Ativar o acesso baseado em certificado em aplicativos clientes

Esta página descreve como ativar o acesso baseado em certificado (CBA, na sigla em inglês) nos seus aplicativos clientes para chamar as APIs do Google usando bibliotecas ou ferramentas compatíveis.

Para ativar o CBA e permitir que as APIs do Google identifiquem um dispositivo, o cliente de chamada precisa estabelecer conexões mTLS com as APIs do Google e descobrir os certificados TLS no dispositivo. Esse processo é ilustrado a seguir diagrama:

Fluxo de conexão do cliente

Clientes compatíveis com a CBA

É possível usar a CBA com os seguintes clientes:

  • Console do Google Cloud (Chrome)
  • Google Cloud CLI versão 264.0.0 ou mais recente
  • Terraform CLI versão 1.3.6 ou mais recente
  • Bibliotecas de cliente das APIs do Google
    • Python
    • Golang

Ativar a CBA para a CLI gcloud

  1. Peça que seus usuários instalar ou atualizar o CLI gcloud para garantir que eles tenham uma versão compatível com CBA, Version 264.0.0 ou mais recente.

    Os usuários que têm a CLI do Google Cloud instalada podem confirmar se têm a versão 264.0.0 ou mais recente usando o seguinte comando:

    gcloud --version

    Se necessário, os usuários podem atualizar a versão da Google Cloud CLI usando as seguintes opções: comando:

    gcloud components

  2. Para começar a usar a CBA, os usuários precisam executar o seguinte comando:

    gcloud config set context_aware/use_client_certificate true

Ativar o CBA para a CLI do Terraform e as bibliotecas de cliente das APIs do Google

  1. Para ativar a CBA na CLI do Terraform e nas bibliotecas de cliente da API do Google, faça o seguinte: os usuários precisam definir a seguinte variável de ambiente:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Ativar CBA para o IAP Desktop

Para ativar o acesso baseado em certificado no IAP Desktop, faça o seguinte:

  1. No aplicativo, selecione Ferramentas > Opções.
  2. Selecione Proteger conexões com o Google Cloud usando o acesso baseado em certificado.
  3. Clique em OK.
  4. Feche o IAP Desktop e abra novamente.

Se você estiver usando o Active Directory, também poderá configurar um objeto de política de grupo para ativar automaticamente o acesso baseado em certificado para seus usuários.