Algunos productos y funciones están en proceso de cambiar de nombre. Las funciones de guía generativa y flujo también se están migrando a una única consola consolidada. Consulta los detalles.

Se usó la API de Cloud Translation para traducir esta página.

Autenticación mutua de TLS

El tráfico de red iniciado por Dialogflow para las solicitudes de webhook se envía en una red pública. Para garantizar que el tráfico sea seguro y confiable en ambas direcciones, Dialogflow admite como opción la autenticación mutua de TLS (mTLS). Durante el protocolo de enlace TLS estándar de Dialogflow, tu servidor de webhook presenta un certificado que Dialogflow puede validar, ya sea siguiendo la cadena de autoridades certificadoras o comparando el certificado con un certificado de AC personalizado. Si habilitas la mTLS en tu servidor de webhook, este podrá autenticar el certificado de Google que presenta Dialogflow a tu servidor de webhook para su validación, lo que completará el establecimiento de confianza mutua.

Solicita mTLS

Para solicitar una mTLS, sigue estos pasos:

Prepara tu servidor HTTPS de webhook para que solicite el certificado de cliente durante el protocolo de enlace TLS.
Tu servidor de webhook debe verificar el certificado de cliente cuando lo recibe.
Instala una cadena de certificados para tu servidor de webhook, en el que el cliente y el servidor puedan confiar de forma mutua. Las aplicaciones que se conectan a los servicios de Google deben confiar en todas las autoridades certificadoras que se enumeran en los Google Trust Services. Puedes descargar certificados raíz desde https://pki.goog/.

Llamada de muestra a un servidor webhook mediante mTLS

En este ejemplo, se usa el agente que se muestra en la guía de inicio rápido con un servidor webhook que ejecuta openssl.

Configuración de muestra
1. Un agente de Dialogflow CX que recibe pedidos de camisas y los envía a un webhook que apunta a un servidor web independiente.
2. Una clave privada para la comunicación TLS en un archivo llamado key.pem
3. Una cadena de certificados firmada por una AC (autoridad certificadora) de confianza pública en un archivo llamado fullchain.pem

Ejecuta el programa openssl s_server en la máquina del servidor.

sudo openssl s_server -key key.pem -cert fullchain.pem -accept 443 -verify 1

Se envía una solicitud al agente desde una máquina cliente. En este ejemplo, la solicitud es “Quiero comprar una camisa roja grande”. Esta solicitud se puede enviar con la consola de Dialogflow o a través de una llamada a la API.

Resultado de openssl s_server en la máquina del servidor.

verify depth is 1
Using default temp DH parameters
ACCEPT
depth=2 C = US, O = Google Trust Services LLC, CN = GTS Root R1
verify return:1
depth=1 C = US, O = Google Trust Services LLC, CN = GTS CA 1D4
verify return:1
depth=0 CN = *.dialogflow.com
verify return:1
-----BEGIN SSL SESSION PARAMETERS-----
MII...
-----END SSL SESSION PARAMETERS-----
Client certificate
-----BEGIN CERTIFICATE-----
MII...
-----END CERTIFICATE-----
subject=CN = *.dialogflow.com

issuer=C = US, O = Google Trust Services LLC, CN = GTS CA 1D4

Shared ciphers:TLS_AES_128_GCM_SHA256:...
Signature Algorithms: ECDSA+SHA256:...
Shared Signature Algorithms: ECDSA+SHA256:...
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Supported Elliptic Groups: 0xEAEA:...
Shared Elliptic groups: X25519:...
CIPHER is TLS_AES_128_GCM_SHA256
Secure Renegotiation IS NOT supported
POST /shirts-agent-webhook HTTP/1.1
authorization: Bearer ey...
content-type: application/json
Host: www.example.com
Content-Length: 1595
Connection: keep-alive
Accept: */*
User-Agent: Google-Dialogflow
Accept-Encoding: gzip, deflate, br

{
  "detectIntentResponseId": "a7951ce2-2f00-4af5-a508-4c2cb45698b0",
  "intentInfo": {
    "lastMatchedIntent": "projects/PROJECT_ID/locations/REGION/agents/AGENT_ID/intents/0adebb70-a727-4687-b8bc-fbbc2ac0b665",
    "parameters": {
      "color": {
        "originalValue": "red",
        "resolvedValue": "red"
      },
      "size": {
        "originalValue": "large",
        "resolvedValue": "large"
      }
    },
    "displayName": "order.new",
    "confidence": 0.9978873
  },
  "pageInfo": {
    "currentPage": "projects/PROJECT_ID/locations/REGION/agents/AGENT_ID/flows/00000000-0000-0000-0000-000000000000/pages/06e6fc4d-c2f2-4830-ab57-7a318f20fd90",
    "displayName": "Order Confirmation"
  },
  "sessionInfo": {
    "session": "projects/PROJECT_ID/locations/REGION/agents/AGENT_ID/sessions/session-test-001",
    "parameters": {
      "color": "red",
      "size": "large"
    }
  },
  "fulfillmentInfo": {
    "tag": "confirm"
  },
  "messages": [{
    "text": {
      "text": ["Ok, let\u0027s start a new order."],
      "redactedText": ["Ok, let\u0027s start a new order."]
    },
    "responseType": "ENTRY_PROMPT",
    "source": "VIRTUAL_AGENT"
  }, {
    "text": {
      "text": ["You have selected a large, red shirt."],
      "redactedText": ["You have selected a large, red shirt."]
    },
    "responseType": "HANDLER_PROMPT",
    "source": "VIRTUAL_AGENT"
  }],
  "text": "I want to buy a large red shirt",
  "languageCode": "en"
}ERROR
shutting down SSL
CONNECTION CLOSED

Certificado de cliente personalizado

Los certificados de cliente personalizados se pueden configurar a nivel del agente para que los usen todos los webhooks. En el momento de la invocación de webhook, los certificados configurados presentada durante el protocolo de enlace.

La clave privada y la frase de contraseña se configuran como un recurso de Secret Manager. El agente de servicio de Dialogflow deberá obtener el secreto Tiene permisos de administrador para acceder a secretos y acceder al secreto.

Una autoridad certificadora debe firmar los certificados del cliente para que el protocolo de enlace se realice correctamente.

Práctica recomendada

Para asegurarte de que las solicitudes de webhook se inicien desde tus propios agentes de Dialogflow, debes verificar el token de identidad del servicio de Bearer en el encabezado de autorización de la solicitud. También puedes verificar una sesión proporcionado previamente por un servidor de autenticación de tu lado.

Errores

Si la validación del certificado de cliente falla (por ejemplo, el servidor de webhook no confía en el certificado de cliente) el protocolo de enlace TLS falla y la sesión finaliza.

Mensajes de error comunes:

Mensaje de error	Explicación
No se pudo verificar el certificado de cliente: x509: certificado firmado por autoridad desconocida	Dialogflow envía su certificado de cliente al webhook externo, pero el webhook externo no puede verificarlo. Esto puede deberse a que el webhook externo no instaló la cadena de CA de forma correcta. Todas las CA raíz de Google son de confianza.

Usar Controles de Servicio de VPC

Configuración de ubicación y regional