Metode autentikasi di Google

Dokumen ini membantu Anda memahami beberapa metode dan konsep autentikasi utama, serta mengetahui cara mendapatkan bantuan dalam menerapkan atau memecahkan masalah autentikasi. Fokus utama dokumentasi autentikasi adalah untuk layanan Google Cloud, tetapi daftar kasus penggunaan autentikasi dan materi pengantar di halaman ini juga menyertakan kasus penggunaan untuk produk Google lainnya.

Pengantar

Autentikasi adalah proses yang digunakan untuk mengonfirmasi identitas Anda melalui penggunaan semacam kredensial. Autentikasi adalah pembuktian bahwa Anda memang orang yang Anda katakan.

Google menyediakan banyak API dan layanan, yang memerlukan autentikasi untuk mengakses. Google juga menyediakan sejumlah layanan yang menghosting aplikasi yang ditulis oleh pelanggan kami; aplikasi ini juga perlu mengetahui identitas penggunanya.

Saya ingin... Informasi
Melakukan autentikasi ke layanan Google Cloud dari aplikasi saya menggunakan bahasa pemrograman tingkat tinggi. Siapkan Kredensial Default Aplikasi, lalu gunakan salah satu Library Klien Cloud.
Lakukan autentikasi ke aplikasi yang memerlukan token ID. Dapatkan token ID OpenID Connect (OIDC), lalu berikan permintaan Anda.
Mengimplementasikan autentikasi pengguna untuk aplikasi yang mengakses layanan dan resource Google atau Google Cloud . Lihat Autentikasi pengguna aplikasi untuk mengetahui perbandingan opsi.
Mencoba beberapa perintah gcloud di lingkungan pengembangan lokal saya. Lakukan inisialisasi gcloud CLI.
Mencoba beberapa permintaan REST API Google Cloud di lingkungan pengembangan lokal saya. Gunakan alat command line seperti curl untuk memanggil REST API.
Mencoba cuplikan kode yang disertakan dalam dokumentasi produk saya. Siapkan ADC untuk lingkungan pengembangan lokal, lalu instal library klien produk Anda di lingkungan lokal Anda. Library klien menemukan kredensial Anda secara otomatis.
Mendapatkan bantuan terkait kasus penggunaan autentikasi lainnya. Lihat halaman Kasus penggunaan autentikasi.
Melihat daftar produk yang disediakan Google di ruang pengelolaan akses dan identitas. Lihat halaman produk pengelolaan akses dan identitas Google.

Memilih metode autentikasi yang tepat untuk kasus penggunaan Anda

Saat Anda mengakses layanan Google Cloud menggunakan Google Cloud CLI, Library Klien Cloud, alat yang mendukung Kredensial Default Aplikasi (ADC) seperti Terraform, atau permintaan REST, gunakan diagram berikut untuk membantu Anda memilih metode autentikasi:

Pohon keputusan untuk memilih metode autentikasi berdasarkan kasus penggunaan

Diagram ini memandu Anda melalui pertanyaan-pertanyaan berikut:

  1. Apakah Anda menjalankan kode dalam lingkungan pengembangan pengguna tunggal, seperti workstation, Cloud Shell, atau antarmuka desktop virtual Anda sendiri?
    1. Jika ya, lanjutkan ke pertanyaan 4.
    2. Jika tidak, lanjutkan ke pertanyaan 2.
  2. Apakah Anda menjalankan kode di Google Cloud?
    1. Jika ya, lanjutkan ke pertanyaan 3.
    2. Jika tidak, lanjutkan ke pertanyaan 5.
  3. Apakah Anda menjalankan container di Google Kubernetes Engine?
    1. Jika ya, gunakan Workload Identity Federation untuk GKE untuk melampirkan akun layanan ke pod Kubernetes.
    2. Jika tidak, lampirkan akun layanan ke resource.
  4. Apakah kasus penggunaan Anda memerlukan akun layanan?

    Misalnya, Anda ingin mengonfigurasi autentikasi dan otorisasi secara konsisten untuk aplikasi Anda di semua lingkungan.

    1. Jika tidak, lakukan autentikasi dengan kredensial pengguna.
    2. Jika ya, tiru identitas akun layanan dengan kredensial pengguna.
  5. Apakah workload Anda diautentikasi dengan penyedia identitas eksternal yang mendukung workload identity federation?
    1. Jika ya, konfigurasikan Workload Identity Federation agar aplikasi yang berjalan secara lokal atau di penyedia cloud lain dapat menggunakan akun layanan.
    2. Jika tidak, buat kunci akun layanan.

OAuth 2.0

Google API menerapkan dan memperluas framework OAuth 2.0. Lihat dokumentasi untuk lingkungan dan kasus penggunaan Anda untuk mengetahui detailnya.

Metode otorisasi untuk layanan Google Cloud

LayananGoogle Cloud menggunakan Identity and Access Management (IAM) untuk autentikasi. IAM menawarkan kontrol terperinci, oleh akun utama dan oleh resource. Saat melakukan autentikasi ke layanan Google Cloud , Anda umumnya menggunakan cakupan yang menyertakan semua layanan Google Cloud (https://www.googleapis.com/auth/cloud-platform).

Cakupan OAuth 2.0 dapat memberikan lapisan perlindungan kedua, yang berguna jika kode Anda berjalan di lingkungan yang mengutamakan keamanan token, seperti aplikasi seluler. Dalam skenario ini, Anda dapat menggunakan cakupan terperinci untuk mengurangi risiko jika token disusupi. Anda dapat menemukan daftar cakupan yang diterima oleh metode API di halaman referensi API-nya dalam dokumentasi produk.

Kredensial Default Aplikasi

Application Default Credentials (ADC) adalah strategi yang digunakan oleh library autentikasi untuk menemukan kredensial secara otomatis berdasarkan lingkungan aplikasi. Library autentikasi menyediakan kredensial tersebut untuk Library Klien Cloud dan Library Klien Google API. Saat menggunakan ADC, kode Anda dapat berjalan di lingkungan pengembangan atau produksi tanpa mengubah cara aplikasi Anda melakukan autentikasi ke layanan dan API Google Cloud .

Jika menulis kode yang perlu menggunakan layanan Google Cloud , Anda harus menggunakan ADC jika memungkinkan. Penggunaan ADC dapat menyederhanakan proses pengembangan Anda karena dengan ini Anda dapat menggunakan kode autentikasi yang sama di berbagai lingkungan.

Sebelum dapat menggunakan ADC, Anda harus memberikan kredensial ke ADC, berdasarkan tempat Anda ingin menjalankan kode. ADC secara otomatis menemukan kredensial dan mendapatkan token di latar belakang, sehingga kode autentikasi Anda dapat berjalan di lingkungan yang berbeda tanpa modifikasi. Misalnya, versi kode yang sama dapat melakukan autentikasi dengan APIGoogle Cloud saat berjalan di workstation pengembangan atau di Compute Engine.

Kredensial gcloud Anda tidak sama dengan kredensial yang Anda berikan ke ADC menggunakan gcloud CLI. Untuk mengetahui informasi selengkapnya, lihat konfigurasi autentikasi gcloud CLI dan konfigurasi ADC.

Terminologi

Istilah berikut penting untuk dipahami saat membahas autentikasi dan otorisasi.

Autentikasi

Autentikasi adalah proses mengetahui identitas akun utama yang mencoba mengakses resource.

Otorisasi

Otorisasi adalah proses mengetahui apakah akun utama atau aplikasi yang mencoba mengakses resource telah diberi otorisasi untuk tingkat akses tersebut.

Kredensial

Saat dokumen ini menggunakan istilah akun pengguna, istilah tersebut mengacu pada Akun Google, atau akun pengguna yang dikelola oleh penyedia identitas Anda dan digabungkan dengan workforce identity federation.

Untuk autentikasi, kredensial adalah objek digital yang memberikan bukti identitas. Sandi, PIN, dan data biometrik dapat digunakan sebagai kredensial, tergantung pada persyaratan aplikasi. Misalnya, saat login ke akun pengguna, Anda memasukkan sandi dan memenuhi persyaratan autentikasi 2 langkah sebagai bukti bahwa akun tersebut benar-benar milik Anda, dan Anda tidak terkena spoofing oleh pihak tak bertanggung jawab.

Token bukan kredensial. Token adalah objek digital yang membuktikan bahwa pemanggil memberikan kredensial yang sesuai.

Jenis kredensial yang perlu Anda berikan bergantung pada autentikasi yang Anda lakukan. Jenis kredensial berikut dapat dibuat di Konsol Google Cloud:

  • Kunci API

    Tidak seperti kredensial lainnya, kunci API tidak mengidentifikasi akun utama. Kunci API menyediakan project Google Cloud untuk tujuan penagihan dan kuota.

    Banyak Google API yang tidak menerima kunci API. Untuk informasi selengkapnya tentang kunci API, lihat Kunci API.

  • Client ID OAuth

    Client ID OAuth digunakan untuk mengidentifikasi aplikasi ke Google Cloud. Hal ini diperlukan saat Anda ingin mengakses resource yang dimiliki oleh pengguna akhir, yang juga disebut three-legged OAuth (3LO). Untuk informasi selengkapnya tentang cara mendapatkan dan menggunakan Client ID OAuth, lihat Menyiapkan OAuth 2.0.

  • Kunci akun layanan

    Kunci akun layanan mengidentifikasi akun utama (akun layanan) dan project yang terkait dengan akun layanan.

Akun utama

Akun utama adalah identitas yang dapat diberi akses ke resource. Untuk autentikasi, Google API mendukung dua jenis akun utama: akun pengguna dan akun layanan.

Penggunaan akun pengguna atau akun layanan untuk autentikasi bergantung pada kasus penggunaan Anda. Anda dapat menggunakan keduanya, masing-masing pada tahap project atau dalam lingkungan pengembangan yang berbeda-beda.

Akun pengguna

Akun pengguna mewakili developer, administrator, atau orang lain yang berinteraksi dengan Google API dan layanan Google.

Akun pengguna dikelola sebagai Akun Google, baik dengan Google Workspace maupun Cloud Identity. Akun ini juga dapat berupa akun pengguna yang dikelola oleh penyedia identitas pihak ketiga dan digabungkan dengan Workforce Identity Federation.

Dengan akun pengguna, Anda dapat melakukan autentikasi ke Google API dan layanan Google dengan cara berikut:

Untuk ringkasan tentang cara mengonfigurasi identitas bagi pengguna di Google Cloud, lihat Identitas untuk pengguna.

Akun layanan

Akun layanan adalah akun yang tidak mewakili pengguna manusia. Akun ini menyediakan cara untuk mengelola autentikasi dan otorisasi saat manusia tidak terlibat secara langsung, seperti saat aplikasi perlu mengakses resource Google Cloud . Akun layanan dikelola oleh IAM.

Daftar berikut menyediakan beberapa metode penggunaan akun layanan untuk melakukan autentikasi ke layanan Google dan Google API, diurutkan dari yang paling aman hingga yang paling tidak aman. Untuk informasi selengkapnya, lihat Memilih metode autentikasi yang tepat untuk kasus penggunaan Anda di halaman ini.

Untuk ringkasan tentang cara mengonfigurasi identitas workload, termasuk akun layanan, untuk Google Cloud, lihat Identitas untuk workload. Untuk praktik terbaik, lihat Praktik terbaik untuk menggunakan akun layanan.

Token

Untuk autentikasi dan otorisasi, token adalah objek digital yang menunjukkan bahwa pemanggil memberikan kredensial yang sesuai untuk ditukarkan dengan token tersebut. Token tersebut berisi informasi tentang identitas akun utama yang membuat permintaan dan jenis akses apa yang diizinkan untuk dilakukan olehnya.

Anggaplah token seperti kunci hotel. Saat check in ke hotel dan menunjukkan dokumentasi yang sesuai ke meja pendaftaran hotel, Anda akan menerima kunci yang memberi Anda akses ke fasilitas hotel tertentu. Misalnya, kunci mungkin memberi Anda akses ke kamar dan lift tamu, tetapi tidak akan memberi Anda akses ke kamar lain atau lift pelayanan.

Dengan pengecualian kunci API, Google API tidak mendukung kredensial secara langsung. Aplikasi Anda harus memperoleh atau membuat token dan memberikannya ke API. Ada beberapa jenis token. Untuk informasi selengkapnya, lihat Jenis token.

Workload dan workforce

Produk akses dan identitasGoogle Cloud memungkinkan akses ke layanan dan resourceGoogle Cloud untuk akses terprogram dan pengguna manusia. Google Cloud menggunakan istilah workload untuk akses terprogram dan workforce untuk akses pengguna.

Workload Identity Federation memungkinkan Anda memberikan akses ke workload lokal atau multi-cloud tanpa harus membuat dan mengelola kunci akun layanan.

Workforce Identity Federation memungkinkan Anda menggunakan penyedia identitas eksternal untuk mengautentikasi dan memberi otorisasi kepada tenaga kerja—sekelompok pengguna, seperti karyawan, partner, dan kontraktor—menggunakan IAM, sehingga pengguna dapat mengakses layananGoogle Cloud .

Langkah selanjutnya