In questa pagina viene descritto come abilitare l'accesso basato su certificati (CBA) nelle applicazioni client per chiamare le API di Google utilizzando librerie o strumenti compatibili.
Per abilitare CBA e consentire alle API di Google di identificare un dispositivo, il client chiamante deve stabilire connessioni mTLS con le API di Google e poi scoprire i certificati TLS sul dispositivo. Questo processo è illustrato nel seguente schema:
Client compatibili con CBA
Puoi utilizzare CBA con i seguenti clienti:
- Console Google Cloud (Chrome)
- Google Cloud CLI versione 264.0.0 o successive
- Interfaccia a riga di comando Terraform versione 1.3.6 o successive
- gsutil CLI versione 264.0.0 o successive
- Librerie client delle API di Google
- Python
- Linguaggio Go
Abilita CBA per gcloud CLI
Chiedi agli utenti di installare o aggiornare l'interfaccia alla gcloud CLI per assicurarsi di disporre di una versione compatibile con CBA, versione 264.0.0 o successiva.
Gli utenti che hanno installato Google Cloud CLI possono confermare di avere la versione 264.0.0 o versioni successive utilizzando il seguente comando:
gcloud --version
Se necessario, gli utenti possono aggiornare la versione di Google Cloud CLI utilizzando il seguente comando:
gcloud components
Per iniziare a utilizzare CBA, gli utenti devono eseguire il comando seguente:
gcloud config set context_aware/use_client_certificate true
Abilita CBA per l'interfaccia a riga di comando Terraform, gsutil CLI e le librerie client delle API di Google
Per abilitare CBA per l'interfaccia a riga di comando Terraform, gsutil CLI e le librerie client delle API di Google, gli utenti devono impostare la seguente variabile di ambiente:
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Attiva CBA per desktop IAP
Per abilitare l'accesso basato su certificati in IAP Desktop, segui questi passaggi:
- Nell'applicazione, seleziona Strumenti > Opzioni.
- Seleziona Proteggi le connessioni a Google Cloud utilizzando l'accesso basato su certificati.
- Fai clic su Ok.
- Chiudi IAP Desktop e riavvialo.
Se utilizzi Active Directory, puoi anche configurare un oggetto dei criteri di gruppo per abilitare automaticamente l'accesso basato su certificati per i tuoi utenti.