Zertifikatbasierten Zugriff in Clientanwendungen aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) in Ihren Clientanwendungen aktivieren, um die Google APIs mit kompatiblen Bibliotheken oder Tools aufzurufen.

Um die CBA zu aktivieren und den Google APIs die Identifizierung eines Geräts zu ermöglichen, muss der aufrufende Client muss mTLS-Verbindungen zu den Google APIs herstellen und dann die TLS-Zertifikate auf dem Gerät. Dieser Vorgang wird im folgenden Diagramm veranschaulicht:

Ablauf der Clientverbindung

CBA-kompatible Clients

Sie können die CBA mit den folgenden Kunden verwenden:

  • Google Cloud Console (Chrome)
  • Google Cloud CLI Version 264.0.0 oder höher
  • Terraform CLI Version 1.3.6 oder höher
  • Google API-Clientbibliotheken
    • Python
    • Programmiersprache Go

CBA für die gcloud CLI aktivieren

  1. Lassen Sie Ihre Nutzer install oder aktualisieren Sie die gcloud CLI auf, um sicherzustellen, dass eine Version vorhanden ist, die mit der CBA funktioniert, Version 264.0.0 oder höher.

    Nutzer, die die Google Cloud CLI installiert haben, können mit dem folgenden Befehl prüfen, ob sie Version 264.0.0 oder höher haben:

    gcloud --version

    Bei Bedarf können Nutzer ihre Google Cloud CLI-Version mit dem folgenden Befehl aktualisieren:

    gcloud components

  2. Um den CBA zu verwenden, müssen Nutzer den folgenden Befehl ausführen:

    gcloud config set context_aware/use_client_certificate true

CBA für die Terraform-Befehlszeile und die Google API-Clientbibliotheken aktivieren

  1. Um die CBA für die Terraform-Befehlszeile und die Google API-Clientbibliotheken zu aktivieren, müssen Nutzer die folgende Umgebungsvariable festlegen:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

CBA für IAP Desktop aktivieren

So aktivieren Sie den zertifikatbasierten Zugriff in IAP Desktop:

  1. Wählen Sie in der Anwendung Tools > Optionen aus.
  2. Wählen Sie Sichere Verbindungen zu Google Cloud über zertifikatbasierten Zugriff aus.
  3. Klicken Sie auf OK.
  4. Schließen Sie IAP Desktop und starten Sie es neu.

Wenn Sie Active Directory verwenden, können Sie auch ein Gruppenrichtlinienobjekt konfigurieren. um den zertifikatsbasierten Zugriff für Ihre Nutzer automatisch zu aktivieren.