Activer l'accès basé sur des certificats dans les applications clientes

Cette page explique comment activer l'accès basé sur des certificats (CBA) dans vos applications clientes pour appeler les API Google à l'aide de bibliothèques ou d'outils compatibles.

Pour activer la CBA et permettre aux API Google d'identifier un appareil, le client appelant doit établir des connexions mTLS avec les API Google, puis découvrir les certificats TLS sur l'appareil. Ce processus est illustré dans le schéma suivant:

Flux de connexion client

Clients compatibles avec la CBA

Vous pouvez utiliser la CBA avec les clients suivants:

  • Console Google Cloud (Chrome)
  • Google Cloud CLI version 264.0.0 ou ultérieure
  • CLI Terraform version 1.3.6 ou ultérieure
  • CLI gsutil version 264.0.0 ou ultérieure
  • Bibliothèques clientes des API Google
    • Python
    • Golang

Activer la CBA pour la gcloud CLI

  1. Demandez à vos utilisateurs d'installer ou de mettre à jour la gcloud CLI pour s'assurer qu'ils disposent d'une version compatible avec la CBA (version 264.0.0 ou ultérieure).

    Les utilisateurs qui ont installé Google Cloud CLI peuvent vérifier qu'ils disposent de la version 264.0.0 ou d'une version ultérieure à l'aide de la commande suivante:

    gcloud --version

    Si nécessaire, les utilisateurs peuvent mettre à jour leur version de Google Cloud CLI à l'aide de la commande suivante:

    gcloud components

  2. Pour commencer à utiliser la CBA, les utilisateurs doivent exécuter la commande suivante:

    gcloud config set context_aware/use_client_certificate true

Activer la CBA pour la CLI Terraform, la CLI gsutil et les bibliothèques clientes des API Google

  1. Pour activer la CBA pour la CLI Terraform, la CLI gsutil et les bibliothèques clientes des API Google, les utilisateurs doivent définir la variable d'environnement suivante:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Activer la CBA pour IAP Desktop

Pour activer l'accès basé sur un certificat dans IAP Desktop, procédez comme suit:

  1. Dans l'application, sélectionnez Tools > Options (Outils > Options).
  2. Sélectionnez Sécuriser les connexions à Google Cloud à l'aide d'un accès basé sur un certificat.
  3. Cliquez sur OK.
  4. Fermez IAP Desktop, puis relancez-le.

Si vous utilisez Active Directory, vous pouvez également configurer un objet de stratégie de groupe pour activer automatiquement l'accès basé sur des certificats pour vos utilisateurs.