Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página oferece uma visão geral da integração de aplicativos OAuth em Google Cloud.
Você pode usar a integração de aplicativos OAuth para integrar seus aplicativos
baseados em OAuth com Google Cloud. Os usuários federados podem usar o provedor de identidade
(IdP) para fazer login nos aplicativos e acessar os dados e os produtos do Google Cloud. A integração de aplicativos OAuth é um recurso da
federação de identidade de colaboradores.
Para usar a integração de aplicativos OAuth, crie primeiro um pool de identidade
e um provedor de colaboradores. Em seguida, registre o aplicativo baseado em OAuth
usando o OAuth 2.0. Os aplicativos precisam estar registrados na organização em que o
pool de identidade e o provedor de colaboradores estão configurados.
Registro de aplicativos OAuth
Para configurar um aplicativo para acessar Google Cloud, registre o
aplicativo em Google Cloud criando credenciais do cliente OAuth.
A credencial contém uma chave secreta do cliente. O aplicativo usa o token de acesso
para acessar os produtos e os dados do Google Cloud .
Riscos e mitigações de segurança de cliente OAuth e credenciais
É necessário garantir o acesso às APIs do IAM e ao ID e à chave secreta do cliente. Se o ID e a chave secreta do cliente forem divulgados, isso pode causar problemas de segurança. Esses
problemas incluem:
Falsificação de identidade: um usuário malicioso com seu ID e a chave secreta do cliente pode criar um
aplicativo que se disfarça de aplicativo legítimo. Em seguida, ele pode
fazer o seguinte:
Ter acesso não autorizado aos dados e às permissões do usuário a que o
aplicativo tem direito.
Realizar ações em nome do usuário, como postar conteúdo, fazer chamadas de
API ou modificar as configurações do usuário.
Realizar ataques de phishing, em que o usuário malicioso cria uma página de login falsa semelhante ao provedor OAuth. A página pode enganar os usuários a
entrarem com as credenciais, fornecedo-as ao usuário malicioso,
que pode acessar as contas.
Dano à reputação: uma violação de segurança pode prejudicar a reputação do
aplicativo e da organização, fazendo com que os usuários percam a confiança.
Em caso de violação, para atenuar esses e outros riscos, avalie a natureza
da violação e faça o seguinte:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[[["\u003cp\u003eOAuth application integration enables federated users to sign in to applications and access Google Cloud resources using their existing identity provider.\u003c/p\u003e\n"],["\u003cp\u003eTo utilize OAuth application integration, a workforce identity pool and provider must be created, and applications must be registered using OAuth 2.0 within the configured organization.\u003c/p\u003e\n"],["\u003cp\u003eOAuth application integration functions exclusively with Identity-Aware Proxy for secure access.\u003c/p\u003e\n"],["\u003cp\u003eSecurity is crucial, as compromised client IDs and secrets can lead to impersonation, unauthorized data access, and reputational damage.\u003c/p\u003e\n"],["\u003cp\u003eIn case of a security breach, client secrets should be rotated immediately by creating a new credential, disabling the old one, and then deleting it.\u003c/p\u003e\n"]]],[],null,["# OAuth application integration overview\n\nThis page provides an overview of OAuth application integration in Google Cloud.\n\nYou can use OAuth application integration to integrate your OAuth-based\napplications with Google Cloud. Federated users can use their identity provider\n(IdP) to sign in to the applications and access their Google Cloud\nproducts and data. OAuth application integration is a feature of\nWorkforce Identity Federation.\n\nTo use OAuth application integration, you must first create a workforce\nidentity pool and provider. You can then register the OAuth-based application\nusing OAuth 2.0. Applications must be registered in the organization where your\nworkforce identity pool and provider are configured.\n\n\u003cbr /\u003e\n\n| **Important:** OAuth application integration works only with Identity-Aware Proxy.\n\n\u003cbr /\u003e\n\nOAuth application registration\n------------------------------\n\nTo configure an application to access Google Cloud, you [register](/iam/docs/workforce-manage-oauth-app#create) the\napplication with Google Cloud by creating [OAuth client credentials](https://tools.ietf.org/html/rfc6749#section-4.4).\nThe credential contains a client secret. The application uses the access token\nto access the Google Cloud products and data.\n\nOAuth client and credential security risks and mitigations\n----------------------------------------------------------\n\nYou must secure access to the IAM APIs and the client ID and\nsecret. If the client ID and secret is leaked, security issues can result. These\nissues include the following:\n\n- Impersonation: A malicious user with your client ID and secret can create an\n application that masquerades as your legitimate application. They can then\n do the following:\n\n - Gain unauthorized access to the user data and permissions that your application is entitled to.\n - Perform actions on the user's behalf, such as posting content, making API calls, or modifying user settings.\n - Perform phishing attacks, wherein the malicious user creates a fake login page that resembles the OAuth provider. The page can then trick users into entering their credentials, which gives the credentials to the malicious user who can then access their accounts.\n- Reputational damage: A security breach can harm the reputation of your\n application and organization, causing users to lose trust.\n\nIn the event of a breach, to mitigate these and other risks, assess the nature\nof the breach and do the following:\n\n- Ensure that only trusted users have IAM access to the [OAuth\n client and credential API](/iam/docs/workforce-manage-oauth-app).\n\n- Rotate the client secret immediately, by rotating the client credential, as\n follows:\n\n 1. [Create a new client credential](/iam/docs/workforce-manage-oauth-app#create-credential) for the OAuth client.\n 2. [Disable the old client credential](/iam/docs/workforce-manage-oauth-app#disable-credential).\n 3. [Delete the old client credential](/iam/docs/workforce-manage-oauth-app#delete-credential).\n\nWhat's next\n===========\n\n- Learn how to [Manage OAuth applications](/iam/docs/workforce-manage-oauth-app)."]]
