Cette page explique comment activer l'accès basé sur les certificats (CBA) dans vos applications clientes pour appeler les API Google à l'aide de bibliothèques ou d'outils compatibles.
Pour activer la CBA et permettre aux API Google d'identifier un appareil, le client appelant doivent établir des connexions mTLS avec les API Google, puis découvrir les certificats TLS sur l’appareil. Ce processus est illustré dans le schéma suivant :
Clients compatibles avec la CBA
Vous pouvez l'utiliser avec les clients suivants:
- Console Google Cloud (Chrome)
- Google Cloud CLI version 264.0.0 ou ultérieure
- CLI Terraform version 1.3.6 ou ultérieure
- Bibliothèques clientes des API Google
- Python
- Golang
Activer l'CBA pour la gcloud CLI
Demandez à vos utilisateurs d'installer ou de mettre à jour la gcloud CLI pour s'assurer qu'ils disposent d'une version compatible avec l'accès basé sur les certificats, version 264.0.0 ou ultérieure.
Les utilisateurs ayant installé la Google Cloud CLI peuvent vérifier qu'ils disposent de la version 264.0.0 ou version ultérieure à l'aide de la commande suivante:
gcloud --version
Si nécessaire, les utilisateurs peuvent mettre à jour leur version de la Google Cloud CLI à l'aide de la commande suivante : commande:
gcloud components
Pour commencer à utiliser la CBA, les utilisateurs doivent exécuter la commande suivante:
gcloud config set context_aware/use_client_certificate true
Activer la gestion des droits d'accès des clients pour la CLI Terraform et les bibliothèques clientes des API Google
Pour activer la CBA pour la CLI Terraform et les bibliothèques clientes des API Google, les utilisateurs doivent définir la variable d'environnement suivante :
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Activer l'attribution automatique des licences pour IAP sur ordinateur
Pour activer l'accès basé sur des certificats dans IAP Desktop, procédez comme suit:
- Dans l'application, sélectionnez Tools > Options :
- Sélectionnez Sécuriser les connexions à Google Cloud à l'aide d'un accès basé sur un certificat.
- Cliquez sur OK.
- Fermez IAP Desktop, puis relancez-le.
Si vous utilisez Active Directory, vous pouvez également configurer un objet de stratégie de groupe pour activer automatiquement l'accès basé sur les certificats pour vos utilisateurs.