritmo HS256.

• Payload JWT: um conjunto de reivindicações. Pode usar reivindicações registadas, públicas ou personalizadas.
• Segredo: chave partilhada entre o cliente e o servidor de autenticação.

Se o servidor de autenticação exigir um certificado SSL, carregue o certificado e a chave privada através do selecionador de ficheiros. Introduza a frase de acesso da chave privada .

Código de autorização OAuth 2.0

O tipo de autenticação código de autorização OAuth 2.0 usa um OAuth 2.0 token de autorização para autenticação. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Ponto final de autenticação: ponto final do ponto final de autenticação da aplicação. É redirecionado para este URL para rever as autorizações de acesso da aplicação. O token só é gerado depois de o acesso ser concedido.
• Ponto final do token: ponto final que concede ou atualiza o token de acesso.
• ID de cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registado. O ID de cliente não é um segredo e é exposto ao proprietário do recurso. Use este campo juntamente com um segredo do cliente.
• Segredo: chave secreta partilhada entre o cliente (integração) e o servidor de autenticação.
• Âmbitos: âmbito da chave de acesso. Os âmbitos permitem-lhe especificar autorizações de acesso para os utilizadores. Pode especificar vários âmbitos separados por um único espaço (" "). Para mais informações, consulte os âmbitos do OAuth 2.0 para APIs Google.

Se o servidor de autenticação exigir um certificado SSL, carregue o certificado e a chave privada através do selecionador de ficheiros. Introduza a frase de acesso da chave privada no campo disponível, se necessário.

Credenciais de cliente OAuth 2.0

O tipo de autenticação credenciais do cliente OAuth 2.0 usa um OAuth 2.0símbolo de autorização para autenticação. Esta autenticação pede primeiro um token de acesso através das credenciais do cliente e, em seguida, usa o token para aceder aos recursos protegidos. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Ponto final do token: ponto final que concede ou atualiza o token de acesso.
• ID de cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registado. O ID de cliente não é um segredo e é exposto ao proprietário do recurso. Use este campo juntamente com um segredo do cliente.
• Segredo: chave secreta partilhada entre o cliente (integração) e o servidor de autenticação.
• Âmbitos: âmbito da chave de acesso. Os âmbitos permitem-lhe especificar autorizações de acesso para os utilizadores. Pode especificar vários âmbitos separados por um único espaço (" "). Para mais informações, consulte os âmbitos do OAuth 2.0 para APIs Google.
• Tipos de pedidos: mecanismos para enviar os parâmetros do pedido para o servidor de autenticação para obter o token de acesso. Pode especificar qualquer um dos seguintes tipos de pedidos:
  • Cabeçalho do codificador: codifica CLIENT ID e CLIENT SECRET no formato Base64 e envia a string codificada no cabeçalho de autorização HTTP. Os restantes parâmetros do pedido são enviados no corpo do pedido HTTP.
  • Parâmetros de consulta: envia os parâmetros do pedido numa string de consulta.
  • Corpo do pedido: envia os parâmetros do pedido através do tipo de conteúdo application/x-www-form-urlencoded e do conjunto de carateres UTF-8 no entity-body do pedido HTTP.
  • Não especificado
• Parâmetros do token: parâmetros do pedido necessários para obter o token. Especifique os valores no formato de chave-valor, em que Key é o nome do parâmetro e Value é o valor do parâmetro correspondente.

Se o servidor de autenticação exigir um certificado SSL, carregue o certificado e a chave privada através do selecionador de ficheiros. Introduza a frase de acesso da chave privada no campo disponível, se necessário.

Credenciais de palavra-passe do proprietário do recurso OAuth 2.0

O tipo de autenticação credenciais de palavra-passe do proprietário do recurso OAuth 2.0 usa um OAuth 2.0 token de autorização para autenticação. Esta autenticação pede primeiro um token de acesso através das credenciais do proprietário do recurso (nome de utilizador e palavra-passe) e, em seguida, usa o token para aceder aos recursos protegidos. Para configurar este tipo de autenticação, defina as seguintes propriedades com base no tipo de instância ao qual se liga:

• Ponto final do token: ponto final que concede ou atualiza o token de acesso.
• ID de cliente: uma string exclusiva fornecida pelo servidor de autenticação ao cliente registado. O ID de cliente não é um segredo e é exposto ao proprietário do recurso. Use este campo juntamente com um segredo do cliente.
• Segredo: chave secreta partilhada entre o cliente (integração) e o servidor de autenticação.
• Âmbitos: âmbito da chave de acesso. Os âmbitos permitem-lhe especificar autorizações de acesso para os utilizadores. Pode especificar vários âmbitos separados por um único espaço (" "). Para mais informações, consulte os âmbitos do OAuth 2.0 para APIs Google.
• Nome de utilizador: nome de utilizador do proprietário do recurso.
• Palavra-passe: palavra-passe do utilizador.
• Tipos de pedidos: mecanismos para enviar os parâmetros do pedido para o servidor de autenticação para obter o token de acesso. Pode especificar qualquer um dos seguintes tipos de pedidos:
  • Cabeçalho do codificador: codifica CLIENT ID e CLIENT SECRET no formato Base64 e envia a string codificada no cabeçalho de autorização HTTP. Envia os restantes parâmetros do pedido no corpo do pedido HTTP.
  • Parâmetros de consulta: envia os parâmetros do pedido numa string de consulta.
  • Corpo do pedido: envia os parâmetros do pedido através do tipo de conteúdo application/x-www-form-urlencoded e do conjunto de carateres UTF-8 no entity-body do pedido HTTP.
• Parâmetros do token: parâmetros do pedido necessários para obter o token. Especifique os valores no formato de chave-valor, em que Key é o nome do parâmetro e Value é o valor do parâmetro correspondente.

Se o servidor de autenticação exigir um certificado SSL, carregue o certificado e a chave privada através do selecionador de ficheiros. Introduza a frase de acesso da chave privada no campo disponível, se necessário.

Apenas certificado de cliente SSL/TLS

• Certificado SSL: certificado codificado no formato PEM.
• Chave privada: ficheiro de chave privada do certificado codificado no formato PEM.

  Se a chave privada precisar de uma passphrase, introduza a frase de acesso da chave privada.

Conta de serviço

O tipo de autenticação Conta de serviço usa as credenciais da conta de serviço de umGoogle Cloud projeto para autenticação. Para configurar este tipo de autenticação, defina as seguintes propriedades:

• Conta de serviço: conta de serviço (principal) no seu projeto do Google Cloud com autorização para aceder à sua API.
• Âmbito(s): âmbito das autorizações de acesso concedidas aos utilizadores. Pode especificar vários âmbitos separados por um único espaço (" "). Para mais informações, consulte Âmbitos do OAuth 2.0 para APIs Google.

Para saber mais sobre as práticas recomendadas para criar e gerir contas de serviço, leia a documentação sobre as práticas recomendadas para trabalhar com contas de serviço.

Se o servidor de autenticação exigir um certificado SSL, carregue o certificado e a chave privada através do selecionador de ficheiros. Introduza a frase de acesso da chave privada no campo disponível, se necessário.

Compatibilidade dos tipos de autenticação com as tarefas

A tabela seguinte lista os tipos de autenticação e as tarefas compatíveis correspondentes. Pode usar estas informações para decidir que tipo de autenticação usar para uma tarefa.

Regras de autenticação

Se a sua integração tiver um perfil do OAuth 2.0 e uma conta de serviço gerida pelo utilizador configurados, por predefinição, o perfil do OAuth 2.0 é usado para autenticação. Se não estiver configurado nenhum perfil do OAuth 2.0 nem nenhuma conta de serviço gerida pelo utilizador, é usada a conta de serviço predefinida (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Se a tarefa não usar a conta de serviço predefinida, a execução falha.