Habilita el acceso basado en certificados en las aplicaciones cliente

En esta página, se describe cómo habilitar el acceso basado en certificados (CBA) en tus aplicaciones cliente para llamar a las APIs de Google con bibliotecas o herramientas compatibles.

Para habilitar la CBA y permitir que las APIs de Google identifiquen un dispositivo, el cliente llamador debe establecer conexiones mTLS con las APIs de Google y, luego, descubrir los certificados TLS en el dispositivo. Este proceso se ilustra en el siguiente diagrama:

Flujo de conexión del cliente

Clientes compatibles con CBA

Puedes usar CBA con los siguientes clientes:

  • Consola deGoogle Cloud (Chrome)
  • Versión 264.0.0 o posterior de Google Cloud CLI
  • Versión 1.3.6 o posterior de Terraform CLI
  • Bibliotecas cliente de las APIs de Google
    • Python
    • Golang

Habilita la CBA para gcloud CLI

  1. Pídeles a los usuarios que instalen o actualicen la gcloud CLI para asegurarse de tener una versión que funcione con CBA, la versión 264.0.0 o una posterior.

    Los usuarios que tienen instalada Google Cloud CLI pueden confirmar que tienen la versión 264.0.0 o posterior con el siguiente comando:

    gcloud --version

    Si es necesario, los usuarios pueden actualizar su versión de Google Cloud CLI con el siguiente comando:

    gcloud components

  2. Para comenzar a usar CBA, los usuarios deben ejecutar el siguiente comando:

    gcloud config set context_aware/use_client_certificate true

Habilita la CBA para Terraform CLI y las bibliotecas cliente de la API de Google

  1. Para habilitar la CBA para Terraform CLI y las bibliotecas cliente de la API de Google, los usuarios deben establecer la siguiente variable de entorno:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Habilita CBA para IAP para computadoras

Para habilitar el acceso basado en certificados en IAP Desktop, haz lo siguiente:

  1. En la aplicación, selecciona Tools > Options.
  2. Selecciona Protege las conexiones a Google Cloud con el acceso basado en certificados.
  3. Haz clic en Aceptar.
  4. Cierra IAP Desktop y vuelve a iniciarlo.

Si usas Active Directory, también puedes configurar un objeto de directiva de grupo para habilitar automáticamente el acceso basado en certificados para tus usuarios.