Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci applicazione OAuth

Questa guida mostra come gestire le integrazioni delle applicazioni basate su OAuth con Google Cloud.

A livello generale, per integrare un'applicazione basata su OAuth, devi:

Crea un client OAuth.
Crea una credenziale client OAuth.
Nella credenziale client OAuth, ottieni il client secret. Per informazioni sui rischi associati allo stoccaggio e all'accesso al client secret e sulle strategie che possono contribuire a ridurli, consulta Rischi e mitigazioni per la sicurezza delle credenziali e dei client OAuth.

Dopo aver completato questi passaggi, l'applicazione basata su OAuth può accedere i prodotti e i dati di Google Cloud.

Prima di iniziare

Devi aver configurato un'organizzazione Google Cloud.
Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.
Devi aver configurato un pool di identità per la forza lavoro e un provider nel organizzazione in cui registrerai l'applicazione OAuth. Impara come configurare la federazione delle identità della forza lavoro per Microsoft Entra ID, Okta e altri provider OIDC e SAML 2.0.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per registrare un'applicazione OAuth per la tua organizzazione, chiedi all'amministratore di concederti Ruolo IAM Amministratore client OAuth IAM (roles/iam.oauthClientAdmin) per il progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Gestisci client OAuth

Questa sezione spiega come gestire i client OAuth.

Creare un client OAuth

Per creare un client OAuth:

gcloud

gcloud iam oauth-clients create APP_OAUTH_CLIENT_ID \
    --project=PROJECT_ID \
    --location=global \
    --client-type="CONFIDENTIAL_CLIENT" \
    --display-name="My OAuth application" \
    --description="An application registration for MyApp" \
    --allowed-scopes="https://www.googleapis.com/auth/cloud-platform" \
    --allowed-redirect-uris="REDIRECT_URI" \
    --allowed-grant-types="authorization_code_grant"

Sostituisci quanto segue:

APP_OAUTH_CLIENT_ID: un ID client per rappresentare questo client OAuth.
PROJECT_ID: l'ID del progetto in cui hai creato il pool di identità della forza lavoro e il provider. Il progetto deve essere creato nell'organizzazione in cui erano il pool e il provider di forza lavoro è stato creato.
REDIRECT_URI: l'URI di reindirizzamento per l'app OAuth, ad esempio https://myapp.com/signin-callback.

REST

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  -d "{ \
        'allowedGrantTypes': ['AUTHORIZATION_CODE_GRANT'], \
        'allowedRedirectUris': ['REDIRECT_URI'], \
        'allowedScopes': ['https://www.googleapis.com/auth/cloud-platform'], \
        'clientType': 'CONFIDENTIAL_CLIENT', \
        'description': 'My OAuth client description', \
        'disabled': false, \
        'displayName': 'My OAuth client'}" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients\?oauthClientId\=APP_OAUTH_CLIENT_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui ha creato il provider e il pool di identità della forza lavoro. Il progetto deve essere creato nell'organizzazione in cui erano il pool e il provider di forza lavoro è stato creato.
REDIRECT_URI: l'URI di reindirizzamento per l'app OAuth, ad esempio https://myapp.com/signin-callback.
APP_OAUTH_CLIENT_ID: un ID client per rappresentare questo client OAuth.

Dopo aver registrato l'applicazione, crea la credenziale del client OAuth e ottieni il segreto utilizzato dall'applicazione OAuth per accedere a Google Cloud.

Elenca client OAuth

Per elencare i client OAuth registrati, esegui il seguente comando:

gcloud

gcloud iam oauth-clients list \
    --project=PROJECT_ID \
    --location=global

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients

Sostituisci PROJECT_ID con l'ID del progetto in cui sono registrate le tue applicazioni OAuth.

Descrivere un client OAuth

Per descrivere un client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients describe APP_OAUTH_CLIENT_ID \
    --project PROJECT_ID \
    --location global

Sostituisci quanto segue:

APP_OAUTH_CLIENT_ID: l'ID del client OAuth che vuoi descrivere
PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID del client OAuth che vuoi descrivere

Aggiorna un client OAuth

Per aggiornare un client OAuth, esegui questo comando.

gcloud

gcloud iam oauth-clients update APP_OAUTH_CLIENT_ID \
    --project=PROJECT_ID \
    --location=global \
    --allowed-redirect-uris="REDIRECT_URI"

Sostituisci quanto segue:

APP_OAUTH_CLIENT_ID: ID client OAuth per il client OAuth che vuoi aggiornare
PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
REDIRECT_URI: l'URI di reindirizzamento per l'applicazione OAuth

Per aggiornare gli altri campi, utilizza i flag elencati in gcloud iam oauth-clients update.

REST

curl -d'{"allowedRedirectUris":"REDIRECT_URI"}' \
  -H "Content-Type: application/json" -X PATCH \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID?update_mask=allowed_redirect_uris

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth per il client OAuth che vuoi aggiornare
REDIRECT_URI: l'URI di reindirizzamento per OAuth cliente

Per aggiornare altri campi, imposta update_mask con i nomi dei campi elencati in gcloud iam oauth-clients update

Eliminare un client OAuth

Per eliminare un client OAuth, esegui questo comando:

gcloud

gcloud iam oauth-clients delete APP_OAUTH_CLIENT_ID \
    --project PROJECT_ID \
    --location global

Sostituisci quanto segue:

APP_OAUTH_CLIENT_ID: l'ID client OAuth da elimina
PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth

REST

curl -X DELETE \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth da elimina

Gestisci credenziali client OAuth

Questa sezione spiega come gestire le credenziali client OAuth per il client OAuth.

Creare una credenziale client OAuth

Per creare una credenziale client OAuth, esegui questo comando :

gcloud

gcloud iam oauth-clients credentials create APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --display-name='My OAuth client credential' \
    --location='global'

Sostituisci quanto segue:

APP_OAUTH_CLIENT_CREDENTIAL_ID: un ID che rappresenta questa credenziale client
APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenerlo descrivendo il client OAuth registrato applicazione

REST

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  -d "{'disabled': false, 'displayName': 'My OAuth client credential'}" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials\?oauthClientCredentialId=APP_OAUTH_CLIENT_CREDENTIAL_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenere descrivendo l'applicazione client OAuth registrata
APP_OAUTH_CLIENT_CREDENTIAL_ID: un ID che rappresenta questa credenziale client

Elenca le credenziali del client OAuth

Per elencare le credenziali client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients credentials list \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --project=PROJECT_ID \
    --location=global

Sostituisci quanto segue:

APP_OAUTH_CLIENT_ID: l'ID client OAuth per il quale elencare le credenziali
PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/$PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: ID client OAuth per per elencare le credenziali

Descrizione di una credenziale client OAuth

Per descrivere una credenziale client OAuth, esegui il seguente comando. Puoi di recuperare il client secret esaminando l'output.

gcloud

gcloud iam oauth-clients credentials describe APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --location='global'

Sostituisci quanto segue:

APP_OAUTH_CLIENT_CREDENTIAL_ID: l'URI di reindirizzamento per il client OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenere descrivendo la registrazione dell'applicazione client

REST

curl \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_CREDENTIAL_ID: l'URI di reindirizzamento per il client OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth che puoi ottenerlo descrivendo la registrazione dell'applicazione client

Nell'output, clientSecret è il client secret. Questo è il segreto utilizzato dall'applicazione OAuth per accedere a Google Cloud.

Aggiorna le credenziali di un client OAuth

Per aggiornare le credenziali di un client OAuth, esegui questo comando: :

gcloud

gcloud iam oauth-clients credentials update APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --client-id=APP_OAUTH_CLIENT_ID \
    --display-name="My new credential name" \
    --location=global

REST

curl -d'{"displayName":"My new credential name"}' -X PATCH \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://staging-iam.sandbox.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID?update_mask=display_name

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui hai registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_CREDENTIAL_ID: l'URI di reindirizzamento per il client OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth che che puoi ottenere descrivendo l'applicazione client registrazione

Disabilitare una credenziale client OAuth

Prima di poter eliminare una credenziale client OAuth, devi disabilitarla. Per disattivare la credenziale client OAuth, esegui il seguente comando:

gcloud

gcloud iam oauth-clients credentials update APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --disabled \
    --project=PROJECT_ID \
    --location=global

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth
APP_OAUTH_CLIENT_CREDENTIAL_ID: il client ID credenziali da disabilitare

REST

curl -d'{"disabled":"true"}' \
  -H "Content-Type: application/json" -X PATCH \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID?update_mask=disabled

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID client OAuth
APP_OAUTH_CLIENT_CREDENTIAL_ID: il client ID credenziali da disabilitare

Elimina una credenziale client OAuth

Per eliminare le credenziali di un client OAuth, esegui questo comando:

gcloud

gcloud iam oauth-clients credentials delete APP_OAUTH_CLIENT_CREDENTIAL_ID \
    --project=PROJECT_ID \
    --oauth-client=APP_OAUTH_CLIENT_ID \
    --location=global

Sostituisci quanto segue:

APP_OAUTH_CLIENT_CREDENTIAL_ID: ID client OAuth
PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID della credenziale client

REST

curl -X DELETE \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  -H "X-Goog-User-Project: PROJECT_ID" \
  https://iam.googleapis.com/v1/projects/PROJECT_ID/locations/global/oauthClients/APP_OAUTH_CLIENT_ID/credentials/APP_OAUTH_CLIENT_CREDENTIAL_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto in cui ha registrato la tua applicazione OAuth
APP_OAUTH_CLIENT_ID: l'ID credenziali client
APP_OAUTH_CLIENT_CREDENTIAL_ID: ID client OAuth

Passaggi successivi

Scopri di più su Identity-Aware Proxy con la federazione delle identità della forza lavoro