Questa guida mostra come gestire le integrazioni delle applicazioni basate su OAuth con Google Cloud.
In linea generale, per integrare un'applicazione basata su OAuth, svolgi i seguenti passaggi:
- Crea un client OAuth.
- Crea una credenziale client OAuth.
- Nella credenziale client OAuth, ottieni il client secret. Per informazioni sui rischi associati allo stoccaggio e all'accesso al client secret e sulle strategie che possono contribuire a ridurli, consulta Rischi e mitigazioni per la sicurezza delle credenziali e dei client OAuth.
Una volta completati questi passaggi, l'applicazione basata su OAuth può accedere ai prodotti e ai dati di Google Cloud.
Prima di iniziare
Devi aver configurato un'organizzazione Google Cloud.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Devi aver configurato un provider e un pool di identità per la forza lavoro nell'organizzazione in cui registrerai l'applicazione OAuth. Scopri come configurare la federazione delle identità della forza lavoro per Microsoft Entra ID, Okta e altri provider OIDC e SAML 2.0.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per registrare un'applicazione OAuth per la tua organizzazione,
chiedi all'amministratore di concederti il ruolo IAM Amministratore client OAuth (roles/iam.oauthClientAdmin
) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Gestisci client OAuth
Questa sezione spiega come gestire i client OAuth.
Creare un client OAuth
Per creare un client OAuth, segui questi passaggi:
gcloud
gcloud iam oauth-clients create APP_OAUTH_CLIENT_ID \
--project=PROJECT_ID \
--location=global \
--client-type="CONFIDENTIAL_CLIENT" \
--display-name="My OAuth application" \
--description="An application registration for MyApp" \
--allowed-scopes="https://www.googleapis.com/auth/cloud-platform" \
--allowed-redirect-uris="REDIRECT_URI" \
--allowed-grant-types="authorization_code_grant"
Sostituisci quanto segue:
APP_OAUTH_CLIENT_ID
: un ID client per rappresentare questo client OAuth.PROJECT_ID
: l'ID del progetto in cui hai creato il pool di identità della forza lavoro e il fornitore. Il progetto deve essere creato nell'organizzazione in cui sono stati creati il pool di forza lavoro e il provider.REDIRECT_URI
: l'URI di reindirizzamento per l'app OAuth, ad esempiohttps://myapp.com/signin-callback
.
REST
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
-d "{ \
'allowedGrantTypes': ['AUTHORIZATION_CODE_GRANT'], \
'allowedRedirectUris': ['REDIRECT_URI'], \
'allowedScopes': ['https://www.googleapis.com/auth/cloud-platform'], \
'clientType': 'CONFIDENTIAL_CLIENT', \
'description': 'My OAuth client description', \
'disabled': false, \
'displayName': 'My OAuth client'}" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients\?oauthClientId\=APP_OAUTH_CLIENT_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai creato il pool di identità della forza lavoro e il relativo fornitore. Il progetto deve essere creato nell'organizzazione in cui sono stati creati il pool di forza lavoro e il provider.REDIRECT_URI
: l'URI di reindirizzamento per l'app OAuth, ad esempiohttps://myapp.com/signin-callback
.APP_OAUTH_CLIENT_ID
: un ID client per rappresentare questo client OAuth.
Dopo aver registrato l'applicazione, crea la credenziale del client OAuth e ottieni il segreto utilizzato dall'applicazione OAuth per accedere a Google Cloud.
Elenca client OAuth
Per elencare i client OAuth registrati, esegui il seguente comando:
gcloud
gcloud iam oauth-clients list \
--project=PROJECT_ID \
--location=global
REST
curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients
Sostituisci PROJECT_ID
con l'ID del progetto in cui sono registrate le tue applicazioni OAuth.
Descrivere un client OAuth
Per descrivere un client OAuth, esegui il seguente comando:
gcloud
gcloud iam oauth-clients describe APP_OAUTH_CLIENT_ID \
--project PROJECT_ID \
--location global
Sostituisci quanto segue:
APP_OAUTH_CLIENT_ID
: l'ID del client OAuth che vuoi descriverePROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuth
REST
curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID del client OAuth che vuoi descrivere
Aggiornare un client OAuth
Per aggiornare un client OAuth, esegui il seguente comando.
gcloud
gcloud iam oauth-clients update APP_OAUTH_CLIENT_ID \
--project=PROJECT_ID \
--location=global \
--allowed-redirect-uris="REDIRECT_URI"
Sostituisci quanto segue:
APP_OAUTH_CLIENT_ID
: l'ID client OAuth per il client OAuth che vuoi aggiornarePROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthREDIRECT_URI
: l'URI di reindirizzamento per l'applicazione OAuth
Per aggiornare altri campi, utilizza gli indicatori elencati in gcloud iam oauth-clients update
.
REST
curl -d'{"allowedRedirectUris":"REDIRECT_URI"}' \
-H "Content-Type: application/json" -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID?update_mask=allowed_redirect_uris
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuth per il client OAuth che vuoi aggiornareREDIRECT_URI
: l'URI di reindirizzamento per il client OAuth
Per aggiornare altri campi, imposta update_mask
sui nomi dei campi elencati in
gcloud iam oauth-clients update
.
Eliminare un client OAuth
Per eliminare un client OAuth, esegui il seguente comando:
gcloud
gcloud iam oauth-clients delete APP_OAUTH_CLIENT_ID \
--project PROJECT_ID \
--location global
Sostituisci quanto segue:
APP_OAUTH_CLIENT_ID
: l'ID client OAuth da eliminarePROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuth
REST
curl -X DELETE \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuth da eliminare
Gestire le credenziali client OAuth
Questa sezione spiega come gestire le credenziali client OAuth per il client OAuth.
Creare una credenziale client OAuth
Per creare una credenziale client OAuth, esegui il seguente comando:
gcloud
gcloud iam oauth-clients credentials create APP_OAUTH_CLIENT_CREDENTIAL_ID \
--oauth-client=APP_OAUTH_CLIENT_ID \
--display-name='My OAuth client credential' \
--location='global'
Sostituisci quanto segue:
APP_OAUTH_CLIENT_CREDENTIAL_ID
: un ID che rappresenta questa credenziale clientAPP_OAUTH_CLIENT_ID
: l'ID client OAuth che puoi ottenere descrivendo l'applicazione client OAuth registrata
REST
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
-d "{'disabled': false, 'displayName': 'My OAuth client credential'}" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials\?oauthClientCredentialId=APP_OAUTH_CLIENT_CREDENTIAL_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuth che puoi ottenere descrivendo l'applicazione client OAuth registrataAPP_OAUTH_CLIENT_CREDENTIAL_ID
: un ID che rappresenta questa credenziale client
Elenca le credenziali client OAuth
Per elencare le credenziali client OAuth, esegui il seguente comando:
gcloud
gcloud iam oauth-clients credentials list \
--oauth-client=APP_OAUTH_CLIENT_ID \
--project=PROJECT_ID \
--location=global
Sostituisci quanto segue:
APP_OAUTH_CLIENT_ID
: l'ID client OAuth per il quale elencare le credenzialiPROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuth
REST
curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/$PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuth per il quale elencare le credenziali
Descrivere una credenziale client OAuth
Per descrivere una credenziale client OAuth, esegui il seguente comando. Puoi ottenere il client secret ispezionando l'output.
gcloud
gcloud iam oauth-clients credentials describe APP_OAUTH_CLIENT_CREDENTIAL_ID \
--oauth-client=APP_OAUTH_CLIENT_ID \
--location='global'
Sostituisci quanto segue:
APP_OAUTH_CLIENT_CREDENTIAL_ID
: l'URI di reindirizzamento per il client OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuth che puoi ottenere descrivendo la registrazione dell'applicazione client
REST
curl \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_CREDENTIAL_ID
: l'URI di reindirizzamento per il client OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuth che puoi ottenere descrivendo la registrazione dell'applicazione client
Nell'output, clientSecret
è il client secret. Questo è il segreto utilizzato dall'applicazione OAuth per accedere a Google Cloud.
Aggiornare una credenziale client OAuth
Per aggiornare una credenziale client OAuth, esegui il seguente comando:
gcloud
gcloud iam oauth-clients credentials update APP_OAUTH_CLIENT_CREDENTIAL_ID \
--client-id=APP_OAUTH_CLIENT_ID \
--display-name="My new credential name" \
--location=global
REST
curl -d'{"displayName":"My new credential name"}' -X PATCH \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://staging-iam.sandbox.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID?update_mask=display_name
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_CREDENTIAL_ID
: l'URI di reindirizzamento per il client OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuth che puoi ottenere descrivendo la registrazione dell'applicazione client
Disattivare le credenziali di un client OAuth
Prima di poter eliminare una credenziale client OAuth, devi disattivarla. Per disattivare la credenziale client OAuth, esegui il seguente comando:
gcloud
gcloud iam oauth-clients credentials update APP_OAUTH_CLIENT_CREDENTIAL_ID \
--oauth-client=APP_OAUTH_CLIENT_ID \
--disabled \
--project=PROJECT_ID \
--location=global
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuthAPP_OAUTH_CLIENT_CREDENTIAL_ID
: l'ID delle credenziali del client da disattivare
REST
curl -d'{"disabled":"true"}' \
-H "Content-Type: application/json" -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID?update_mask=disabled
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID client OAuthAPP_OAUTH_CLIENT_CREDENTIAL_ID
: l'ID delle credenziali del client da disattivare
Eliminare una credenziale client OAuth
Per eliminare le credenziali del client OAuth, esegui il seguente comando:
gcloud
gcloud iam oauth-clients credentials delete APP_OAUTH_CLIENT_CREDENTIAL_ID \
--project=PROJECT_ID \
--oauth-client=APP_OAUTH_CLIENT_ID \
--location=global
Sostituisci quanto segue:
APP_OAUTH_CLIENT_CREDENTIAL_ID
: l'ID client OAuthPROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID della credenziale client
REST
curl -X DELETE \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui hai registrato la tua applicazione OAuthAPP_OAUTH_CLIENT_ID
: l'ID della credenziale clientAPP_OAUTH_CLIENT_CREDENTIAL_ID
: l'ID client OAuth