Ativar o acesso baseado em certificado em aplicativos clientes

Nesta página, descrevemos como ativar o acesso baseado em certificado (CBA, na sigla em inglês) nos seus aplicativos cliente para chamar as APIs do Google usando bibliotecas ou ferramentas compatíveis.

Para ativar a CBA e permitir que as APIs do Google identifiquem um dispositivo, o cliente da chamada precisa estabelecer conexões mTLS com as APIs do Google e descobrir os certificados TLS no dispositivo. Esse processo é ilustrado no diagrama a seguir:

Fluxo de conexão do cliente

Clientes compatíveis com CBA

Você pode usar a CBA com os seguintes clientes:

  • Console do Google Cloud (Chrome)
  • CLI do Google Cloud versão 264.0.0 ou mais recente
  • CLI do Terraform versão 1.3.6 ou mais recente
  • CLI do gsutil versão 264.0.0 ou mais recente
  • Bibliotecas de cliente das APIs do Google
    • Python
    • Golang

Ativar a CBA para a CLI gcloud

  1. Solicite que os usuários instalem ou atualizem a CLI gcloud para garantir que eles tenham uma versão compatível com a CBA, versão 264.0.0 ou posterior.

    Os usuários com a Google Cloud CLI instalada podem confirmar que têm a versão 264.0.0 ou mais recente usando o seguinte comando:

    gcloud --version

    Se necessário, os usuários podem atualizar a versão da Google Cloud CLI usando o seguinte comando:

    gcloud components

  2. Para começar a usar a CBA, os usuários precisam executar o seguinte comando:

    gcloud config set context_aware/use_client_certificate true

Ativar a CBA para a CLI do Terraform, a CLI gsutil e as bibliotecas de cliente das APIs do Google

  1. Para ativar a CBA na CLI do Terraform, na CLI do gsutil e nas bibliotecas de cliente das APIs do Google, os usuários precisam definir a seguinte variável de ambiente:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Ativar a CBA para o IAP Desktop

Para ativar o acesso baseado em certificado no IAP Desktop, faça o seguinte:

  1. No aplicativo, selecione Ferramentas > Opções.
  2. Selecione Conexões seguras com o Google Cloud usando o acesso baseado em certificado.
  3. Clique em OK.
  4. Feche o IAP Desktop e inicie-o novamente.

Se você estiver usando o Active Directory, também poderá configurar um objeto de política de grupo para ativar automaticamente o acesso baseado em certificado para seus usuários.