Autenticazione nell'API Cloud Healthcare

Questo documento descrive come autenticarsi nell'API Cloud Healthcare in modo programmatico. Come che esegui l'autenticazione all'API Cloud Healthcare dipende dall'interfaccia che utilizzi per accedere all'API e l'ambiente in cui viene eseguito il codice.

Per ulteriori informazioni sull'autenticazione di Google Cloud, consulta la panoramica dell'autenticazione.

Accesso API

L'API Cloud Healthcare supporta l'accesso programmatico. Puoi accedere all'API in nei seguenti modi:

Librerie client

Le librerie client delle API di Google offrono supporto linguistico di alto livello per l'autenticazione nell'API Cloud Healthcare in modo programmatico. Per autenticare le chiamate alle API Google Cloud, le librerie client supportano Credenziali predefinite dell'applicazione (ADC); le librerie cercano le credenziali in una serie di posizioni definite e le utilizzano per autenticare le richieste all'API. Con ADC, puoi le credenziali disponibili per l'applicazione in diversi ambienti, ad esempio sviluppo o produzione, senza dover modificare il codice dell'applicazione.

Google Cloud CLI

Quando utilizzi gcloud CLI per accedere l'API Cloud Healthcare, accedi a gcloud CLI con un utente che fornisce le credenziali utilizzate dai comandi gcloud CLI.

Se i criteri di sicurezza della tua organizzazione impediscono agli account utente di avere autorizzazioni, puoi utilizzare la rappresentazione degli account di servizio.

Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo dell'interfaccia a riga di comando gcloud. Per ulteriori informazioni sull'utilizzo di gcloud CLI con l'API Cloud Healthcare, consulta le pagine di riferimento di gcloud CLI.

REST

Puoi autenticarti all'API Cloud Healthcare utilizzando le credenziali gcloud CLI o le credenziali predefinite dell'applicazione. Per ulteriori informazioni sull'autenticazione per le richieste REST, consulta Esegui l'autenticazione per l'utilizzo di REST. Per informazioni sui tipi di credenziali, consulta Credenziali dell'interfaccia a riga di comando gcloud e credenziali ADC.

Configurare l'autenticazione per l'API Cloud Healthcare

La configurazione dell'autenticazione dipende dall'ambiente in cui viene eseguito il codice.

Le seguenti opzioni per la configurazione dell'autenticazione sono le più utilizzate. Per altre opzioni e informazioni sull'autenticazione, consulta Metodi di autenticazione.

Per un ambiente di sviluppo locale

Puoi configurare le credenziali per un ambiente di sviluppo locale nei seguenti modi:

Librerie client o strumenti di terze parti

Configura le credenziali predefinite dell'applicazione (ADC) nel tuo ambiente locale:

  1. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  2. If you're using a local shell, then create local authentication credentials for your user account:

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    Viene visualizzata una schermata di accesso. Dopo l'accesso, le credenziali vengono memorizzate nel file delle credenziali locali utilizzato da ADC.

Per ulteriori informazioni sull'utilizzo di ADC in un ambiente locale, consulta Ambiente di sviluppo locale.

Richieste REST dalla riga di comando

Quando effettui una richiesta REST dalla riga di comando, puoi utilizzare le tue credenziali gcloud CLI includendo gcloud auth print-access-token come parte del comando che invia la richiesta.

L'esempio seguente elenca gli account di servizio per il progetto specificato. Puoi utilizzare lo lo stesso pattern per qualsiasi richiesta REST.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID del tuo progetto Google Cloud.

Per inviare la richiesta, espandi una di queste opzioni:

 

Per ulteriori informazioni sull'autenticazione tramite REST e gRPC, consulta Eseguire l'autenticazione per l'utilizzo di REST. Per informazioni sulla differenza tra le credenziali ADC locali e quelle dell'interfaccia a riga di comando gcloud, consulta Configurazione dell'autenticazione dell'interfaccia a riga di comando gcloud e configurazione dell'ADC.

Su Google Cloud

Per autenticare un carico di lavoro in esecuzione su Google Cloud, utilizza le credenziali del account di servizio collegato alla risorsa di computing su cui è in esecuzione il codice, ad esempio un dell'istanza di macchina virtuale (VM) Compute Engine. Questo approccio è il metodo di autenticazione preferito per il codice in esecuzione su una risorsa di calcolo Google Cloud.

Per la maggior parte dei servizi, devi collegare l'account di servizio quando crei risorsa che eseguirà il codice; non puoi aggiungere o sostituire l'account di servizio in un secondo momento. Compute Engine è un'eccezione: ti consente di collegare un account di servizio a un'istanza VM in qualsiasi momento.

Utilizza gcloud CLI per creare un account di servizio e collegarlo al tuo risorsa:

  1. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  2. Set up authentication:

    1. Create the service account:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

    2. To provide access to your project and your resources, grant a role to the service account:

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • ROLE: the role to grant
    3. To grant another role to the service account, run the command as you did in the previous step.
    4. Grant the required role to the principal that will attach the service account to other resources.

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • USER_EMAIL: the email address for a Google Account
  3. Crea la risorsa che eseguirà il codice e collega a questa l'account di servizio risorsa. Ad esempio, se utilizzi Compute Engine:

    Create a Compute Engine instance. Configure the instance as follows:
    • Sostituisci INSTANCE_NAME con il tuo preferito del nome dell'istanza.
    • Imposta il flag --zone su zona in cui creare per l'istanza.
    • Imposta il flag --service-account sull'indirizzo email dell'account di servizio che hai creato.
    • gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL

Per ulteriori informazioni sull'autenticazione nelle API di Google, vedi Metodi di autenticazione.

On-premise o su un cloud provider diverso

Il metodo preferito per configurare l'autenticazione dall'esterno di Google Cloud è utilizzare la federazione delle identità per i carichi di lavoro. Per ulteriori informazioni, vedi On-premise o un altro cloud provider nella documentazione sull'autenticazione.

Controllo dell'accesso per l'API Cloud Healthcare

Dopo aver eseguito l'autenticazione nell'API Cloud Healthcare, devi disporre dell'autorizzazione per accedere alle risorse Google Cloud. L'API Cloud Healthcare utilizza Identity and Access Management (IAM) per l'autorizzazione.

Per ulteriori informazioni sui ruoli per l'API Cloud Healthcare, consulta Controllo dell'accesso con IAM. Per ulteriori informazioni su IAM e autorizzazione, consulta Panoramica IAM.

Autorizzazione dell'account di servizio mediante token web JSON (JWT)

Puoi effettuare chiamate autorizzate all'API Cloud Healthcare utilizzando un Token web JSON (JWT) direttamente come token di connessione, anziché come accesso OAuth 2.0 di accesso. L'API Cloud Healthcare non richiede la generazione di token specifici . Puoi trovare una raccolta di librerie client helper per la creazione di JWT. su JWT.io. Quando utilizzi un JWT firmato, evitando di dover effettuare una richiesta di rete al server di autorizzazione di Google prima di effettuare una chiamata API.

Quando utilizzi un JWT, specifica https://healthcare.googleapis.com/ nel campo aud .

Per autorizzare le chiamate all'API Cloud Healthcare utilizzando un JWT anziché un token di accesso OAuth 2.0, completa le istruzioni riportate nell'Addendum: autorizzazione dell'account di servizio senza OAuth.

Il JWT creato dovrebbe essere simile all'esempio seguente:

{
  "alg": "RS256",
  "typ": "JWT",
  "kid": "PRIVATE_KEY_ID"
}
.
{
  "iss": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
  "sub": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
  "aud": "https://healthcare.googleapis.com/",
  "iat": CURRENT_UNIX_TIME,
  "exp": EXPIRATION_TIME
}

Passaggi successivi