Attivare l'accesso basato su certificato nelle applicazioni client

Questa pagina descrive come attivare l'accesso basato su certificato (CBA) nelle applicazioni client per chiamare le API di Google utilizzando librerie o strumenti compatibili.

Per attivare la CBA e consentire alle API di Google di identificare un dispositivo, il client chiamante deve stabilire connessioni mTLS con le API di Google e poi rilevare i certificati TLS sul dispositivo. Questa procedura è illustrata nel seguente diagramma:

Flusso di connessione del client

Client compatibili con CBA

Puoi utilizzare CBA con i seguenti client:

  • Console Google Cloud (Chrome)
  • Google Cloud CLI versione 264.0.0 o successive
  • Interfaccia a riga di comando Terraform versione 1.3.6 o successive
  • Librerie client delle API di Google
    • Python
    • Linguaggio Go

Attivare CBA per l'interfaccia a riga di comando gcloud

  1. Chiedi agli utenti di installare o aggiornare gcloud CLI per assicurarti che abbiano una versione compatibile con CBA, versione 264.0.0 o successive.

    Gli utenti che hanno installato Google Cloud CLI possono verificare di avere la versione 264.0.0 o successive utilizzando il seguente comando:

    gcloud --version

    Se necessario, gli utenti possono aggiornare la versione di Google Cloud CLI utilizzando il seguente comando:

    gcloud components

  2. Per iniziare a utilizzare CBA, gli utenti devono eseguire il seguente comando:

    gcloud config set context_aware/use_client_certificate true

Abilita CBA per la CLI Terraform e le librerie client delle API di Google

  1. Per attivare la CBA per l'interfaccia a riga di comando Terraform e le librerie client dell'API di Google, gli utenti devono impostare la seguente variabile di ambiente:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Attivare CBA per IAP Desktop

Per attivare l'accesso basato su certificato in IAP Desktop:

  1. Nell'applicazione, seleziona Strumenti > Opzioni.
  2. Seleziona Proteggi le connessioni a Google Cloud utilizzando l'accesso basato su certificato.
  3. Fai clic su OK.
  4. Chiudi IAP Desktop e riavvialo.

Se utilizzi Active Directory, puoi anche configurare un oggetto criterio di gruppo per attivare automaticamente l'accesso basato su certificato per gli utenti.