Ativar o acesso baseado no certificado em aplicativos clientes

Nesta página, descrevemos como ativar o acesso baseado em certificado (CBA, na sigla em inglês) no seu cliente aplicativos para chamar as APIs do Google usando recursos bibliotecas ou ferramentas.

Para ativar a CBA e permitir que as APIs do Google identifiquem um dispositivo, o cliente autor da chamada precisa estabelecer conexões mTLS com as APIs do Google e descobrir os certificados TLS no dispositivo. Esse processo é ilustrado a seguir diagrama:

Fluxo de conexão do cliente

Clientes compatíveis com CBA

É possível usar a CBA com os seguintes clientes:

  • Console do Google Cloud (Chrome)
  • CLI do Google Cloud versão 264.0.0 ou mais recente
  • Terraform CLI versão 1.3.6 ou mais recente
  • Bibliotecas de cliente das APIs do Google
    • Python
    • Golang

Ativar a CBA para a CLI gcloud

  1. Peça que seus usuários instalar ou atualizar o CLI gcloud para garantir que eles tenham uma versão compatível com CBA, Version 264.0.0 ou mais recente.

    Os usuários que têm a Google Cloud CLI instalada podem confirmar que têm a versão 264.0.0 ou posterior usando o seguinte comando:

    gcloud --version

    Se necessário, os usuários podem atualizar a versão da Google Cloud CLI usando as seguintes opções: comando:

    gcloud components

  2. Para começar a usar a CBA, os usuários precisam executar o seguinte comando:

    gcloud config set context_aware/use_client_certificate true

Ativar a CBA para a CLI do Terraform e as bibliotecas de cliente da API do Google

  1. Para ativar a CBA na CLI do Terraform e nas bibliotecas de cliente da API do Google, faça o seguinte: os usuários precisam definir a seguinte variável de ambiente:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Ativar CBA para IAP Desktop

Para ativar o acesso baseado em certificado no IAP Desktop, faça o seguinte:

  1. No aplicativo, selecione Tools > Opções.
  2. Selecione Proteger conexões com o Google Cloud usando o acesso baseado em certificado.
  3. Clique em OK.
  4. Feche o IAP Desktop e inicie-o novamente.

Se você estiver usando o Active Directory, também será possível configurar um objeto de política de grupo. para ativar automaticamente o acesso baseado em certificado para seus usuários.