Front-End Ihrer Anwendung einbinden

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite wird beschrieben, wie Sie das Front-End Ihrer Anwendung in Cloud Marketplace einbinden, damit Kunden von Cloud Marketplace zu Ihrem Produkt wechseln können.

Im Allgemeinen müssen Sie eine Registrierungs-URL angeben, um die Erstellung von Nutzerkonten zu ermöglichen. Diese werden dann in Ihrer Webkonsole verwaltet. Außerdem müssen Sie Nutzern eine URL für die Anmeldung bereitstellen. Optional können Sie die Einmalanmeldung (SSO) einbinden.

Producer Portal verwenden, um das Front-End Ihrer Anwendung zu integrieren

Alle Informationen, die Sie zur Einbindung des Front-Ends Ihrer Anwendung in Cloud Marketplace von einem Ort aus benötigen, finden Sie im Abschnitt Front-End-Integration des Producer Portal.

Der Link zu Producer Portal lautet:

https://console.cloud.google.com/producer-portal?project=YOUR_PROJECT_ID

So rufen Sie den Abschnitt Front-End-Integration auf:

  1. Klicken Sie in der Produktliste auf den Namen des Produkts.

  2. Gehen Sie auf der Seite Übersicht Ihres Produkts zum Abschnitt Technische Integration und klicken Sie auf Front-End-Integration.

Registrierungs-URL hinzufügen

Wenn Nutzer Ihr Produkt im Cloud Marketplace kaufen, müssen Sie dafür ein Konto erstellen. Dazu müssen Sie eine Anmeldeseite erstellen, um Nutzerkonten in Ihrem System einzurichten und zu genehmigen. Sie können die Seite als Registrierungsseite einrichten, auf der sich Nutzer für ein Konto in Ihrem System registrieren, oder als Seite, die Konten automatisch genehmigt.

Nachdem Sie die Anmeldeseite erstellt haben, fügen Sie sie im Producer Portal hinzu:

  1. Klicken Sie in der Produktliste auf den Namen des Produkts.

  2. Gehen Sie auf der Seite Übersicht Ihres Produkts zum Abschnitt Technische Integration und klicken Sie auf Front-End-Integration.

  3. Geben Sie die URL der Anmeldeseite in das Feld Registrierungs-URL ein.

Registrierungsinformationen des Nutzers überprüfen

Wenn ein Nutzer noch kein Konto in Ihrem System eingerichtet hat, muss er in Cloud Marketplace auf die Schaltfläche Registrieren mit YOUR_COMPANY_NAME klicken. Wenn sie auf die Schaltfläche klicken, sendet Google Cloud eine HTTP POST-Anfrage mit einem JSON-Webtoken (JWT) im Parameter x-gcp-marketplace-token an Ihre Anmeldeseite. Das JWT enthält die Beschaffungskonto-ID des Nutzers, die ihn als Google Cloud-Nutzer identifiziert, und eine verschleierte ID, die seine Google-Konto-ID darstellt. Sie müssen sowohl die Beschaffungskonto-ID als auch die verschleierte ID verwenden, um das Google-Konto des Nutzers mit seinem Konto in Ihrem System zu verknüpfen.

Nach der Bestätigung des JWT muss von Ihrer Registrierungsseite eine Anfrage zur Kontogenehmigung an die Partner Procurement API gesendet werden, wie in den Schritten zur Back-End-Integration beschrieben.

Ausführliche Informationen zur JWT-Nutzlast und zu ihrer Bestätigung finden Sie unter JWT überprüfen.

Wenn Sie mit JWTs noch nicht vertraut sind, lesen Sie die JWT-Einführung.

Log-in-URL hinzufügen

Sie müssen die URL für die Anmeldeseite Ihrer App angeben.

So geben Sie die URL für die Anmeldeseite Ihrer App im Producer Portal ein:

  1. Klicken Sie in der Produktliste auf den Namen des Produkts.

  2. Gehen Sie auf der Seite Übersicht Ihres Produkts zum Abschnitt Technische Integration und klicken Sie auf Front-End-Integration.

  3. Geben Sie in das Feld Login-URL die URL für die Anmeldeseite Ihrer App ein.

Optional: Einmalanmeldung (SSO) für Kunden aktivieren

So aktivieren Sie die SSO im Producer Portal:

  1. Klicken Sie in der Produktliste auf den Namen des Produkts.

    1. Gehen Sie auf der Seite Übersicht Ihres Produkts zum Abschnitt Technische Integration und klicken Sie auf Front-End-Integration.

    2. Wählen Sie unter SSO-Anmeldung aktivieren? die Option Ja aus.

SSO-Anmeldedaten Ihrer Kunden bestätigen

Wenn Kunden sich über SSO in Ihrer Anwendung anmelden, sendet Google Cloud eine HTTP POST-Anfrage an die Anmeldeseite Ihrer Anwendung. Dabei wird ein JSON-Webtoken (JWT) im gleichen Format wie das JWT gesendet, das gesendet wird, wenn sich Nutzer für Ihre Anwendung registrieren.

Ausführliche Informationen zur JWT-Nutzlast und zu ihrer Bestätigung finden Sie unter JWT überprüfen.

JWT prüfen

Bei einigen Prozessen, z. B. der Registrierung eines neuen Kunden oder der Anmeldung eines Kunden mit SSO, senden Sie eine HTTP POST-Anfrage mit einem JSON-Webtoken (JWT), das Sie möglicherweise bestätigen müssen.

In der folgenden Tabelle sind diese aufgeführt:

  • Ereignisse, bei denen eine HTTP-Anfrage mit einem JWT gesendet wird.
  • Der Typ der betroffenen HTTP-Anfrage.
  • Gibt an, ob Sie das JWT überprüfen müssen.
Termin HTTP-Anfragetyp JWT-Überprüfung erforderlich

Neukunden registrieren

POST

Ja

Kundenanmeldung ohne SSO

GET

Nein

Kundenanmeldung mit SSO

POST

Ja

Die JWT-Nutzlast

Die JWT-Nutzlast hat folgendes Format:

Header

{
  "alg": "RS256",
  "kid": "KEY_ID"
}

Wobei:

  • alg ist immer RS256.
  • kid gibt die Schlüssel-ID an, die zum Sichern des JWT verwendet wurde. Verwenden Sie die Schlüssel-ID, um den Schlüssel aus dem JSON-Objekt im Attribut iss in der Nutzlast nachzuschlagen.

Nutzlast

{
  "iss": "https://www.googleapis.com/robot/v1/metadata/x509/cloud-commerce-partner@system.gserviceaccount.com",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 5 minutes,
  "aud": "PARTNER_DOMAIN_NAME",
  "sub": "PROCUREMENT_ACCOUNT_ID",
  "google": {
    "roles": [GCP_ROLE],
    "user_identity": USER_ID
  }
}

Wobei:

  • sub ist die Google-Konto-ID des Nutzers. Sie müssen diese ID verwenden, um das Google-Konto des Nutzers mit seinem Konto in Ihrem System zu verknüpfen.
  • iss identifiziert den Absender des JWT. Die URL im iss-Anspruch verweist auf einen öffentlichen Schlüssel von Google.
  • exp gibt an, wann das Token abläuft, und wird 5 Minuten nach dem Senden des Token festgelegt.
  • aud ist die Domain, in der Ihr Produkt gehostet wird, z. B. example.com.
  • roles ist ein Array von Strings, die die Rollen des Nutzers darstellen. Dies kann entweder

    • account_admin: Der Nutzer ist ein Administrator des Rechnungskontos (Bestelladministrator) des Rechnungskontos, über das das Produkt gekauft wurde.

    • project_editor: Gibt an, dass der Nutzer ein Bearbeiter (Entitlement Manager) ist, aber kein Abrechnungsadministrator des Projekts unter diesem Rechnungskonto.

  • user_identity ist die verschleierte GAIA-ID des Nutzers, mit der OpenID Connect initiiert werden kann.

Nutzlast überprüfen

Wenn Sie das JWT erhalten, müssen Sie überprüfen, ob

  1. Prüfen Sie, ob die JWT-Signatur den öffentlichen Schlüssel von Google verwendet.

  2. Prüfen Sie, ob das JWT nicht abgelaufen ist. Prüfen Sie dazu die exp-Anforderung.

  3. Bestätigen Sie, dass die aud-Anforderung die richtige Domain für Ihr Produkt ist.

  4. Bestätigen Sie, dass die Anforderung iss https://www.googleapis.com/robot/v1/metadata/x509/cloud-commerce-partner@system.gserviceaccount.com ist.

  5. Bestätigen Sie, dass sub nicht leer ist.

Google-Anmeldung mit login_hint initiieren

Wenn Sie möchten, dass Ihre Nutzer einen OAuth 2.0-Zustimmungsablauf für Ihre Website durchlaufen, können Sie die Identitätsinformationen aus der Nutzlast verwenden, um diesen Ablauf für das Google-Konto zu initialisieren, das sie vor der Weiterleitung für Google Cloud verwendet haben. Dazu geben Sie die im JWT bereitgestellte user_identity als login_hint an. Weitere Informationen finden Sie in der Dokumentation zu Google OAuth 2.0.

Nachdem der Nutzer den OAuth 2.0-Vorgang mit deiner Website abgeschlossen hat, solltest du prüfen, ob es sich um den Nutzer handelt, den du für den OAuth-Vorgang erwartet hast. Dazu verwenden Sie das OAuth 2.0-Zugriffstoken, um über die Google UserInfo API die grundlegenden Nutzerinformationen abzurufen. Dadurch wird eine ID zurückgegeben, die voraussichtlich dem Feld user_identity des JWT entspricht.

Dienstkonten für Ihre Kunden erstellen

Wenn für Ihr Produkt ein Dienstkonto erforderlich ist, können Sie zusammen mit einem Partnerentwickler Folgendes tun:

  • Dienstkonten für Ihre Kunden bereitstellen
  • Richten Sie eine Seite zur Dienstkontoverwaltung für Ihre Kunden ein, um den Dienstkonten die erforderlichen IAM-Rollen (Identity and Access Management) zuzuweisen.

Sie müssen Ihren Kunden den Link zu dieser Dienstkontoseite bereitstellen, in der Regel über die Verwaltungskonsole Ihres Produkts.

Dienstkonten bereitstellen

Wenden Sie sich zum Bereitstellen der Dienstkonten an Ihren Partnerentwickler und geben Sie die folgenden Informationen an:

  • Dienstname: Dies ist eine eindeutige Produkt-ID, durch die sich Ihr Produkt von anderen Produkten unterscheidet. Wir empfehlen die Verwendung des Dienstnamens, den Sie bei der Einrichtung Ihres Produkts erstellt haben.

  • Projekt-ID: Die ID des Projekts, in dem Sie die Dienstkonten erstellen, die auf die Ressourcen Ihrer Kunden zugreifen. Sie müssen alle Dienstkonten erstellen, die Ihr Produkt in einem einzelnen Projekt verwendet.

  • IAM-Rollen und -Argumente: Die für die Dienstkonten erforderlichen IAM-Rollen und der Grund dafür. Dies wird an Ihren Kunden weitergegeben und kann sich darauf auswirken, ob Ihr Kunde Zugriff auf das Dienstkonto gewährt.

Wenn Ihr Kunde zu Ihrer Website zurückkehren soll, nachdem er Zugriff auf das Dienstkonto gewährt hat, senden Sie den Domainnamen Ihrer Konsole an Ihren Partnerentwickler. Sie können mehrere Domainnamen senden, einschließlich Subdomains, z. B. staging.example.com.

Seite für die Dienstkontoverwaltung in der Produktkonsole einbinden

Der Partnerentwickler erstellt eine Dienstkontoverwaltungsseite, damit Ihre Kunden Zugriff auf die Dienstkonten gewähren können. Anschließend verlinken Sie die Seite in der Console.

Nachdem Ihr Partnerentwickler Sie darüber informiert hat, dass die Dienstkontoverwaltung bereit ist, fügen Sie der URL Parameter hinzu und verlinken Sie dann über die Console auf die Seite.

Der URL müssen zwei Parameter hinzugefügt werden:

  • service-name: Dies ist der Dienstname, den Sie Ihrem Partnerentwickler angegeben haben.

  • service-account-email: Dies ist die E-Mail-Adresse des Dienstkontos, das Sie für Ihren Kunden erstellt haben. Jeder Kunde hat ein eindeutiges Dienstkonto.

Das folgende Beispiel zeigt eine URL mit den erforderlichen Parametern:

https://console.cloud.google.com/marketplace-saas/service-account/service-name/service-account-email

Sie können je nach den Anforderungen Ihrer Kunden zusätzliche Parameter hinzufügen. Beispiel:

https://console.google.com/marketplace-saas/service-account/service-name/service-account-email;single=true;redirect=https%3A%2F%2Fexample.com

Die Parameter der URL zeigen an, dass Ihr Produkt Zugriff auf ein einzelnes Google Cloud-Projekt benötigt und dass der Kunde zu Ihrer Konsole zurückkehren kann.

Liste der URL-Parameter

Im Folgenden finden Sie eine Liste der URL-Parameter, die Sie an die Seite für die Dienstkontoverwaltung senden können:

ParameterBeschreibung
service-nameDas ist ein Pflichtfeld. Dies ist der Dienstname, den Sie Ihrem Partnerentwickler angegeben haben.
service-account-emailDas ist ein Pflichtfeld. Dies ist die E-Mail-Adresse des Dienstkontos, das Sie für Ihren Kunden erstellt haben.
singleWenn "true" (wahr), bedeutet dies, dass Ihr Produkt Zugriff auf ein einzelnes Projekt benötigt.
hints=project-id-1Legt das Projekt fest, auf das das Dienstkonto zugreifen soll. Verwenden Sie Kommas, um Projekte zu trennen.
filter=role1Beschränkt die dem Dienstkonto zugewiesenen Rollen auf einen Teil der Rollen, die Sie Ihrem Partnerentwickler zugewiesen haben. Schließen Sie roles/ aus, wenn Sie den Filter verwenden.
redirectBietet einen Link, über den der Kunde zu Ihrer Verwaltungskonsole zurückkehren kann. Der Domainname muss bei Ihrem Partnerentwickler registriert sein, um diesen Parameter verwenden zu können.