Abilitare l'accesso basato su certificati nelle applicazioni client

In questa pagina viene descritto come abilitare l'accesso basato su certificati (CBA) nelle applicazioni client per chiamare le API di Google utilizzando librerie o strumenti compatibili.

Per abilitare CBA e consentire alle API di Google di identificare un dispositivo, il client chiamante deve stabilire connessioni mTLS con le API di Google e poi scoprire i certificati TLS sul dispositivo. Questo processo è illustrato nel seguente schema:

Flusso di connessione client

Client compatibili con CBA

Puoi utilizzare CBA con i seguenti clienti:

  • Console Google Cloud (Chrome)
  • Google Cloud CLI versione 264.0.0 o successive
  • Interfaccia a riga di comando Terraform versione 1.3.6 o successive
  • gsutil CLI versione 264.0.0 o successive
  • Librerie client delle API di Google
    • Python
    • Linguaggio Go

Abilita CBA per gcloud CLI

  1. Chiedi agli utenti di installare o aggiornare l'interfaccia alla gcloud CLI per assicurarsi di disporre di una versione compatibile con CBA, versione 264.0.0 o successiva.

    Gli utenti che hanno installato Google Cloud CLI possono confermare di avere la versione 264.0.0 o versioni successive utilizzando il seguente comando:

    gcloud --version

    Se necessario, gli utenti possono aggiornare la versione di Google Cloud CLI utilizzando il seguente comando:

    gcloud components

  2. Per iniziare a utilizzare CBA, gli utenti devono eseguire il comando seguente:

    gcloud config set context_aware/use_client_certificate true

Abilita CBA per l'interfaccia a riga di comando Terraform, gsutil CLI e le librerie client delle API di Google

  1. Per abilitare CBA per l'interfaccia a riga di comando Terraform, gsutil CLI e le librerie client delle API di Google, gli utenti devono impostare la seguente variabile di ambiente:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Attiva CBA per desktop IAP

Per abilitare l'accesso basato su certificati in IAP Desktop, segui questi passaggi:

  1. Nell'applicazione, seleziona Strumenti > Opzioni.
  2. Seleziona Proteggi le connessioni a Google Cloud utilizzando l'accesso basato su certificati.
  3. Fai clic su Ok.
  4. Chiudi IAP Desktop e riavvialo.

Se utilizzi Active Directory, puoi anche configurare un oggetto dei criteri di gruppo per abilitare automaticamente l'accesso basato su certificati per i tuoi utenti.