Habilitar el acceso basado en certificados en aplicaciones cliente

En esta página, se describe cómo habilitar el acceso basado en certificados (CBA) en tu cliente aplicaciones para llamar a las APIs de Google con bibliotecas o herramientas.

Para habilitar CBA y permitir que las APIs de Google identifiquen un dispositivo, el cliente que realiza la llamada establecer conexiones mTLS con las APIs de Google y, luego, detectar los certificados TLS en el dispositivo. Este proceso se ilustra en el siguiente diagrama:

Flujo de conexión del cliente

Clientes compatibles con CBA

Puedes usar CBA con los siguientes clientes:

  • Consola de Google Cloud (Chrome)
  • Google Cloud CLI versión 264.0.0 o posterior
  • CLI de Terraform versión 1.3.6 o posterior
  • Bibliotecas cliente de las APIs de Google
    • Python
    • Golang

Habilita CBA para gcloud CLI

  1. Haz que tus usuarios instalar o actualizar gcloud CLI para asegurarte de que tengan una versión que funcione con CBA, Version 264.0.0 o superior

    Los usuarios que tengan Google Cloud CLI instalado pueden confirmar que tienen la Versión 264.0.0 o posterior con el siguiente comando:

    gcloud --version

    Si es necesario, los usuarios pueden actualizar su versión de Google Cloud CLI con lo siguiente :

    gcloud components

  2. Para comenzar a usar CBA, los usuarios deben ejecutar el siguiente comando:

    gcloud config set context_aware/use_client_certificate true

Habilita CBA para la CLI de Terraform y las bibliotecas cliente de las APIs de Google

  1. Para habilitar CBA para la CLI de Terraform y las bibliotecas cliente de la API de Google, los usuarios deben configurar la siguiente variable de entorno:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Habilitar CBA para IAP de computadoras de escritorio

Para habilitar el acceso basado en certificados en IAP Desktop, haz lo siguiente:

  1. En la aplicación, selecciona Herramientas > Opciones.
  2. Selecciona Conexiones seguras a Google Cloud mediante el acceso basado en certificados.
  3. Haz clic en Aceptar.
  4. Cierra IAP Desktop y vuelve a ejecutarlo.

Si usas Active Directory, también puedes configurar un objeto de política de grupo para habilitar automáticamente el acceso basado en certificados para tus usuarios.