Auf dieser Seite erhalten Sie einen Überblick über die OAuth-Anwendungsintegration in Google Cloud.

Mit der OAuth-Anwendungsintegration können Sie Ihre OAuth-basierten Anwendungen in Google Cloud einbinden. Verbundene Nutzer können sich über ihren Identitätsanbieter (IdP) in den Anwendungen anmelden und auf ihre Google Cloud-Produkte und ‑Daten zugreifen. Die OAuth-Anwendungsintegration ist eine Funktion der Workforce Identity-Föderation.

Wenn Sie die OAuth-Anwendungsintegration verwenden möchten, müssen Sie zuerst einen Mitarbeiteridentitätspool und Anbieter erstellen. Anschließend können Sie die OAuth-basierte Anwendung mit OAuth 2.0 registrieren. Anwendungen müssen in der Organisation registriert sein, in der Ihr Mitarbeiteridentitätspool und Anbieter konfiguriert sind.

OAuth-Anwendungregistrierung

Wenn Sie eine Anwendung für den Zugriff auf Google Cloud konfigurieren möchten, registrieren Sie sie bei Google Cloud, indem Sie OAuth-Client-Anmeldedaten erstellen. Die Anmeldedaten enthalten einen Clientschlüssel. Die Anwendung verwendet das Zugriffstoken, um auf die Google Cloud-Produkte und ‑Daten zuzugreifen.

Sicherheitsrisiken und -maßnahmen für OAuth-Clients und Anmeldedaten

Sie müssen den Zugriff auf die IAM APIs sowie die Client-ID und das Secret schützen. Wenn die Client-ID und das Secret gehackt werden, kann das zu Sicherheitsproblemen führen. Dazu gehören:

• Identitätsdiebstahl: Ein böswilliger Nutzer mit Ihrer Client-ID und Ihrem Secret kann eine Anwendung erstellen, die sich als Ihre legitime Anwendung ausgibt. Sie haben dann folgende Möglichkeiten:

  • Unbefugten Zugriff auf die Nutzerdaten und Berechtigungen erhalten, auf die Ihre Anwendung Anspruch hat.
  • Aktionen im Namen des Nutzers ausführen, z. B. Inhalte posten, API-Aufrufe ausführen oder Nutzereinstellungen ändern
  • Phishing-Angriffe durchführen, bei denen der böswillige Nutzer eine gefälschte Anmeldeseite erstellt, die dem OAuth-Anbieter ähnelt. Auf der Seite werden Nutzer dann dazu verleitet, ihre Anmeldedaten einzugeben. Diese Anmeldedaten werden an den böswilligen Nutzer weitergegeben, der dann auf ihre Konten zugreifen kann.

• Rufschädigung: Ein Sicherheitsverstoß kann dem Ruf Ihrer Anwendung und Ihres Unternehmens schaden und das Vertrauen der Nutzer beeinträchtigen.

Im Falle eines Verstoßes sollten Sie diese und andere Risiken minimieren. Bewerten Sie dazu die Art des Verstoßes und gehen Sie so vor:

• Achten Sie darauf, dass nur vertrauenswürdige Nutzer IAM-Zugriff auf die OAuth-Client- und Anmeldedaten-API haben.

• Rotieren Sie das Client-Secret sofort, indem Sie die Clientanmeldedaten so rotieren:

  1. Erstellen Sie neue Anmeldedaten für den OAuth-Client.
  2. Deaktivieren Sie die alten Anmeldedaten des Clients.
  3. Löschen Sie die alten Anmeldedaten des Clients.

Nächste Schritte

• Weitere Informationen zum Verwalten von OAuth-Anwendungen