Cette page a été traduite par l'API Cloud Translation.

Présentation de l'intégration d'applications OAuth

Cette page présente l'intégration d'applications OAuth dans Google Cloud.

Vous pouvez utiliser l'intégration d'applications OAuth pour intégrer vos applications basées sur OAuth à Google Cloud. Les utilisateurs fédérés peuvent utiliser leur fournisseur d'identité (IdP) pour se connecter aux applications et accéder à leurs produits et données Google Cloud. L'intégration d'applications OAuth est une fonctionnalité de la fédération des identités des employés.

Pour utiliser l'intégration d'applications OAuth, vous devez d'abord créer un pool d'identités de personnel et un fournisseur. Vous pouvez ensuite enregistrer l'application basée sur OAuth à l'aide d'OAuth 2.0. Les applications doivent être enregistrées dans l'organisation dans laquelle votre pool d'identités de personnel et votre fournisseur sont configurés.

Enregistrement de l'application OAuth

Pour configurer une application pour qu'elle accède à Google Cloud, vous devez l'enregistrer auprès de Google Cloud en créant des identifiants client OAuth. Les identifiants contiennent un code secret du client. L'application utilise le jeton d'accès pour accéder aux produits et aux données Google Cloud.

Risques et solutions pour la sécurité des clients OAuth et des identifiants

Vous devez sécuriser l'accès aux API IAM, ainsi qu'à l'ID client et au code secret. Si l'ID client et le code secret sont divulgués, des problèmes de sécurité peuvent survenir. Ces problèmes incluent les suivants:

Usurpation d'identité: un utilisateur malveillant disposant de votre ID client et de votre code secret peut créer une application qui se fait passer pour votre application légitime. Il peut ensuite effectuer les opérations suivantes:
- Obtenir un accès non autorisé aux données utilisateur et aux autorisations auxquelles votre application a droit
- Effectuer des actions au nom de l'utilisateur, comme publier du contenu, effectuer des appels d'API ou modifier les paramètres utilisateur
- Effectuer des attaques par hameçonnage, dans lesquelles l'utilisateur malveillant crée une fausse page de connexion ressemblant au fournisseur OAuth. La page peut ensuite inciter les utilisateurs à saisir leurs identifiants, ce qui les transmet à l'utilisateur malveillant qui peut ensuite accéder à leurs comptes.
Dégradation de la réputation: une brèche de sécurité peut nuire à la réputation de votre application et de votre organisation, et ainsi faire perdre confiance aux utilisateurs.

En cas de violation, pour atténuer ces risques et d'autres, évaluez la nature de la violation et procédez comme suit:

Assurez-vous que seuls les utilisateurs approuvés ont accès IAM au client OAuth et à l'API des identifiants.
Alternez immédiatement le code secret du client en modifiant les identifiants client, comme suit:
1. Créez des identifiants client pour le client OAuth.
2. Désactivez les anciens identifiants client.
3. Supprimez l'ancien identifiant client.

Étape suivante

Découvrez comment gérer les applications OAuth.