Cette page présente l'intégration d'applications OAuth dans Google Cloud.

Vous pouvez utiliser l'intégration d'applications OAuth pour intégrer vos applications basées sur OAuth à Google Cloud. Les utilisateurs fédérés peuvent utiliser leur fournisseur d'identité (IdP) pour se connecter aux applications et accéder à leurs produits et données Google Cloud. L'intégration d'applications OAuth est une fonctionnalité de la fédération des identités des employés.

Pour utiliser l'intégration d'applications OAuth, vous devez d'abord créer un pool d'identités et un fournisseur pour les employés. Vous pouvez ensuite enregistrer l'application basée sur OAuth à l'aide d'OAuth 2.0. Les applications doivent être enregistrées dans l'organisation où votre pool d'identités d'employés et votre fournisseur sont configurés.

Enregistrement de l'application OAuth

Pour configurer une application afin qu'elle puisse accéder à Google Cloud, vous devez vous enregistrer auprès de Google Cloud en créant des identifiants client OAuth. Les identifiants contiennent un code secret client. L'application utilise le jeton d'accès pour accéder aux produits et aux données Google Cloud.

Risques et solutions pour la sécurité des clients OAuth et des identifiants

Vous devez sécuriser l'accès aux API IAM, ainsi qu'à l'ID et au code secret client. Si l'ID client et le code secret sont divulgués, cela peut entraîner des problèmes de sécurité. Notamment :

• Usurpation d'identité : un utilisateur malveillant disposant de votre ID client et de votre code secret peut créer une application qui se fait passer pour votre application légitime. Il peut ensuite effectuer les opérations suivantes :

  • Obtenir un accès non autorisé aux données utilisateur et aux autorisations auxquelles votre application a droit
  • Effectuer des actions au nom de l'utilisateur, comme publier du contenu, effectuer des appels d'API ou modifier les paramètres utilisateur
  • Effectuer des attaques d'hameçonnage, dans lesquelles l'utilisateur malveillant crée une fausse page de connexion qui ressemble au fournisseur OAuth. La page peut ensuite inciter les utilisateurs à saisir leurs identifiants, ce qui permet à l'utilisateur malveillant d'accéder à leurs comptes.

• Atteinte à la réputation : une faille de sécurité peut nuire à la réputation de votre application et de votre organisation, ce qui peut entraîner une perte de confiance de la part des utilisateurs.

En cas de faille, pour atténuer ces risques et d'autres, évaluez la nature de la faille et procédez comme suit :

• Assurez-vous que seuls les utilisateurs approuvés ont un accès IAM à l'API du client OAuth et des identifiants.

• Remplacez immédiatement le code secret du client en remplaçant les identifiants du client, comme suit :

  1. Créez un identifiant client pour le client OAuth.
  2. Désactivez les anciens identifiants client.
  3. Supprimez l'ancien identifiant client.

Étape suivante

• Découvrez comment gérer les applications OAuth.