Membuat klien OAuth untuk IAP

Halaman ini menjelaskan cara membuat klien OAuth saat menggunakan konfigurasi OAuth yang disesuaikan untuk mengaktifkan IAP dengan identitas Google.

Membuat klien OAuth

Anda dapat membuat maksimum 36 klien OAuth untuk setiap project dengan konsol Google Cloud. Anda dapat membuat maksimum 500 klien OAuth untuk setiap project dengan Google Cloud CLI.

Konsol

Selesaikan langkah-langkah berikut untuk membuat klien OAuth menggunakan konsol Google Cloud.

  1. Konfigurasikan layar izin OAuth dengan mengikuti petunjuk di Menyiapkan layar izin OAuth.

  2. Buat klien OAuth dengan mengikuti petunjuk di Menyiapkan OAuth 2.0.

gcloud

Batasan umum

Berikut adalah batasan untuk klien OAuth yang dibuat secara terprogram menggunakan API:

  • Klien OAuth yang dibuat oleh API hanya dapat diubah dengan menggunakan API. Anda tidak dapat mengubah klien OAuth menggunakan Konsol Google Cloud jika dibuat menggunakan API.
  • Klien OAuth yang dibuat oleh API dikunci hanya untuk penggunaan IAP, dan karenanya API tidak mengizinkan pembaruan apa pun pada URI pengalihan atau atribut lainnya.
  • API tidak beroperasi pada klien OAuth yang dibuat menggunakan konsol Google Cloud.
  • Hanya 500 klien OAuth yang diizinkan per project saat menggunakan API.
  • Merek layar izin OAuth yang dibuat API memiliki batasan tertentu. Lihat bagian untuk mengetahui informasi selengkapnya.

Memahami brand dan status branding

Layar izin OAuth, yang berisi informasi branding untuk pengguna, dikenal sebagai brand. Merek dapat dibatasi untuk pengguna internal atau pengguna publik. Merek internal membuat alur OAuth dapat diakses oleh seseorang yang termasuk dalam organisasi Google Workspace yang sama dengan project. Merek publik menyediakan alur OAuth bagi siapa saja di internet.

Merek dapat dibuat secara manual atau terprogram menggunakan API. Merek yang dibuat menggunakan API dikonfigurasi secara otomatis dengan setelan berikut:

  • Internal. Anda harus menyetelnya ke publik secara manual.

  • Belum ditinjau. Anda harus memicu peninjauan merek.

Untuk menetapkan merek internal ke publik:

  1. Buka OAuth consent screen.
  2. Pilih project dari menu drop-down.
  3. Di halaman OAuth consent screen, perhatikan bahwa User Type otomatis ditetapkan ke Internal. Untuk menyetelnya ke Publik, klik Edit Aplikasi. Opsi konfigurasi lainnya akan tersedia.
  4. Di bagian Jenis aplikasi, klik Publik.

Untuk memicu peninjauan merek untuk merek yang dibuat API yang belum ditinjau:

  1. Buka OAuth consent screen.
  2. Pilih project yang diinginkan dari menu drop-down.
  3. Di halaman OAuth consent screen, masukkan informasi yang diperlukan, lalu klik Submit for verification.

Proses verifikasi mungkin memerlukan waktu hingga beberapa minggu, dan Anda akan menerima informasi progresnya melalui email. Pelajari lebih lanjut verifikasi. Saat proses verifikasi sedang berlangsung, Anda tetap dapat menggunakan aplikasi dalam organisasi Google Workspace. Pelajari lebih lanjut perilaku aplikasi Anda sebelum diverifikasi.

Izin yang diperlukan

Sebelum membuat klien, pastikan pemanggil telah diberi izin berikut:

  • clientauthconfig.brands.list
  • clientauthconfig.brands.create
  • clientauthconfig.brands.get
  • clientauthconfig.clients.create
  • clientauthconfig.clients.listWithSecrets
  • clientauthconfig.clients.getWithSecret
  • clientauthconfig.clients.delete
  • clientauthconfig.clients.update

Izin ini disertakan dalam peran dasar Editor (roles/editor) dan Pemilik (roles/owner), tetapi sebaiknya Anda membuat peran kustom yang berisi izin ini dan memberikannya kepada pemanggil.

Menyiapkan OAuth untuk IAP

Langkah-langkah berikut menjelaskan cara mengonfigurasi layar izin dan membuat serta klien oauth untuk IAP.

  1. Periksa apakah Anda sudah memiliki merek dengan menggunakan perintah list. Anda mungkin hanya memiliki satu merek per proyek.

    gcloud iap oauth-brands list

    Berikut adalah contoh respons gcloud, jika brand ada:

    name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
    applicationTitle: [APPLICATION_TITLE]
    supportEmail: [SUPPORT_EMAIL]
    orgInternalOnly: true
    
  2. Jika tidak ada merek, gunakan perintah create:

    gcloud iap oauth-brands create --application_title=APPLICATION_TITLE --support_email=SUPPORT_EMAIL

    Kolom di atas wajib diisi saat memanggil API ini:

    • supportEmail: Email dukungan yang ditampilkan di layar izin OAuth. Alamat email ini dapat berupa alamat pengguna atau alias Google Grup. Meskipun akun layanan juga memiliki alamat email, akun tersebut bukanlah alamat email valid yang sebenarnya, dan tidak dapat digunakan saat membuat merek. Namun, akun layanan dapat menjadi pemilik Google Grup. Buat Google Grup baru atau konfigurasi grup yang ada dan tetapkan akun layanan yang diinginkan sebagai pemilik grup.

    • applicationTitle: Nama aplikasi yang ditampilkan di layar izin OAuth.

    Respons berisi kolom berikut:

    name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
    applicationTitle: [APPLICATION_TITLE]
    supportEmail: [SUPPORT_EMAIL]
    orgInternalOnly: true
    

Membuat Klien OAuth IAP

  1. Gunakan perintah create untuk membuat klien. Gunakan merek name dari langkah sebelumnya.

    gcloud iap oauth-clients create projects/PROJECT_NUMBER/brands/BRAND-ID --display_name=NAME

    Respons berisi kolom berikut:

    name: projects/[PROJECT_NUMBER]/brands/[BRAND_NAME]/identityAwareProxyClients/[CLIENT_ID]
    secret: [CLIENT_SECRET]
    displayName: [NAME]