Migrar desde la API de administración de OAuth de IAP

En esta guía se explica cómo migrar de los clientes de OAuth 2.0 creados con la API de administración de OAuth de Identity-Aware Proxy (IAP) a los clientes de OAuth 2.0 gestionados por Google que IAP implementa automáticamente.

¿Qué va a cambiar?

Vamos a retirar la API de administración de OAuth de IAP, que incluye las siguientes APIs para la gestión manual de clientes y marcas de OAuth:

En lugar de gestionar manualmente los clientes de OAuth 2.0, IAP ahora creará y gestionará automáticamente los clientes de OAuth cuando sea necesario. Este cambio simplifica la gestión de clientes, reduce los errores manuales y optimiza los procesos de implementación.

Qué no va a cambiar

Esta retirada no afecta a los clientes de OAuth que configures manualmente mediante la API de Compute Engine, la API de App Engine o la Google Cloud consola.

Puedes seguir creando nuevas configuraciones de marca y cliente de OAuth, así como gestionarlas mediante la Google Cloud consola. Además, las configuraciones que ya tengas seguirán siendo totalmente compatibles.

Si no usas la API de administración de OAuth de IAP, este cambio no te afectará.

Descripción detallada

Desde el 22 de enero del 2025, la API de administración de OAuth 2.0 de IAP, que se usa para crear un cliente de OAuth 2.0 de IAP, está obsoleta. Ya no es necesaria la API de administración de OAuth 2.0 de IAP, ya que no tienes que configurar clientes de OAuth. IAP ahora usa un cliente de OAuth gestionado por Google para el acceso al navegador de forma predeterminada o cuando no se configura explícitamente ningún cliente de OAuth 2.0. El cliente OAuth 2.0 gestionado por Google restringe el acceso a las aplicaciones habilitadas para compras en aplicaciones a los usuarios de la misma organización cuando acceden a esas aplicaciones a través de un navegador.

Como la API de administración de OAuth 2.0 de Identity-Aware Proxy (IAP) se ha retirado, ya no puedes crear ni gestionar clientes de OAuth. Los clientes de OAuth creados antes de esta obsolescencia no se invalidarán. Puedes seguir usando los clientes de OAuth que hayas creado anteriormente y gestionarlos mediante la consola Google Cloud .

Si tienes aplicaciones configuradas con clientes de OAuth creados con la API de administrador de IAP 2.0 o de otra forma, esas aplicaciones seguirán funcionando. No es necesario hacer ningún cambio en las aplicaciones. Sin embargo, si has configurado la automatización para crear clientes al implementar una aplicación o para obtener secretos de clientes ya creados, debes actualizar tus scripts de automatización para eliminar la dependencia de la API de administración de OAuth 2.0 de IAP.

Si tienes previsto usar el cliente OAuth 2.0 gestionado por Google, consulta la guía Acceso mediante programación para configurar el acceso mediante programación de estas aplicaciones.

Si tienes algún requisito que no cumple el cliente de OAuth 2.0 gestionado por Google, puedes compartir un solo cliente de OAuth con varias aplicaciones de IAP, lo que te permitirá no tener que crear manualmente un cliente para cada aplicación nueva.

Acciones necesarias

  • Actualizar secuencias de comandos de automatización

    Si usas Terraform u otras herramientas para automatizar la configuración de IAP y usas la API de administración de OAuth 2.0 de IAP, debes actualizar los scripts de automatización para usar un cliente creado previamente o usar el cliente de OAuth gestionado por Google con IAP.

  • Configurar el acceso mediante programación para las aplicaciones que usan los clientes de OAuth 2.0 gestionados por Google

    Si ya tienes algunas aplicaciones protegidas por IAP y tienes previsto migrar a los clientes de OAuth 2.0 gestionados por Google, puedes configurar el acceso mediante programación para estas aplicaciones incluyendo en una lista de permitidos a los clientes de OAuth 2.0.

Migrar recursos habilitados para IAP

Para migrar tus recursos y usar el cliente OAuth 2.0 gestionado por Google, sigue los pasos correspondientes al tipo de recurso que quieras migrar (por ejemplo, un recurso de Compute Engine).

Migrar recursos de App Engine con IAP habilitado

Sigue los pasos que se indican en esta sección para migrar los recursos de App Engine en los que IAP esté habilitado y se haya configurado un cliente de OAuth 2.0.

gcloud

Antes de continuar con los pasos, asegúrate de que tienes una versión actualizada de la CLI de gcloud. Para obtener instrucciones sobre cómo instalar gcloud CLI, consulta Instalar gcloud CLI.

  1. Usa Google Cloud CLI para autenticarte.

    gcloud auth login

  2. Haz clic en la URL que aparece e inicia sesión.

  3. Después de iniciar sesión, copia el código de verificación que aparece y pégalo en la línea de comandos.

  4. Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que quieres seguir protegiendo con compras en la aplicación.

    gcloud config set project PROJECT_ID

  5. Ejecuta el siguiente comando para obtener el ID de cliente de OAuth 2.0 configurado.

    gcloud app describe --format="value(iap.oauth2ClientId)"

    Guarda el ID de cliente del comando anterior si quieres permitir el acceso programático.

  6. Para incluir en la lista de permitidas al cliente de OAuth 2.0 para el acceso programático, realiza una operación de lectura-actualización-escritura en la API de ajustes de IAP.

    gcloud iap settings get --resource-type=app-engine --project=$PROJECT > settings.yaml

  7. Actualiza el archivo settings.yaml y añade el ID de cliente de OAuth 2.0 obtenido anteriormente en programmaticClients, como se muestra en el ejemplo.

    accessSettings:
  oauthSettings:
    programmaticClients:
    - CLIENT_ID

  8. Aplicar los nuevos ajustes en la aplicación de App Engine

    gcloud iap settings set settings.yaml --resource-type=app-engine --project=PROJECT_ID

  9. Para migrar tus aplicaciones, ejecuta el siguiente comando.

    gcloud iap web enable --resource-type=app-engine

API

  1. Ejecuta el siguiente comando para obtener el ID de cliente de OAuth 2.0 configurado.

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?fields=iap"

  2. Ejecuta el siguiente comando para obtener los ajustes de IAP en un archivo settings.json.

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/appengine-PROJECT_ID:iapSettings" > settings.json

  3. Actualiza el archivo settings.json para añadir el CLIENT_ID guardado anteriormente como cliente programático.

    {
   "accessSettings": {
     "oauthSettings": {
       "programmaticClients": [
         "CLIENT_ID"
       ]
     },
   },
}

  4. Ejecuta el siguiente comando para actualizar la configuración de IAP.

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d "@settings.json" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/appengine-PROJECT_ID:iapSettings"

  5. Ejecuta el siguiente comando para preparar un archivo settings.json.

     cat << EOF > settings.json
 {
 "iap":
     {
       "enabled":true
     }
 }
 EOF

  6. Ejecuta el siguiente comando para migrar tus aplicaciones.

     curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @settings.json \
 "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Migrar recursos de Compute Engine con IAP habilitado

Sigue los pasos de esta sección para migrar recursos de Compute Engine en los que IAP esté habilitado y se haya configurado un cliente de OAuth 2.0.

gcloud

Antes de continuar con los pasos, asegúrate de que tienes una versión actualizada de la CLI de gcloud. Para obtener instrucciones sobre cómo instalar gcloud CLI, consulta Instalar gcloud CLI.

  1. Usa Google Cloud CLI para autenticarte.

    gcloud auth login

  2. Haz clic en la URL que aparece e inicia sesión.

  3. Después de iniciar sesión, copia el código de verificación que aparece y pégalo en la línea de comandos.

  4. Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que quieres seguir protegiendo con compras en la aplicación.

    gcloud config set project PROJECT_ID

  5. Ejecuta el siguiente comando para obtener el ID de cliente de OAuth 2.0 configurado.

    Ámbito global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global \
--format="value(iap.oauth2ClientId)"

    Ámbito regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME \
--format="value(iap.oauth2ClientId)"
     Guarda el ID de cliente del comando anterior si quieres permitir el acceso programático.

  6. Para incluir en la lista de permitidos a un cliente de OAuth 2.0 para que tenga acceso programático, realiza una operación de lectura-actualización-escritura en la API de configuración de IAP.

    Ámbito global

    
gcloud iap settings get \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME > settings.yaml

    Ámbito regional

    
gcloud iap settings get \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME \
--region=REGION_NAME > settings.yaml

  7. Actualiza el archivo settings.yaml y añade el ID de cliente de OAuth 2.0 obtenido anteriormente en programmaticClients, como se muestra en el ejemplo.

    accessSettings:
  oauthSettings:
    programmaticClients:
    - CLIENT_ID

  8. Aplicar la nueva configuración en la aplicación de Compute Engine

    Ámbito global

    
gcloud iap settings set settings.yaml \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME

    Ámbito regional

    
gcloud iap settings set settings.yaml \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME \
--region=REGION_NAME

  9. Para migrar tus aplicaciones, ejecuta el comando con ámbito global o regional.

    Ámbito global

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Ámbito regional

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  10. Para confirmar que el ID de cliente de OAuth no está definido, ejecuta el siguiente comando de ámbito global o regional. Después de ejecutar el comando, comprueba el resultado para asegurarte de que el campo ID de cliente de OAuth esté vacío.

    Ámbito global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Ámbito regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Ejecuta el siguiente comando para obtener el ID de cliente de OAuth 2.0 configurado.

    Ámbito global

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"

    Ámbito regional

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"

  2. Ejecuta el siguiente comando para obtener los ajustes de IAP en un archivo settings.json.

    Ámbito global

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json

    Ámbito regional

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json

  3. Actualiza el archivo settings.json para añadir el CLIENT_ID guardado anteriormente como cliente programático.

    {
   "accessSettings": {
     "oauthSettings": {
       "programmaticClients": [
         "CLIENT_ID"
       ]
     },
   },
}

  4. Ejecuta el siguiente comando para actualizar la configuración de IAP.

    Ámbito global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d "@settings.json" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings"

    Ámbito regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d "@settings.json" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings"

  5. Ejecuta el siguiente comando para preparar un archivo settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  6. Ejecuta el siguiente comando para migrar tus recursos de IAP.

    Ámbito global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ámbito regional

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  7. Para confirmar que el ID de cliente de OAuth no está definido, ejecuta el siguiente comando de ámbito global o regional. Después de ejecutar el comando, comprueba el resultado para asegurarte de que el campo ID de cliente de OAuth esté vacío.

    Ámbito global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ámbito regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Terraform

Si vas a migrar recursos que ya tienen habilitado IAP para que usen un cliente de OAuth gestionado por Google, debes anular explícitamente los campos oauth2_client_id y oauth2_client_secret actualizándolos a un solo espacio en blanco.

Ejemplo: 


resource "google_compute_backend_service" "default" {
  name                  = "tf-test-backend-service-external"
  protocol              = "HTTP"
  load_balancing_scheme = "EXTERNAL"
  iap {
    oauth2_client_id     = " "
    oauth2_client_secret = " "
  }
}

Los campos oauth2_client_id y oauth2_client_secret son opcionales y, si trabajas con recursos nuevos habilitados para compras en la aplicación, puedes ignorarlos.

Para obtener más información, consulta la documentación de Terraform.

Migrar recursos de Cloud Run habilitados para IAP

Sigue los pasos que se indican en esta sección para migrar los recursos de Cloud Run en los que IAP esté habilitado y se haya configurado un cliente de OAuth 2.0.

gcloud

Antes de continuar con los pasos, asegúrate de tener una versión actualizada de la CLI de gcloud. Para obtener instrucciones sobre cómo instalar gcloud CLI, consulta Instalar gcloud CLI.

  1. Para autenticarte, usa la CLI de Google Cloud y ejecuta el siguiente comando.

    gcloud auth login

  2. Haz clic en la URL que aparece e inicia sesión.

  3. Después de iniciar sesión, copia el código de verificación que aparece y pégalo en la línea de comandos.

  4. Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que quieres seguir protegiendo con compras en la aplicación.

    gcloud config set project PROJECT_ID

  5. Ejecuta el siguiente comando para obtener el ID de cliente de OAuth 2.0 configurado.

    Ámbito global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global \
--format="value(iap.oauth2ClientId)"

    Ámbito regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME \
--format="value(iap.oauth2ClientId)"
     Guarda el ID de cliente del comando anterior si quieres permitir el acceso programático.

  6. Para incluir en la lista de permitidos a un cliente de OAuth 2.0 para que tenga acceso programático, realiza una operación de lectura-actualización-escritura en la API de configuración de IAP.

    Ámbito global

    
gcloud iap settings get \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME > settings.yaml

    Ámbito regional

    
gcloud iap settings get \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME \
--region=REGION_NAME > settings.yaml

  7. Actualiza el archivo settings.yaml y añade el ID de cliente de OAuth 2.0 obtenido anteriormente en programmaticClients, como se muestra en el ejemplo.

    accessSettings:
  oauthSettings:
    programmaticClients:
    - CLIENT_ID

  8. Aplicar la nueva configuración en la aplicación de Compute Engine

    Ámbito global

    
gcloud iap settings set settings.yaml \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME

    Ámbito regional

    
gcloud iap settings set settings.yaml \
--resource-type=compute \
--project=PROJECT_ID \
--service=BACKEND_SERVICE_NAME \
--region=REGION_NAME

  9. Para migrar tus recursos, ejecuta el comando con ámbito global o regional.

    Ámbito global

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Ámbito regional

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  10. Para confirmar que el ID de cliente de OAuth no está definido, ejecuta el siguiente comando de ámbito global o regional. Después de ejecutar el comando, comprueba el resultado para asegurarte de que el campo ID de cliente de OAuth esté vacío.

    Ámbito global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Ámbito regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Ejecuta el siguiente comando para obtener el ID de cliente de OAuth 2.0 configurado.

    Ámbito global

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"

    Ámbito regional

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME?fields=iap.oauth2ClientId"

  2. Ejecuta el siguiente comando para obtener los ajustes de IAP en un archivo settings.json.

    Ámbito global

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json

    Ámbito regional

    curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings" > settings.json

  3. Actualiza el archivo settings.json para añadir el CLIENT_ID guardado anteriormente como cliente programático.

    {
   "accessSettings": {
     "oauthSettings": {
       "programmaticClients": [
         "CLIENT_ID"
       ]
     },
   },
}

  4. Ejecuta el siguiente comando para actualizar la configuración de IAP.

    Ámbito global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d "@settings.json" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute/services/BACKEND_SERVICE_NAME:iapSettings"

    Ámbito regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d "@settings.json" \
"https://iap.googleapis.com/v1/projects/PROJECT_ID/iap_web/compute-REGION_NAME/services/BACKEND_SERVICE_NAME:iapSettings"

  5. Ejecuta el siguiente comando para preparar un archivo settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  6. Ejecuta el siguiente comando para migrar tus recursos.

    Ámbito global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ámbito regional

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  7. Para confirmar que el ID de cliente de OAuth no está definido, ejecuta el siguiente comando de ámbito global o regional. Después de ejecutar el comando, comprueba el resultado para asegurarte de que el campo ID de cliente de OAuth esté vacío.

    Ámbito global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ámbito regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Migrar recursos de Google Kubernetes Engine con IAP habilitado

Añade el siguiente bloque de IAP a la definición de recurso personalizado (CRD) BackendConfig. De esta forma, se habilita IAP con el cliente de OAuth 2.0 gestionado por Google.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: config-default
  namespace: my-namespace
spec:
  iap:
    enabled: true

Usar un JWT de cuenta de servicio para autenticarte en IAP

Puedes autenticarte en IAP sin tener que usar la API de administrador de OAuth obsoleta mediante un JWT de cuenta de servicio.

Obtener el secreto de un cliente de OAuth

Para obtener el secreto de un cliente de OAuth sin usar la API de administración de OAuth obsoleta, usa Secret Manager siguiendo las instrucciones de este ejemplo de Terraform: google_secret_manager_secret.

Determinar si estás usando la API Admin de OAuth

Para comprobar si estás usando la API OAuth Admin, sigue estos pasos.

  1. En la Google Cloud consola, abre la página de APIs de compras en aplicaciones y, a continuación, selecciona el proyecto que quieras analizar.
    Ir a la página de APIs IAP

  2. En la lista Seleccionar gráficos, selecciona Tráfico por método de API y, a continuación, haz clic en Aceptar.

  3. En la sección Métodos, busca métodos con el prefijo google.cloud.iap.v1.IdentityAwareProxyOAuthService, que indica que el proyecto usa la API Admin de OAuth.