Questo documento descrive come eseguire l'autenticazione all'API Cloud Healthcare in modo programmatico. La modalità di autenticazione all'API Cloud Healthcare dipende dall'interfaccia utilizzata per accedere all'API e dall'ambiente in cui viene eseguito il codice.
Per ulteriori informazioni sull'autenticazione Google Cloud, consulta la panoramica dell'autenticazione.
Accesso API
L'API Cloud Healthcare supporta l'accesso programmatico. Puoi accedere all'API nei seguenti modi:
Librerie client
Le librerie client delle API di Google offrono supporto linguistico di alto livello per l'autenticazione programmatica nell'API Cloud Healthcare. Per autenticare le chiamate alle API di Google Cloud, le librerie client supportano le credenziali predefinite dell'applicazione (ADC); le librerie cercano le credenziali in un insieme di località definite e le utilizzano per autenticare le richieste all'API. Con ADC, puoi rendere disponibili le credenziali per la tua applicazione in diversi ambienti, ad esempio lo sviluppo o la produzione locale, senza dover modificare il codice dell'applicazione.
Google Cloud CLI
Quando utilizzi gcloud CLI per accedere all'API Cloud Healthcare, accedi a gcloud CLI con un Account Google, che fornisce le credenziali utilizzate dai comandi gcloud CLI.
Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di avere le autorizzazioni richieste, puoi utilizzare la impersonificazione degli account di servizio.
Per maggiori informazioni, consulta Eseguire l'autenticazione per utilizzare gcloud CLI. Per ulteriori informazioni sull'utilizzo di gcloud CLI con l'API Cloud Healthcare, consulta le pagine di riferimento di gcloud CLI.
REST
Puoi autenticarti all'API Cloud Healthcare utilizzando le tue credenziali gcloud CLI o le Credenziali predefinite dell'applicazione. Per maggiori informazioni sull'autenticazione per le richieste REST, consulta Autenticazione per l'utilizzo di REST. Per informazioni sui tipi di credenziali, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.
Configura l'autenticazione per l'API Cloud Healthcare
La modalità di configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.
Le seguenti opzioni per la configurazione dell'autenticazione sono quelle più utilizzate. Per ulteriori opzioni e informazioni sull'autenticazione, consulta la sezione Autenticazione su Google.
Per un ambiente di sviluppo locale
Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:
- Credenziali utente per librerie client o strumenti di terze parti
- Credenziali utente per le richieste REST dalla riga di comando
Librerie client o strumenti di terze parti
Configura le Credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:
-
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
-
Crea credenziali di autenticazione locali per il tuo Account Google:
gcloud auth application-default login
Viene visualizzata una schermata di accesso. Dopo l'accesso, le tue credenziali vengono archiviate nel file delle credenziali locali utilizzato da ADC.
Per maggiori informazioni su come utilizzare ADC in un ambiente locale, consulta Ambiente di sviluppo locale.
Richieste REST dalla riga di comando
Quando effettui una richiesta REST dalla riga di comando, puoi utilizzare le credenziali gcloud CLI includendo gcloud auth print-access-token
nel comando che invia la richiesta.
Nell'esempio seguente sono elencati gli account di servizio per il progetto specificato. Puoi utilizzare lo stesso pattern per qualsiasi richiesta REST.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
- PROJECT_ID: l'ID del tuo progetto Google Cloud.
Per inviare la richiesta, espandi una di queste opzioni:
Per maggiori informazioni sull'autenticazione mediante REST e gRPC, consulta Eseguire l'autenticazione per utilizzare REST. Per informazioni sulla differenza tra le credenziali ADC locali e le credenziali ADC di gcloud CLI, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.
Su Google Cloud
Per autenticare un carico di lavoro in esecuzione su Google Cloud, devi utilizzare le credenziali dell'account di servizio collegato alla risorsa di computing su cui è in esecuzione il codice. Ad esempio, puoi collegare un account di servizio a un'istanza di macchina virtuale (VM) Compute Engine, a un servizio Cloud Run o a un job Dataflow. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su una risorsa di computing Google Cloud.
Per la maggior parte dei servizi, devi collegare l'account di servizio quando crei la risorsa che eseguirà il codice. Non puoi aggiungere o sostituire l'account di servizio in un secondo momento. Compute Engine è un'eccezione: ti consente di collegare un account di servizio a un'istanza VM in qualsiasi momento.
Utilizza gcloud CLI per creare un account di servizio e collegarlo alla tua risorsa:
-
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
-
Configura l'autenticazione:
-
Crea l'account di servizio:
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
Sostituisci
SERVICE_ACCOUNT_NAME
con un nome per l'account di servizio. -
Per fornire l'accesso al tuo progetto e alle tue risorse, concedi un ruolo all'account di servizio:
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
Sostituisci quanto segue:
SERVICE_ACCOUNT_NAME
: il nome dell'account di servizio.PROJECT_ID
: l'ID progetto in cui hai creato l'account di servizioROLE
: il ruolo da concedere
- Per concedere un altro ruolo all'account di servizio, esegui il comando come nel passaggio precedente.
-
Concedi al tuo Account Google un ruolo che ti consenta di utilizzare i ruoli dell'account di servizio e collegarlo ad altre risorse:
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
Sostituisci quanto segue:
SERVICE_ACCOUNT_NAME
: il nome dell'account di servizio.PROJECT_ID
: l'ID progetto in cui hai creato l'account di servizioUSER_EMAIL
: l'indirizzo email del tuo Account Google
-
-
Crea la risorsa che eseguirà il codice e collega l'account di servizio alla risorsa. Ad esempio, se utilizzi Compute Engine:
Crea un'istanza Compute Engine. Configura l'istanza come segue:-
Sostituisci
INSTANCE_NAME
con il nome istanza che preferisci. -
Imposta il flag
--zone
sulla zona in cui vuoi creare l'istanza. -
Imposta il flag
--service-account
sull'indirizzo email dell'account di servizio che hai creato.
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
-
Sostituisci
Per maggiori informazioni sull'autenticazione nelle API di Google, consulta Autenticazione su Google.
On-premise o su un cloud provider diverso
Il metodo preferito per configurare l'autenticazione dall'esterno di Google Cloud è utilizzare la federazione delle identità per i carichi di lavoro. Per maggiori informazioni, consulta On-premise o un altro cloud provider nella documentazione sull'autenticazione.
Controllo dell'accesso per l'API Cloud Healthcare
Dopo l'autenticazione nell'API Cloud Healthcare, devi disporre dell'autorizzazione per accedere alle risorse Google Cloud. L'API Cloud Healthcare utilizza Identity and Access Management (IAM) per l'autorizzazione.
Per maggiori informazioni sui ruoli dell'API Cloud Healthcare, consulta Controllo dell'accesso con IAM. Per maggiori informazioni su IAM e autorizzazione, consulta la panoramica IAM.
Autorizzazione dell'account di servizio utilizzando token JWT (JSON Web Tokens)
Puoi effettuare chiamate autorizzate all'API Cloud Healthcare utilizzando un token JWT (JSON Web Token) firmato direttamente come token di connessione, anziché un token di accesso OAuth 2.0. L'API Cloud Healthcare non richiede un metodo specifico per la generazione di token. Puoi trovare una raccolta di librerie client helper per la creazione di JWT su JWT.io. Quando utilizzi un JWT firmato, puoi evitare di dover effettuare una richiesta di rete al server di autorizzazione di Google prima di effettuare una chiamata API.
Quando utilizzi un JWT, specifica https://healthcare.googleapis.com/
nel campo aud
.
Per autorizzare le chiamate all'API Cloud Healthcare utilizzando un JWT anziché un token di accesso OAuth 2.0, completa le istruzioni riportate in Addendum: autorizzazione dell'account di servizio senza OAuth.
Il JWT che crei dovrebbe essere simile al seguente esempio:
{ "alg": "RS256", "typ": "JWT", "kid": "PRIVATE_KEY_ID" } . { "iss": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "sub": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "aud": "https://healthcare.googleapis.com/", "iat": CURRENT_UNIX_TIME, "exp": EXPIRATION_TIME }
Passaggi successivi
- Scopri di più sui metodi di autenticazione di Google Cloud.
- Consulta un elenco di casi d'uso per l'autenticazione.