Zertifikatbasierten Zugriff in Clientanwendungen aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) in Ihren Clientanwendungen aktivieren, um die Google APIs mit kompatiblen Bibliotheken oder Tools aufzurufen.

Damit die Geräteidentifizierung durch die Google-APIs möglich ist, muss der aufrufende Client mTLS-Verbindungen mit den Google-APIs herstellen und dann die TLS-Zertifikate auf dem Gerät ermitteln. Dieser Vorgang wird im folgenden Diagramm veranschaulicht:

Ablauf der Clientverbindung

Mit CBA kompatible Clients

Sie können die kundenbasierte Abrechnung mit den folgenden Clients verwenden:

  • Google Cloud Console (Chrome)
  • Google Cloud CLI-Version 264.0.0 oder höher
  • Terraform CLI-Version 1.3.6 oder höher
  • Google API-Clientbibliotheken
    • Python
    • Programmiersprache Go

CBA für die gcloud CLI aktivieren

  1. Lassen Sie die Nutzer die gcloud CLI installieren oder aktualisieren, damit sie eine Version haben, die mit CBA funktioniert (Version 264.0.0 oder höher).

    Nutzer, die die Google Cloud CLI installiert haben, können mit dem folgenden Befehl bestätigen, dass sie Version 264.0.0 oder höher haben:

    gcloud --version

    Bei Bedarf können Nutzer ihre Google Cloud CLI-Version mit dem folgenden Befehl aktualisieren:

    gcloud components

  2. Nutzer müssen den folgenden Befehl ausführen, um den zertifikatbasierten Zugriff zu verwenden:

    gcloud config set context_aware/use_client_certificate true

CBA für die Terraform CLI und Google API-Clientbibliotheken aktivieren

  1. Damit die CBA für die Terraform CLI und die Google API-Clientbibliotheken aktiviert wird, müssen Nutzer die folgende Umgebungsvariable festlegen:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

CBA für IAP Desktop aktivieren

So aktivieren Sie den zertifikatbasierten Zugriff in IAP Desktop:

  1. Wählen Sie in der Anwendung Extras > Optionen aus.
  2. Wählen Sie Sichere Verbindungen zu Google Cloud mit zertifikatbasiertem Zugriff aus.
  3. Klicken Sie auf OK.
  4. Schließen Sie IAP Desktop und starten Sie es neu.

Wenn Sie Active Directory verwenden, können Sie auch ein Gruppenrichtlinienobjekt konfigurieren, um den zertifikatbasierten Zugriff für Ihre Nutzer automatisch zu aktivieren.