集成应用的前端

本页介绍了将您的应用前端与 Google Cloud Marketplace 集成的步骤。前端集成可帮助您的客户从 Google Cloud Marketplace 转到您的应用时获得流畅的体验。

为新用户创建帐号激活页面

用户从 Google Cloud Marketplace 中选择您的产品时,他们必须在您的应用中激活其帐号。您必须创建一个激活页面以在系统中设置和批准用户帐号。您可以将页面设置为注册页面,用户必须在其中注册系统中的帐号,也可以设置为自动批准帐号的页面。 在设置激活页面时,请确保用户无需输入用户名和密码即可访问该页面。

在 Google Cloud Marketplace 中,当用户单击链接以注册您的应用时,Google 会向您的激活页面发送一个 HTTP POST 请求,并在 x-gcp-marketplace-token 参数中发送一个 JSON Web 令牌(JWT)。JWT 包含用户的采购帐号 ID,该帐号将其标识为 Google Cloud 用户。您必须使用此 ID 将用户的 Google 帐号与用户在您系统中的帐号相关联。

验证 JWT 后,您的激活页面必须向 Partner Procurement API 发送帐号批准请求,如后端集成步骤中所述。

如果您不熟悉 JWT,请参阅 JWT 简介

将帐号激活页面添加到门户

您可以使用 Producer Portal 或合作伙伴门户添加帐号激活页面网址。

Producer Portal

Producer Portal 的直接链接是:

https://console.cloud.google.com/producer-portal?project=YOUR_PROJECT_ID

如需将您的帐号激活页面添加到 Producer Portal,请执行以下操作:

  1. 在产品列表中,点击您的产品的名称。

  2. 在您产品的 Overview(概览)页面上,转到 Technical Integration(技术集成)部分,然后点击 FRONTEND INTEGRATION(前端集成)。

  3. Sign up URL(注册网址)字段中输入帐号激活页面的网址。

合作伙伴门户

合作伙伴门户的直接链接是:

https://console.cloud.google.com/partner/solutions?project=YOUR_PROJECT_ID

如需将您的帐号激活页面添加到合作伙伴门户,请执行以下操作:

  1. 在解决方案列表中,点击您创建的解决方案 ID。

  2. Plans & Features(方案和功能)页面中点击以修改页面。

  3. Signup URL(注册网址)字段中输入帐号激活页面的网址。

验证 JWT

JWT 有效负载格式如下:

标头

{
  "alg": "RS256",
  "kid": "KEY_ID"
}

其中:

  • alg 始终为 RS256
  • kid 表示用于保护 JWT 的密钥 ID。使用密钥 ID 从有效负载的 iss 属性中的 JSON 对象查找密钥。

载荷

{
  "iss": "https://www.googleapis.com/robot/v1/metadata/x509/cloud-commerce-partner@system.gserviceaccount.com",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 5 minutes,
  "aud": "PARTNER_DOMAIN_NAME",
  "sub": "PROCUREMENT_ACCOUNT_ID",
  "google": {
    "roles": [GCP_ROLE],
    "user_identity": USER_ID
  }
}

其中:

  • sub 是用户的 Google 帐号 ID。您必须使用此 ID 将用户的 Google 帐号与用户在您系统中的帐号相关联。
  • iss 标识 JWT 的发送者。iss 声明中的网址链接到 Google 的公钥。
  • exp 表示令牌到期时间,而且设置为令牌发送后的 5 分钟。
  • aud 是托管您产品的网域,例如 example-pro.com
  • roles 是代表用户角色的字符串数组。目前可以是:** account_admin(表示用户是购买产品的结算帐号的 Billing Account Administrator),或者 ** project_editor(表示用户是该结算帐号下的项目的 Project Editor,但不是 Billing Administrator)。
  • user_identity 是经过模糊处理的用户 GAIA ID,可用于启动 Open ID Connect。

收到 JWT 后,您必须进行以下验证:

  1. 验证 JWT 签名是否使用了 Google 的公钥。

  2. 通过检查 exp 声明来验证 JWT 尚未过期。

  3. 验证 aud 声明是否为产品的正确网域。

  4. 验证 iss 声明是否为 https://www.googleapis.com/robot/v1/metadata/x509/cloud-commerce-partner@system.gserviceaccount.com

  5. 确认 sub 不为空。

使用 login_hint 启动 Google 登录

如果您希望用户通过您的网站完成 OAuth 2.0 同意流程,则可以使用载荷的身份信息,对重定向之前用于 Google Cloud 的 Google 帐号初始化该流程。为此,您需要提供 JWT 中的 user_identity 作为 login_hint。如需了解详情,请访问 Google OAuth 2.0 文档

当用户通过您的网站完成 OAuth 2.0 流程后,您应该验证他们是您预期要完成 OAuth 流程的用户。为此,您可以使用 OAuth 2.0 访问令牌来调用 Google UserInfo API 以获取基本用户信息。这应返回与 JWT 中的 user_identity 字段匹配的 ID。

为您的客户集成单点登录 (SSO)

客户注册您的产品时,必须能够在您的激活页面上注册帐号,而无需先输入用户名和密码。

单点登录集成功能使用 JWT 对用户进行身份验证。如果您不熟悉 JWT,请参阅 JWT 简介

您可以在 Producer Portal 或合作伙伴门户中设置单点登录集成:

Producer Portal

要设置 SSO 集成,请执行以下操作:

  1. 在您产品的 Overview(概览)页面上,转到 Technical Integration(技术集成)部分,然后点击 FRONTEND INTEGRATION(前端集成)。

  2. 如需关联到信息中心,请在 Login URL(登录网址)字段中输入信息中心的网址。

  3. 如需使用 Google SSO,请点击 Enable SSO login (optional)[启用单点登录(可选)],然后在 SSO URL(单点登录网址)字段中输入您的单点登录网址。

  4. 在应用的网页界面中,添加代码以验证用户从 Google Cloud Marketplace 登录时系统发送给应用的 JWT 负载。

    用于身份验证的 JWT 格式与用户首次注册应用时系统发送的 JWT 格式相同,如验证 JWT 中所述。

合作伙伴门户

要设置 SSO 集成,请执行以下操作:

  1. 转到产品的 Plans and Features(方案和功能)页面,然后选择修改产品的方案和功能。

  2. 如需关联信息中心,请在 Dashboard URL(信息中心网址)字段中输入信息中心的网址。

  3. 如需使用 Google SLO,请在 SSO Login (optional) [单点登录(可选)] 下点击Enable SSO(启用单点登录),然后在 SSO Login URL(单点登录网址)字段中输入您的单点登录网址。在 SSO API Keys URL(SSO API 密钥网址)字段中输入 SSO API 密钥的网址。

  4. 在应用的网页界面中,添加代码以验证用户从 Google Cloud Marketplace 登录时系统发送给应用的 JWT 负载。

    用于身份验证的 JWT 格式与用户首次注册应用时系统发送的 JWT 格式相同,如验证 JWT 中所述。