En esta página se describe cómo crear un cliente de OAuth cuando se usa la configuración de OAuth personalizada para habilitar IAP con identidades de Google.
Si quieres usar un cliente de OAuth gestionado por Google para habilitar IAP, consulta el artículo Habilitar IAP con un cliente de OAuth gestionado por Google.
Crear un cliente de OAuth
Puedes crear un máximo de 36 clientes de OAuth por proyecto con la consolaGoogle Cloud . Puedes crear un máximo de 500 clientes de OAuth por proyecto con la CLI de Google Cloud.
Consola
Sigue estos pasos para crear un cliente de OAuth mediante la consolaGoogle Cloud .
Configura la pantalla de consentimiento de OAuth siguiendo las instrucciones de Configurar la pantalla de consentimiento de OAuth.
Crea un cliente de OAuth siguiendo las instrucciones de Configurar OAuth 2.0.
gcloud
Limitaciones conocidas
A continuación, se indican las limitaciones de los clientes de OAuth creados mediante programación con la API:
- Los clientes de OAuth creados por la API solo se pueden modificar mediante la API. No puedes modificar un cliente de OAuth con la consola Google Cloud si se ha creado con la API.
- Los clientes de OAuth creados por la API solo se pueden usar con IAP, por lo que la API no permite actualizar la URI de redirección ni otros atributos.
- La API no funciona con los clientes de OAuth que se hayan creado con la consola. Google Cloud
- Solo se permiten 500 clientes de OAuth por proyecto al usar la API.
- Las marcas de pantallas de consentimiento de OAuth creadas mediante APIs tienen limitaciones específicas. Consulta la sección para obtener más información.
Información sobre las marcas y el estado de la marca
La pantalla de consentimiento de OAuth, que contiene información de marca para los usuarios, se conoce como marca. Las marcas se pueden limitar a usuarios internos o públicos. Una marca interna hace que el flujo de OAuth sea accesible para alguien que pertenece a la misma organización de Google Workspace que el proyecto. Una marca pública hace que el flujo de OAuth esté disponible para cualquier persona en Internet.
Las marcas se pueden crear manualmente o mediante programación con una API. Las marcas creadas con una API se configuran automáticamente con los siguientes ajustes:
Interno. Debes configurarlo manualmente como público.
Sin revisar. Debes activar una revisión de marca.
Para cambiar una marca interna a pública, sigue estos pasos:
- Abre la pantalla de consentimiento de OAuth.
- Seleccione un proyecto en el menú desplegable.
- En la página Pantalla de consentimiento de OAuth, observe que el Tipo de usuario se ha definido automáticamente como Interno. Para cambiar el estado a Pública, haz clic en Editar aplicación. Se mostrarán más opciones de configuración.
- En Tipo de aplicación, haz clic en Pública.
Para activar una revisión de marca de una marca creada por una API que no se haya revisado, sigue estos pasos:
- Abre la pantalla de consentimiento de OAuth.
- Seleccione un proyecto en el menú desplegable.
- En la página Pantalla de consentimiento de OAuth, introduce la información necesaria y haz clic en Enviar para verificación.
El proceso de verificación puede tardar varias semanas. A medida que avance, irás recibiendo actualizaciones por correo electrónico. Más información sobre la verificación. Mientras se lleva a cabo el proceso de verificación, puedes seguir usando la aplicación en tu organización de Google Workspace. Consulta más información sobre el comportamiento de tu aplicación antes de que se verifique.
Permisos obligatorios
Antes de crear el cliente, asegúrate de que el llamante tenga los siguientes permisos:
clientauthconfig.brands.listclientauthconfig.brands.createclientauthconfig.brands.getclientauthconfig.clients.createclientauthconfig.clients.listWithSecretsclientauthconfig.clients.getWithSecretclientauthconfig.clients.deleteclientauthconfig.clients.update
Estos permisos se incluyen en los roles básicos Editor (roles/editor) y Propietario (roles/owner).
Sin embargo, te recomendamos que crees un rol personalizado que contenga estos permisos y que lo asignes al llamante.
Configurar OAuth para IAP
En los siguientes pasos se describe cómo configurar la pantalla de consentimiento y crear un cliente de OAuth para las compras en la aplicación.
Configurar la pantalla de consentimiento
Comprueba si ya tienes una marca con el comando list. Solo puedes tener una marca por proyecto.
gcloud iap oauth-brands list
A continuación, se muestra un ejemplo de respuesta de gcloud si la marca existe:
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID] applicationTitle: [APPLICATION_TITLE] supportEmail: [SUPPORT_EMAIL] orgInternalOnly: trueSi no hay ninguna marca, usa el comando create:
gcloud iap oauth-brands create --application_title=APPLICATION_TITLE --support_email=SUPPORT_EMAIL
Los campos anteriores son obligatorios al llamar a esta API:
supportEmail: el correo de asistencia que se muestra en la pantalla de consentimiento de OAuth. Esta dirección de correo puede ser la de un usuario o un alias de Grupos de Google. Aunque las cuentas de servicio también tienen una dirección de correo, no son direcciones de correo válidas y no se pueden usar para crear una marca. Sin embargo, una cuenta de servicio puede ser la propietaria de un grupo de Google. Crea un grupo de Google o configura uno que ya tengas y asigna la cuenta de servicio que quieras como propietario del grupo.applicationTitle: Nombre de la aplicación que se muestra en la pantalla de consentimiento de OAuth.
La respuesta contiene los siguientes campos:
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID] applicationTitle: [APPLICATION_TITLE] supportEmail: [SUPPORT_EMAIL] orgInternalOnly: true
Crear un cliente de OAuth de IAP
Usa el comando create para crear un cliente. Usa la marca
namedel paso anterior.gcloud iap oauth-clients create projects/PROJECT_NUMBER/brands/BRAND-ID --display_name=NAME
La respuesta contiene los siguientes campos:
name: projects/[PROJECT_NUMBER]/brands/[BRAND_NAME]/identityAwareProxyClients/[CLIENT_ID] secret: [CLIENT_SECRET] displayName: [NAME]