本页面简要介绍了 Google Cloud 中的 OAuth 应用集成。
您可以使用 OAuth 应用集成将基于 OAuth 的应用与 Google Cloud 集成。联合用户可以使用其身份提供方 (IdP) 登录应用并访问其 Google Cloud 产品和数据。OAuth 应用集成是员工身份联合的功能。
如需使用 OAuth 应用集成,您必须先创建员工身份池和提供方。然后,您可以使用 OAuth 2.0 注册基于 OAuth 的应用。应用必须在配置员工身份池和提供方所在的组织中注册。
OAuth 应用注册
如需配置应用以访问 Google Cloud,您需要通过创建 OAuth 客户端凭据向 Google Cloud register该应用。凭据包含客户端密钥。应用使用访问令牌访问 Google Cloud 产品和数据。
OAuth 客户端和凭据的安全风险及缓解措施
您必须确保对 IAM API 以及客户端 ID 和密钥的访问安全无虞。如果客户端 ID 和密钥泄露,可能会导致安全问题。这些问题包括:
冒充:拥有您的客户端 ID 和密钥的恶意用户可以创建一个冒充您合法应用的应用。然后,他们可以执行以下操作:
- 未经授权访问应用有权访问的用户数据和权限。
- 代表用户执行操作,例如发布内容、发出 API 调用或修改用户设置。
- 执行网络钓鱼攻击,其中恶意用户会创建类似于 OAuth 提供方的虚假登录页面。然后,该网页会诱骗用户输入其凭据,从而将凭据提供给恶意用户,后者随后可以访问用户的账号。
声誉受损:安全漏洞可能会损害应用和组织的声誉,导致用户失去信任。
发生违规行为时,为了缓解这些风险和其他风险,请评估违规行为的性质,并执行以下操作:
确保只有受信任的用户才有权通过 IAM 访问 OAuth 客户端和凭据 API。
通过轮替客户端凭据来立即轮替客户端密钥,如下所示:
后续步骤
- 了解如何管理 OAuth 应用。