Gestire l'applicazione OAuth

Questa guida mostra come gestire le integrazioni delle applicazioni basate su OAuth con Google Cloud.

In linea generale, per integrare un'applicazione basata su OAuth, svolgi i seguenti passaggi:

  1. Crea un client OAuth.
  2. Crea una credenziale client OAuth.
  3. Nella credenziale client OAuth, ottieni il client secret. Per informazioni sui rischi associati allo stoccaggio e all'accesso al client secret e sulle strategie che possono contribuire a ridurli, consulta Rischi e mitigazioni per la sicurezza delle credenziali e dei client OAuth.

Una volta completati questi passaggi, l'applicazione basata su OAuth può accedere ai prodotti e ai dati di Google Cloud.

Prima di iniziare

  1. Devi aver configurato un'organizzazione Google Cloud.

  2. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init

  3. Devi aver configurato un provider e un pool di identità per la forza lavoro nell'organizzazione in cui registrerai l'applicazione OAuth. Scopri come configurare la federazione delle identità della forza lavoro per Microsoft Entra ID, Okta e altri provider OIDC e SAML 2.0.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per registrare un'applicazione OAuth per la tua organizzazione, chiedi all'amministratore di concederti il ruolo IAM Amministratore client OAuth (roles/iam.oauthClientAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Gestisci client OAuth

Questa sezione spiega come gestire i client OAuth.

Creare un client OAuth

Per creare un client OAuth, segui questi passaggi:

gcloud

gcloud iam oauth-clients create APP_OAUTH_CLIENT_ID \
    --project=PROJECT_ID \
    --location=global \
    --client-type="CONFIDENTIAL_CLIENT" \
    --display-name="My OAuth application" \
    --description="An application registration for MyApp" \
    --allowed-scopes="https://www.googleapis.com/auth/cloud-platform" \
    --allowed-redirect-uris="REDIRECT_URI" \
    --allowed-grant-types="authorization_code_grant"

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_ID: un ID client per rappresentare questo client OAuth.
  • PROJECT_ID: l'ID del progetto in cui hai creato il pool di identità della forza lavoro e il fornitore. Il progetto deve essere creato nell'organizzazione in cui sono stati creati il pool di forza lavoro e il provider.
  • REDIRECT_URI: l'URI di reindirizzamento per l'app OAuth, ad esempio https://myapp.com/signin-callback.

REST

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  -d "{ \
        'allowedGrantTypes': ['AUTHORIZATION_CODE_GRANT'], \
        'allowedRedirectUris': ['REDIRECT_URI'], \
        'allowedScopes': ['https://www.googleapis.com/auth/cloud-platform'], \
        'clientType': 'CONFIDENTIAL_CLIENT', \
        'description': 'My OAuth client description', \
        'disabled': false, \
        'displayName': 'My OAuth client'}" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients\?oauthClientId\=APP_OAUTH_CLIENT_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai creato il pool di identità della forza lavoro e il relativo fornitore. Il progetto deve essere creato nell'organizzazione in cui sono stati creati il pool di forza lavoro e il provider.
  • REDIRECT_URI: l'URI di reindirizzamento per l'app OAuth, ad esempio https://myapp.com/signin-callback.
  • APP_OAUTH_CLIENT_ID: un ID client per rappresentare questo client OAuth.

Dopo aver registrato l'applicazione, crea la credenziale del client OAuth e ottieni il segreto utilizzato dall'applicazione OAuth per accedere a Google Cloud.

Elenca client OAuth

Per elencare i client OAuth registrati, esegui il seguente comando:

gcloud

gcloud iam oauth-clients list \
    --project=PROJECT_ID \
    --location=global

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients

Sostituisci PROJECT_ID con l'ID del progetto in cui sono registrate le tue applicazioni OAuth.

Descrivere un client OAuth

Per descrivere un client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients describe APP_OAUTH_CLIENT_ID \
    --project PROJECT_ID \
    --location global

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_ID: l'ID del client OAuth che vuoi descrivere
  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID del client OAuth che vuoi descrivere

Aggiornare un client OAuth

Per aggiornare un client OAuth, esegui il seguente comando.

gcloud

gcloud iam oauth-clients update APP_OAUTH_CLIENT_ID \
    --project=PROJECT_ID \
    --location=global \
    --allowed-redirect-uris="REDIRECT_URI"

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_ID: l'ID client OAuth per il client OAuth che vuoi aggiornare
  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • REDIRECT_URI: l'URI di reindirizzamento per l'applicazione OAuth

Per aggiornare altri campi, utilizza gli indicatori elencati in gcloud iam oauth-clients update.

REST

curl -d'{"allowedRedirectUris":"REDIRECT_URI"}' \
  -H "Content-Type: application/json" -X PATCH \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID?update_mask=allowed_redirect_uris

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth per il client OAuth che vuoi aggiornare
  • REDIRECT_URI: l'URI di reindirizzamento per il client OAuth

Per aggiornare altri campi, imposta update_mask sui nomi dei campi elencati in gcloud iam oauth-clients update.

Eliminare un client OAuth

Per eliminare un client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients delete APP_OAUTH_CLIENT_ID \
    --project PROJECT_ID \
    --location global

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_ID: l'ID client OAuth da eliminare
  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth

REST

curl -X DELETE \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth da eliminare

Gestire le credenziali client OAuth

Questa sezione spiega come gestire le credenziali client OAuth per il client OAuth.

Creare una credenziale client OAuth

Per creare una credenziale client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients credentials create APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --display-name='My OAuth client credential' \
    --location='global'

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_CREDENTIAL_ID: un ID che rappresenta questa credenziale client
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenere descrivendo l'applicazione client OAuth registrata

REST

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  -d "{'disabled': false, 'displayName': 'My OAuth client credential'}" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials\?oauthClientCredentialId=APP_OAUTH_CLIENT_CREDENTIAL_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenere descrivendo l'applicazione client OAuth registrata
  • APP_OAUTH_CLIENT_CREDENTIAL_ID: un ID che rappresenta questa credenziale client

Elenca le credenziali client OAuth

Per elencare le credenziali client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients credentials list \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --project=PROJECT_ID \
    --location=global

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_ID: l'ID client OAuth per il quale elencare le credenziali
  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/$PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth per il quale elencare le credenziali

Descrivere una credenziale client OAuth

Per descrivere una credenziale client OAuth, esegui il seguente comando. Puoi ottenere il client secret ispezionando l'output.

gcloud

gcloud iam oauth-clients credentials describe APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --location='global'

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_CREDENTIAL_ID: l'URI di reindirizzamento per il client OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenere descrivendo la registrazione dell'applicazione client

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_CREDENTIAL_ID: l'URI di reindirizzamento per il client OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenere descrivendo la registrazione dell'applicazione client

Nell'output, clientSecret è il client secret. Questo è il segreto utilizzato dall'applicazione OAuth per accedere a Google Cloud.

Aggiornare una credenziale client OAuth

Per aggiornare una credenziale client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients credentials update APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --client-id=APP_OAUTH_CLIENT_ID \
    --display-name="My new credential name" \
    --location=global

REST

curl -d'{"displayName":"My new credential name"}' -X PATCH \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://staging-iam.sandbox.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID?update_mask=display_name

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_CREDENTIAL_ID: l'URI di reindirizzamento per il client OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenere descrivendo la registrazione dell'applicazione client

Disattivare le credenziali di un client OAuth

Prima di poter eliminare una credenziale client OAuth, devi disattivarla. Per disattivare la credenziale client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients credentials update APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --disabled \
    --project=PROJECT_ID \
    --location=global

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth
  • APP_OAUTH_CLIENT_CREDENTIAL_ID: l'ID delle credenziali del client da disattivare

REST

curl -d'{"disabled":"true"}' \
  -H "Content-Type: application/json" -X PATCH \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID?update_mask=disabled

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID client OAuth
  • APP_OAUTH_CLIENT_CREDENTIAL_ID: l'ID delle credenziali del client da disattivare

Eliminare una credenziale client OAuth

Per eliminare le credenziali del client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients credentials delete APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --project=PROJECT_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --location=global

Sostituisci quanto segue:

  • APP_OAUTH_CLIENT_CREDENTIAL_ID: l'ID client OAuth
  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID della credenziale client

REST

curl -X DELETE \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
  • APP_OAUTH_CLIENT_ID: l'ID della credenziale client
  • APP_OAUTH_CLIENT_CREDENTIAL_ID: l'ID client OAuth

Passaggi successivi