Membuat klien OAuth untuk IAP

Halaman ini menjelaskan cara membuat klien OAuth, yang diperlukan untuk mengaktifkan IAP.

Membuat klien OAuth

Anda dapat membuat maksimum 36 klien OAuth untuk setiap project dengan Konsol Google Cloud. Anda dapat membuat maksimum 500 klien OAuth untuk setiap project dengan Google Cloud CLI.

Konsol

Selesaikan langkah-langkah berikut untuk membuat klien OAuth menggunakan Konsol Google Cloud.

Konfigurasikan layar izin OAuth dengan mengikuti petunjuk dalam Menyiapkan layar izin OAuth.
Buat klien OAuth dengan mengikuti petunjuk di Menyiapkan OAuth 2.0.

gcloud

Batasan umum

Berikut adalah batasan untuk klien OAuth yang dibuat secara terprogram menggunakan API:

Klien OAuth yang dibuat oleh API hanya dapat diubah dengan menggunakan API. Anda tidak dapat mengubah klien OAuth menggunakan Konsol Google Cloud jika klien tersebut dibuat menggunakan API.
Klien OAuth yang dibuat oleh API dikunci hanya untuk penggunaan IAP, sehingga API tidak mengizinkan update apa pun pada URI pengalihan atau atribut lainnya.
API tidak beroperasi pada klien OAuth yang dibuat menggunakan Konsol Google Cloud.
Jika menggunakan API ini, hanya 500 klien OAuth yang diizinkan per project.
Brand layar izin OAuth yang dibuat API memiliki batasan khusus. Lihat bagian untuk informasi selengkapnya.

Memahami merek dan status branding

Layar izin OAuth, yang berisi informasi branding untuk pengguna, dikenal sebagai merek. Merek dapat dibatasi untuk pengguna internal atau pengguna publik. Brand internal membuat alur OAuth dapat diakses oleh seseorang yang berada dalam organisasi Google Workspace yang sama dengan project tersebut. Merek publik membuat alur OAuth tersedia untuk siapa saja di internet.

Brand dapat dibuat secara manual atau terprogram menggunakan API. Brand yang dibuat menggunakan API secara otomatis dikonfigurasi dengan setelan berikut:

Internal. Anda harus menyetelnya secara manual ke publik.
Belum ditinjau. Anda harus memicu peninjauan merek.

Untuk menetapkan brand internal ke publik:

Buka layar izin OAuth.
Pilih project dari menu drop-down.
Pada halaman OAuth consent screen, perhatikan bahwa User Type otomatis ditetapkan ke Internal. Untuk menyetelnya ke Publik, klik Edit Aplikasi. Opsi konfigurasi lainnya akan tersedia.
Di bawah Application type, klik Public.

Untuk memicu peninjauan brand terhadap brand buatan API yang belum ditinjau:

Buka layar izin OAuth.
Pilih proyek yang Anda inginkan dari menu drop-down.
Pada halaman OAuth consent screen, masukkan informasi yang diperlukan, lalu klik Submit for verification.

Proses verifikasi dapat memerlukan waktu hingga beberapa minggu, dan Anda akan menerima info terbaru melalui email saat prosesnya berlangsung. Pelajari verifikasi lebih lanjut. Saat proses verifikasi berlangsung, Anda tetap dapat menggunakan aplikasi dalam organisasi Google Workspace Anda. Pelajari lebih lanjut perilaku aplikasi Anda sebelum diverifikasi.

Izin yang diperlukan

Sebelum membuat klien, pastikan pemanggil telah diberi izin berikut:

clientauthconfig.brands.list
clientauthconfig.brands.create
clientauthconfig.brands.get
clientauthconfig.clients.create
clientauthconfig.clients.listWithSecrets
clientauthconfig.clients.getWithSecret
clientauthconfig.clients.delete
clientauthconfig.clients.update

Izin ini disertakan dalam peran dasar Editor (roles/editor) dan Pemilik (roles/owner), tetapi sebaiknya Anda membuat peran khusus yang berisi izin ini dan memberikannya kepada pemanggil.

Menyiapkan OAuth untuk IAP

Langkah-langkah berikut menjelaskan cara mengonfigurasi layar izin serta membuat dan klien oauth untuk IAP.

Mengonfigurasi layar izin

Periksa apakah Anda sudah memiliki merek dengan menggunakan perintah list. Anda mungkin hanya memiliki satu merek per proyek.
```
gcloud iap oauth-brands list
```
Berikut adalah contoh respons gcloud, jika brand ada:
```
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true
```
Catatan: Jika brand sudah ada untuk suatu project dan telah dikonfigurasi untuk pengguna eksternal (orgInternalOnly: false), tetapi Anda ingin membatasinya bagi pengguna internal, Anda harus membuat perubahan tersebut secara manual dari layar izin OAuth untuk membuat klien OAuth dengan API ini.
Jika tidak ada merek, gunakan perintah create:
```
gcloud iap oauth-brands create --application_title=APPLICATION_TITLE --support_email=SUPPORT_EMAIL
```
Kolom di atas wajib diisi saat memanggil API ini:
- supportEmail: Email dukungan yang ditampilkan di layar izin OAuth. Alamat email ini dapat berupa alamat pengguna atau alias Google Grup. Meskipun akun layanan juga memiliki alamat email, akun tersebut bukanlah alamat email valid yang sebenarnya, dan tidak dapat digunakan saat membuat merek. Namun, akun layanan dapat menjadi pemilik Google Grup. Buat Google Grup baru atau konfigurasi grup yang ada dan tetapkan akun layanan yang diinginkan sebagai pemilik grup.
  
  Catatan: Pengguna yang mengajukan permintaan harus merupakan pemilik alamat email dukungan yang ditentukan.
- applicationTitle: Nama aplikasi yang ditampilkan di layar izin OAuth.
Respons berisi kolom berikut:
```
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true
```

Membuat Klien OAuth IAP

Gunakan perintah create untuk membuat klien. Gunakan merek name dari langkah sebelumnya.

gcloud iap oauth-clients create projects/PROJECT_NUMBER/brands/BRAND-ID --display_name=NAME

Respons berisi kolom berikut:

name: projects/[PROJECT_NUMBER]/brands/[BRAND_NAME]/identityAwareProxyClients/[CLIENT_ID]
secret: [CLIENT_SECRET]
displayName: [NAME]