Ative o acesso baseado em certificados em aplicações cliente

Esta página descreve como ativar o acesso baseado em certificados (CBA) nas suas aplicações cliente para chamar as APIs Google através de bibliotecas ou ferramentas compatíveis.

Para ativar a CBA e permitir que as APIs Google identifiquem um dispositivo, o cliente de chamadas tem de estabelecer ligações mTLS com as APIs Google e, em seguida, descobrir os certificados TLS no dispositivo. Este processo é ilustrado no diagrama seguinte:

Fluxo de associação de clientes

Clientes compatíveis com CBA

Pode usar a CBA com os seguintes clientes:

  • Google Cloud console (Chrome)
  • Versão 264.0.0 ou posterior da CLI gcloud
  • Versão 1.3.6 ou posterior da CLI do Terraform
  • Bibliotecas cliente de APIs Google
    • Python
    • Golang

Ative a CBA para a CLI gcloud

  1. Peça aos seus utilizadores para instalarem ou atualizarem a CLI gcloud para se certificarem de que têm uma versão que funciona com a CBA, versão 264.0.0 ou posterior.

    Os utilizadores que têm a Google Cloud CLI instalada podem confirmar que têm a versão 264.0.0 ou posterior através do seguinte comando:

    gcloud --version

    Se necessário, os utilizadores podem atualizar a versão da Google Cloud CLI através do seguinte comando:

    gcloud components

  2. Para começar a usar a CBA, os utilizadores têm de executar o seguinte comando:

    gcloud config set context_aware/use_client_certificate true

Ative a CBA para a CLI do Terraform e as bibliotecas cliente da API Google

  1. Para ativar a CBA para a CLI do Terraform e as bibliotecas de clientes da API Google, os utilizadores têm de definir a seguinte variável de ambiente:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Ative o CBA para o IAP Desktop

Para ativar o acesso baseado em certificados no IAP Desktop, faça o seguinte:

  1. Na aplicação, selecione Ferramentas > Opções.
  2. Selecione Proteger ligações ao Google Cloud através da utilização do acesso baseado em certificados.
  3. Clique em OK.
  4. Feche o IAP Desktop e inicie-o novamente.

Se estiver a usar o Active Directory, também pode configurar um objeto de política de grupo para ativar automaticamente o acesso baseado em certificados para os seus utilizadores.