このページでは、Google Cloud での OAuth アプリケーション統合の概要について説明します。

OAuth アプリケーション統合を使用して、OAuth ベースのアプリケーションを Google Cloud と統合できます。フェデレーション ユーザーは、ID プロバイダ（IdP）を使用してアプリケーションにログインし、Google Cloud サービスとデータにアクセスできます。OAuth アプリケーション統合は、Workforce Identity 連携の機能です。

OAuth アプリケーション統合を使用するには、まず Workforce Identity プールとプロバイダを作成する必要があります。その後、OAuth 2.0 を使用して OAuth ベースのアプリケーションを登録できます。アプリケーションは、Workforce Identity プールとプロバイダが構成されている組織に登録する必要があります。

OAuth アプリケーションの登録

Google Cloud にアクセスするようにアプリケーションを構成するには、OAuth クライアント認証情報を作成して、Google Cloud にアプリケーションを登録します。認証情報にはクライアント シークレットが含まれています。アプリケーションは、アクセス トークンを使用して Google Cloud プロダクトとデータにアクセスします。

OAuth クライアントと認証情報のセキュリティ リスクと緩和策

IAM API、クライアント ID、シークレットへのアクセスを保護する必要があります。クライアント ID とシークレットが漏洩すると、セキュリティ上の問題が発生する可能性があります。次のような問題があります。

• なりすまし: クライアント ID とシークレットを入手した悪意のあるユーザーが、正当なアプリケーションを装ったアプリケーションを作成できます。これにより、次のことが可能になります。

  • アプリが利用できるユーザーデータや権限に不正にアクセスする。
  • コンテンツの投稿、API 呼び出し、ユーザー設定の変更など、ユーザーに代わってアクションを実行する。
  • フィッシング攻撃を実行する。悪意のあるユーザーが OAuth プロバイダに似た偽のログインページを作成します。ユーザーがこのページにアクセスして、ユーザーの認証情報を入力すると、その認証情報が悪意のあるユーザーに渡り、ユーザーのアカウントにアクセスされる可能性があります。

• 評判の低下: セキュリティ侵害は、アプリや組織の評判を損ない、ユーザーの信頼を失う可能性があります。

侵害が発生した場合は、これらのリスクやその他のリスクを軽減するために、侵害の性質を評価し、次の対応を行います。

• OAuth クライアントと認証情報 API への IAM アクセス権を持つのは、信頼できるユーザーのみにします。

• 次のように、クライアント認証情報をローテーションして、クライアント シークレットを直ちにローテーションします。

  1. OAuth クライアントに新しいクライアント認証情報を作成します。
  2. 古いクライアント認証情報を無効にします。
  3. 古いクライアント認証情報を削除します。

次のステップ

• 詳しくは、OAuth アプリケーションを管理する方法をご覧ください。