Consulta los conectores compatibles con Application Integration.

Gestionar perfiles de autenticación

Las tareas de tu integración de aplicaciones pueden requerir una conexión a una aplicación, un servicio o una fuente de datos externos. Un perfil de autenticación te permite configurar y almacenar los detalles de autenticación de la conexión en Application Integration. Puedes configurar la tarea para que use el perfil de autenticación almacenado. Crear un perfil de autenticación es una actividad que se realiza una sola vez y puedes reutilizar el mismo perfil en varias integraciones.

Roles obligatorios

Para obtener los permisos que necesitas para gestionar perfiles de autenticación, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en una integración:

• Administrador de integración de aplicaciones (roles/integrations.integrationAdmin)
• Crea perfiles de autenticación: Editor de integración de aplicaciones (roles/integrations.integrationEditor)
• Editar perfiles de autenticación: Editor de integración de aplicaciones (roles/integrations.integrationEditor)
• Eliminar perfiles de autenticación: Administrador de integración de aplicaciones (roles/integrations.integrationAdmin)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear un ID de cliente de OAuth 2.0

Los IDs de cliente se utilizan para identificar aplicaciones de manera individualizada en los servidores OAuth de Google. Si tu aplicación se ejecuta en varias plataformas, necesitará un ID de cliente en cada una de ellas. Para usar OAuth 2.0 en tu aplicación, necesitas un ID de cliente de OAuth 2.0, que tu aplicación usa al solicitar un token de acceso de OAuth 2.0.

Para crear un ID de cliente de OAuth 2.0, sigue estos pasos:

1. En la Google Cloud consola, ve a APIs y servicios > Credenciales.

   Ir a Credenciales

2. Haz clic en + Crear credenciales y selecciona ID de cliente de OAuth en la lista de opciones disponibles.

   Aparecerá la página Crear ID de cliente de OAuth.

3. Tipo de aplicación: selecciona Aplicación web en la lista desplegable.
4. Nombre: introduce un nombre para tu cliente de OAuth 2.0 para identificarlo en la consola de Cloud.
5. En URIs de redirección autorizados, haz clic en +Añadir URI e introduce lo siguiente:

    https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION

6. Haz clic en Crear.

   Se ha creado un ID de cliente de OAuth 2.0.

Crear un perfil de autenticación

Para crear un perfil de autenticación, selecciona una de las siguientes opciones:

resource "google_integrations_client" "client" {
  location = "us-central1"
}

resource "google_integrations_auth_config" "auth_config_auth_token" {
  location     = "us-central1"
  display_name = "tf-auth-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "AUTH_TOKEN"
    auth_token {
      type  = "Basic"
      token = "some-random-token"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_certificate" {
  location     = "us-central1"
  display_name = "tf-certificate"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "CLIENT_CERTIFICATE_ONLY"
  }
  client_certificate {
    ssl_certificate       = <<EOT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
EOT
    encrypted_private_key = <<EOT
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
EOT
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_jwt" {
  location     = "us-central1"
  display_name = "tf-jwt"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "JWT"
    jwt {
      jwt_header  = "{\"alg\": \"HS256\", \"typ\": \"JWT\"}"
      jwt_payload = "{\"sub\": \"1234567890\", \"name\": \"John Doe\", \"iat\": 1516239022}"
      secret      = "secret"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_oauth2_authorization_code" {
  location     = "us-central1"
  display_name = "tf-oauth2-authorization-code"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_AUTHORIZATION_CODE"
    oauth2_authorization_code {
      client_id      = "Kf7utRvgr95oGO5YMmhFOLo8"
      client_secret  = "D-XXFDDMLrg2deDgczzHTBwC3p16wRK1rdKuuoFdWqO0wliJ"
      scope          = "photo offline_access"
      auth_endpoint  = "https://authorization-server.com/authorize"
      token_endpoint = "https://authorization-server.com/token"
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "google_integrations_auth_config" "auth_config_oauth2_client_credentials" {
  location     = "us-central1"
  display_name = "tf-oauth2-client-credentials"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_CLIENT_CREDENTIALS"
    oauth2_client_credentials {
      client_id      = "demo-backend-client"
      client_secret  = "MJlO3binatD9jk1"
      scope          = "read"
      token_endpoint = "https://login-demo.curity.io/oauth/v2/oauth-token"
      request_type   = "ENCODED_HEADER"
      token_params {
        entries {
          key {
            literal_value {
              string_value = "string-key"
            }
          }
          value {
            literal_value {
              string_value = "string-value"
            }
          }
        }
      }
    }
  }
  depends_on = [google_integrations_client.client]
}

resource "random_id" "default" {
  byte_length = 8
}

resource "google_service_account" "service_account" {
  account_id   = "sa-${random_id.default.hex}"
  display_name = "Service Account"
}

resource "google_integrations_auth_config" "auth_config_oidc_token" {
  location     = "us-central1"
  display_name = "tf-oidc-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OIDC_TOKEN"
    oidc_token {
      service_account_email = google_service_account.service_account.email
      audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com"
    }
  }
depends_on = [google_service_account.service_account, google_integrations_client.client]
}

resource "random_id" "default" {
  byte_length = 8
}
  
resource "google_service_account" "service_account" {
  account_id   = "sa-${random_id.default.hex}"
  display_name = "Service Account"
}
resource "google_integrations_auth_config" "auth_config_service_account" {
  location     = "us-central1"
  display_name = "tf-service-account"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "SERVICE_ACCOUNT"
    service_account_credentials {
    service_account = google_service_account.service_account.email
    scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly"
    }
  }
depends_on = [google_service_account.service_account, google_integrations_client.client]
}

Una vez que lo hayas guardado, el nuevo perfil de autenticación estará disponible como opción en el menú desplegable Perfil de autorización que se va a usar de cualquier tarea que requiera autenticación.

Opcional. Si no has creado un perfil de autenticación antes de configurar una tarea de integración, puedes acceder al cuadro de diálogo de creación de perfiles seleccionando + Añadir nuevo perfil de autenticación en el menú desplegable Perfil de autorización que se va a usar del panel de configuración de la tarea. Sigue los pasos anteriores para crear un perfil de autenticación.

Editar perfiles de autenticación

Para editar un perfil de autenticación, sigue estos pasos:

1. En la Google Cloud consola, ve a la página Integración de aplicaciones.

   Ir a Application Integration

2. En el menú de navegación, haga clic en Perfiles de autenticación.

Aparecerá la página Perfiles de autenticación.

3. Selecciona una región para el perfil de autenticación mediante el menú desplegable de la página Perfiles de autenticación.
4. Haz clic en more_vert (menú de acciones) y, a continuación, en Editar.

   Aparecerá el cuadro de diálogo Perfiles de autenticación.

5. Edita los detalles y haz clic en Guardar.

Cuando edites un perfil de autenticación, ten en cuenta lo siguiente:

• Si editas un perfil de autenticación que usa una tarea en una integración en borrador, publica la integración para que los cambios se apliquen. Cuando pruebes una integración en borrador, seguirá usando el perfil de autenticación de la última versión publicada.
• Si una tarea de una integración con un mecanismo de reintento usa un perfil de autenticación, publica la integración después de actualizar el perfil para asegurarte de que la tarea usa el perfil actualizado.

Eliminar perfiles de autenticación

Para eliminar un perfil de autenticación, sigue estos pasos:

1. En la Google Cloud consola, ve a la página Integración de aplicaciones.

   Ir a Application Integration

2. En el menú de navegación, haga clic en Perfiles de autenticación.

Aparecerá la página Perfiles de autenticación.

3. Selecciona una región para el perfil de autenticación mediante el menú desplegable de la página Perfiles de autenticación.
4. Haz clic en Eliminar.

Tipos de autenticación

El tipo de autenticación necesario para completar una tarea de integración depende de la autenticación configurada en el servidor de autorización. El servidor de autorización puede ser un servidor independiente o una API que emita credenciales al cliente que llama. Application Integration admite los siguientes tipos de autenticación:

• Token de autenticación
• Token de ID de OIDC de Google
• JSON Web Token (JWT)
• Código de autorización de OAuth 2.0
• Credenciales de cliente de OAuth 2.0
• Credenciales de contraseña del propietario del recurso de OAuth 2.0
• Solo certificación de cliente SSL/TLS
• Cuenta de servicio

En las siguientes secciones se describen las propiedades de configuración de los tipos de autenticación.

Token de autenticación

• Tipo: tipo de autenticación, como Basic, Bearer o MAC.
• Token: credenciales del tipo de autenticación.

Si el servidor de autenticación requiere un certificado SSL/TLS, sube el certificado y la clave privada.

Token de ID de OIDC de Google

• Cuenta de servicio: cuenta de servicio (principal) de tu proyecto Google Cloud con permiso para acceder a tu API.
• Audiencia: la audiencia del token de OIDC (identifica a los destinatarios a los que está destinado el JWT). Por ejemplo, URL de activación es la audiencia de la tarea Función de Cloud.

JSON Web Token (JWT)

• Encabezado JWT: algoritmo usado para generar la firma.

  Nota: Solo puedes especificar el algoritmo HS256.

• Carga útil de JWT: un conjunto de reclamaciones. Puedes usar reclamaciones registradas, públicas o personalizadas.
• Secreto: clave compartida entre el cliente y el servidor de autenticación.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Introduce la frase de contraseña de la clave privada .

Código de autorización de OAuth 2.0

El tipo de autenticación código de autorización de OAuth 2.0 usa un OAuth 2.0 token de autorización para la autenticación. Para configurar este tipo de autenticación, define las siguientes propiedades:

• Endpoint de autenticación: endpoint del endpoint de autenticación de la aplicación. Se te redirigirá a esta URL para que revises los permisos de acceso de la aplicación. El token solo se generará después de que se conceda el acceso.
• Punto final del token: punto final que concede o actualiza el token de acceso.
• ID de cliente: una cadena única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se muestra al propietario del recurso. Usa este campo junto con un secreto de cliente.
• Secreto: clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
• Ámbitos: ámbito del token de acceso. Los ámbitos te permiten especificar los permisos de acceso de los usuarios. Puedes especificar varios permisos separados por un espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para APIs de Google.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Si es necesario, introduce la frase de contraseña de la clave privada en el campo disponible.

Credenciales de cliente de OAuth 2.0

El tipo de autenticación Credenciales de cliente de OAuth 2.0 usa un OAuth 2.0 token de autorización para la autenticación. Esta autenticación primero solicita un token de acceso mediante las credenciales de cliente y, a continuación, usa el token para acceder a los recursos protegidos. Para configurar este tipo de autenticación, define las siguientes propiedades:

• Punto final del token: punto final que concede o actualiza el token de acceso.
• ID de cliente: una cadena única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se muestra al propietario del recurso. Usa este campo junto con un secreto de cliente.
• Secreto: clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
• Ámbitos: ámbito del token de acceso. Los ámbitos te permiten especificar los permisos de acceso de los usuarios. Puedes especificar varios permisos separados por un espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para APIs de Google.
• Tipos de solicitudes: mecanismos para enviar los parámetros de la solicitud al servidor de autenticación para obtener el token de acceso. Puedes especificar cualquiera de los siguientes tipos de solicitud:
  • Encabezado del codificador: codifica CLIENT ID y CLIENT SECRET en formato Base64 y envía la cadena codificada en el encabezado de autorización HTTP. El resto de los parámetros de la solicitud se envían en el cuerpo de la solicitud HTTP.
  • Parámetros de consulta: envía los parámetros de solicitud en una cadena de consulta.
  • Cuerpo de la solicitud: envía los parámetros de la solicitud mediante el tipo de contenido application/x-www-form-urlencoded y el conjunto de caracteres UTF-8 en el entity-body de la solicitud HTTP.
  • Sin especificar
• Parámetros de token: parámetros de solicitud necesarios para obtener el token. Especifique los valores en formato clave-valor, donde Key es el nombre del parámetro y Value es el valor del parámetro correspondiente.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Si es necesario, introduce la frase de contraseña de la clave privada en el campo disponible.

Credenciales de contraseña del propietario del recurso de OAuth 2.0

El tipo de autenticación Credenciales de contraseña del propietario del recurso de OAuth 2.0 usa un OAuth 2.0token de autorización para la autenticación. Esta autenticación primero solicita un token de acceso mediante las credenciales del propietario del recurso (nombre de usuario y contraseña) y, a continuación, usa el token para acceder a los recursos protegidos. Para configurar este tipo de autenticación, define las siguientes propiedades en función del tipo de instancia al que te conectes:

• Punto final del token: punto final que concede o actualiza el token de acceso.
• ID de cliente: una cadena única que el servidor de autenticación proporciona al cliente registrado. El ID de cliente no es un secreto y se muestra al propietario del recurso. Usa este campo junto con un secreto de cliente.
• Secreto: clave secreta compartida entre el cliente (integración) y el servidor de autenticación.
• Ámbitos: ámbito del token de acceso. Los ámbitos te permiten especificar los permisos de acceso de los usuarios. Puedes especificar varios permisos separados por un espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para APIs de Google.
• Nombre de usuario: nombre de usuario del propietario del recurso.
• Contraseña: contraseña del usuario.
• Tipos de solicitudes: mecanismos para enviar los parámetros de la solicitud al servidor de autenticación para obtener el token de acceso. Puedes especificar cualquiera de los siguientes tipos de solicitud:
  • Encabezado del codificador: codifica CLIENT ID y CLIENT SECRET en formato Base64 y envía la cadena codificada en el encabezado de autorización HTTP. Envía los parámetros de solicitud restantes en el cuerpo de la solicitud HTTP.
  • Parámetros de consulta: envía los parámetros de solicitud en una cadena de consulta.
  • Cuerpo de la solicitud: envía los parámetros de la solicitud mediante el tipo de contenido application/x-www-form-urlencoded y el conjunto de caracteres UTF-8 en el entity-body de la solicitud HTTP.
• Parámetros de token: parámetros de solicitud necesarios para obtener el token. Especifique los valores en formato clave-valor, donde Key es el nombre del parámetro y Value es el valor del parámetro correspondiente.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Si es necesario, introduce la frase de contraseña de la clave privada en el campo disponible.

Solo certificado de cliente SSL/TLS

• Certificado SSL: certificado codificado en formato PEM.
• Clave privada: archivo de clave privada del certificado codificado en formato PEM.

  Si la clave privada requiere una passphrase, introduce la frase de contraseña de la clave privada.

Cuenta de servicio

El tipo de autenticación Cuenta de servicio usa las credenciales de la cuenta de servicio de unGoogle Cloud proyecto para la autenticación. Para configurar este tipo de autenticación, define las siguientes propiedades:

• Cuenta de servicio: cuenta de servicio (principal) de tu proyecto de Google Cloud con permiso para acceder a tu API.
• Permisos: ámbito de los permisos de acceso concedidos a los usuarios. Puedes especificar varios permisos separados por un espacio (" "). Para obtener más información, consulta Permisos de OAuth 2.0 para APIs de Google.

Para obtener información sobre las prácticas recomendadas para crear y gestionar cuentas de servicio, consulta la documentación sobre prácticas recomendadas para trabajar con cuentas de servicio.

Si el servidor de autenticación requiere un certificado SSL, sube el certificado y la clave privada mediante el selector de archivos. Si es necesario, introduce la frase de contraseña de la clave privada en el campo disponible.

Compatibilidad de los tipos de autenticación con las tareas

En la siguiente tabla se indican los tipos de autenticación y las tareas compatibles correspondientes. Puedes usar esta información para decidir qué tipo de autenticación usar en una tarea.

Reglas de autenticación

Si tu integración tiene configurados tanto un perfil de OAuth 2.0 como una cuenta de servicio gestionada por el usuario, se usará el perfil de OAuth 2.0 de forma predeterminada para la autenticación. Si no se ha configurado ningún perfil de OAuth 2.0 ni ninguna cuenta de servicio gestionada por el usuario, se utilizará la cuenta de servicio predeterminada (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). Si la tarea no usa la cuenta de servicio predeterminada, la ejecución falla.