本页面简要介绍了 Google Cloud 中的 OAuth 应用集成。

您可以使用 OAuth 应用集成将基于 OAuth 的应用与 Google Cloud 集成。联合用户可以使用其身份提供方 (IdP) 登录应用并访问其 Google Cloud 产品和数据。OAuth 应用集成是员工身份联合的功能。

如需使用 OAuth 应用集成，您必须先创建员工身份池和提供方。然后，您可以使用 OAuth 2.0 注册基于 OAuth 的应用。应用必须在配置员工身份池和提供方的组织中注册。

OAuth 应用注册

如需配置应用以访问 Google Cloud，您需要通过创建 OAuth 客户端凭据向 Google Cloud 注册该应用。凭据包含客户端密钥。应用使用访问令牌访问 Google Cloud 产品和数据。

OAuth 客户端和凭据的安全风险及缓解措施

您必须确保对 IAM API 以及客户端 ID 和密钥的访问安全无虞。如果客户端 ID 和密钥泄露，可能会导致安全问题。这些问题包括：

• 冒充：拥有您的客户端 ID 和密钥的恶意用户可以创建一个伪装成合法应用的应用。然后，他们可以执行以下操作：

  • 在未经授权的情况下访问您的应用有权使用的用户数据和权限。
  • 代表用户执行操作，例如发布内容、发出 API 调用或修改用户设置。
  • 执行网络钓鱼攻击，恶意用户会在攻击时创建类似于 OAuth 提供方的虚假登录页面。然后，该页面会诱骗用户输入其凭据，从而将凭据提供给恶意用户，后者随后可以访问用户的账号。

• 声誉受损：安全漏洞可能会损害应用和组织的声誉，导致用户失去信任。

在发生安全事故时，为了缓解这些风险和其他风险，请评估安全事故的性质，并执行以下操作：

• 确保只有受信任的用户才有权通过 IAM 访问 OAuth 客户端和凭据 API。

• 按照以下所述通过变换客户端凭据来立即变换客户端密钥：

  1. 为 OAuth 客户端创建新的客户端凭据。
  2. 停用旧的客户端凭据。
  3. 删除旧的客户端凭据。

后续步骤

• 了解如何管理 OAuth 应用。