ניהול פרופילי אימות

יכול להיות שהמשימות ב-Application Integration ידרשו חיבור לאפליקציה חיצונית, לשירות או למקור נתונים. פרופיל אימות מאפשר לכם להגדיר ולאחסן את פרטי האימות של החיבור ב-Application Integration. אפשר להגדיר את המשימה כך שתשתמש בפרופיל האימות המאוחסן. יצירת פרופיל אימות היא פעולה חד-פעמית, ואפשר להשתמש באותו פרופיל בכמה שילובים.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לניהול פרופילי אימות, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בשילוב:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת מזהה לקוח ב-OAuth 2.0

מזהה הלקוח משמש לזיהוי של אפליקציה אחת בשרתי OAuth של Google. אם האפליקציה פועלת בכמה פלטפורמות, לכל אחת מהן צריך להיות מזהה לקוח משלה. כדי להשתמש ב-OAuth 2.0 באפליקציה, צריך מזהה לקוח ב-OAuth 2.0, שהאפליקציה משתמשת בו כשמבקשים אסימון גישה ב-OAuth 2.0.

כדי ליצור מזהה לקוח OAuth 2.0, מבצעים את השלבים הבאים:

  1. במסוף Google Cloud , עוברים אל APIs & Services > Credentials.

    כניסה לדף Credentials

  2. לוחצים על + Create Credentials (יצירת פרטי כניסה) ובוחרים באפשרות OAuth client ID (מזהה לקוח OAuth) מתוך רשימת האפשרויות הזמינות.

    מופיע הדף Create OAuth client ID (יצירת מזהה לקוח OAuth).

  3. סוג האפליקציה: בוחרים באפשרות אפליקציית אינטרנט מהרשימה הנפתחת.
  4. שם: מזינים שם ללקוח OAuth 2.0 כדי לזהות את הלקוח במסוף Cloud.
  5. בקטע Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), לוחצים על +Add URI (הוספת כתובת URI) ומזינים את הפרטים הבאים: 
     https://console.cloud.google.com/integrations/callback/locations/AUTH_PROFILE_REGION
  6. לוחצים על יצירה.

    מזהה לקוח ב-OAuth 2.0 נוצר בהצלחה.

יצירת פרופיל אימות חדש

כדי ליצור פרופיל אימות חדש, בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. נכנסים לדף Application Integration במסוף Google Cloud .

    מעבר אל Application Integration

  2. בתפריט הניווט, לוחצים על Auth Profiles (פרופילי הרשאה).

    3. יופיע הדף Authentication Profiles (פרופילי אימות).

  3. לוחצים על יצירה ומזינים את הפרטים הבאים:
  4. לוחצים על יצירה.

Terraform

משתמשים במשאב google_integrations_client. אפשר להשתמש ב-Terraform כדי ליצור את פרופילי האימות הבאים:

טוקן אימות

בדוגמה הבאה נוצר סוג אימות של אסימון הרשאה באזור us-central1:

resource "google_integrations_client" "client" {
  location = "us-central1"
}

resource "google_integrations_auth_config" "auth_config_auth_token" {
  location     = "us-central1"
  display_name = "tf-auth-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "AUTH_TOKEN"
    auth_token {
      type  = "Basic"
      token = "some-random-token"
    }
  }
  depends_on = [google_integrations_client.client]
}

אישור לקוח לשרת בחיבור SSL/TLS

בדוגמה הבאה נוצר סוג אימות של אישור לקוח לשרת בחיבור SSL/TLS באזור us-central1:

resource "google_integrations_auth_config" "auth_config_certificate" {
  location     = "us-central1"
  display_name = "tf-certificate"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "CLIENT_CERTIFICATE_ONLY"
  }
  client_certificate {
    ssl_certificate       = <<EOT
-----BEGIN CERTIFICATE-----
MIICTTCCAbagAwIBAgIJAPT0tSKNxan/MA0GCSqGSIb3DQEBCwUAMCoxFzAVBgNV
BAoTDkdvb2dsZSBURVNUSU5HMQ8wDQYDVQQDEwZ0ZXN0Q0EwHhcNMTUwMTAxMDAw
MDAwWhcNMjUwMTAxMDAwMDAwWjAuMRcwFQYDVQQKEw5Hb29nbGUgVEVTVElORzET
MBEGA1UEAwwKam9lQGJhbmFuYTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
vDYFgMgxi5W488d9J7UpCInl0NXmZQpJDEHE4hvkaRlH7pnC71H0DLt0/3zATRP1
JzY2+eqBmbGl4/sgZKYv8UrLnNyQNUTsNx1iZAfPUflf5FwgVsai8BM0pUciq1NB
xD429VFcrGZNucvFLh72RuRFIKH8WUpiK/iZNFkWhZ0CAwEAAaN3MHUwDgYDVR0P
AQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAMBgNVHRMB
Af8EAjAAMBkGA1UdDgQSBBCVgnFBCWgL/iwCqnGrhTPQMBsGA1UdIwQUMBKAEKey
Um2o4k2WiEVA0ldQvNYwDQYJKoZIhvcNAQELBQADgYEAYK986R4E3L1v+Q6esBtW
JrUwA9UmJRSQr0N5w3o9XzarU37/bkjOP0Fw0k/A6Vv1n3vlciYfBFaBIam1qRHr
5dMsYf4CZS6w50r7hyzqyrwDoyNxkLnd2PdcHT/sym1QmflsjEs7pejtnohO6N2H
wQW6M0H7Zt8claGRla4fKkg=
-----END CERTIFICATE-----
EOT
    encrypted_private_key = <<EOT
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCA/Oj2HXqs5fTk
j/8DrlOQtLG3K9RMsYHvnwICLxkGqVcTfut58hDFLbQM8C3C0ENAKitNJplCJmYG
8VpgZzgq8VxaGnlP/sXUFLMGksd5sATn0sY3SkPndTKk/dqqA4MIh/dYfh19ynEN
hB9Ll/h54Yic2je2Qaxe/uMMu8RODTz3oCn7FcoYpPvfygfU0ntn4IcqH/hts5DG
s+3otJk4entRZglQDxR+sWOsbLtJIQZDP8rH3jDVdl5l3wspgtMTY8b5T5+pLm0p
/OzCmxT0dq/O6BhpxI1xf/zcdRZeWk5DTJxTi5AgPquTlAG/B6A3HkqBJ14hT/Rk
iv7Ma3DLAgMBAAECggEABATkf9VfpiAT9zYdouk50bBpckvymQTyQLD8SlBaX+KY
kgv/pHSXK4Pm4iensrQerFLgfqPA3U+FiqjW5Mv7c1VRK6HJbuVkpdzoXLI9IQsL
vsBY7//9Ajk5P7NokjdB6JPdU/2dHROuQVa59cxPtzpHo0htnPlDOKXfFZZuoZ17
Nr8WQHrHy8P8ABM1tLOzvU9Nlh7TcjQvev+HxkLek4qzYyJ/Ac7XOjg/XKUm1tZk
O3BHr8YLabwyjO7l1t+2b14rUTL/8pfUZnAkEi3FAlPxm3ilftmX65zliC9G4ghk
dr5PByT3DqnuIIglua9bISv1H34ogecd+9a6EU7RxQKBgQC2RPKLounXZo8vYiU4
sFTEvjbs+u9Ypk4OrNLnb8KdacLBUaJGnf++xbBoKpwFCBJfy//fvuQfusYF9Gyn
GxL43tw94C/H5upQYnDsmnQak6TbOu3mA24OGK7Rcq6NEHgeCY4HomutnSiPTZJq
8jlpqgqh1itETe5avgkMNq3zBwKBgQC1KlztGzvbB+rUDc6Kfvk5pUbCSFKMMMa2
NWNXeD6i2iA56zEYSbTjKQ3u9pjUV8LNqAdUFxmbdPxZjheNK2dEm68SVRXPKOeB
EmQT+t/EyW9LqBEA2oZt3h2hXtK8ppJjQm4XUCDs1NphP87eNzx5FLzJWjG8VqDq
jOvApNqPHQKBgDQqlZSbgvvwUYjJOUf5R7mri0LWKwyfRHX0xsQQe43cCC6WM7Cs
Zdbu86dMkqzp+4BJfalHFDl0llp782D8Ybiy6CwZbvNyxptNIW7GYfZ9TVCllBMh
5izIqbgub4DWNtq591l+Bf2BnmstU3uiagYw8awSBP4eo9p6y1IgkDafAoGBAJbi
lIiqEP0IqA06/pWc0Qew3rD7OT0ndqjU6Es2i7xovURf3QDkinJThBZNbdYUzdsp
IgloP9yY33/a90SNLLIYlARJtyNVZxK59X4qiOpF9prlfFvgpOumfbkj15JljTB8
aGKkSvfVA5jRYwLysDwMCHwO0bOR1u3itos5AgsFAoGAKEGms1kuQ5/HyFgSmg9G
wBUzu+5Y08/A37rvyXsR6GjmlZJvULEopJNUNCOOpITNQikXK63sIFry7/59eGv5
UwKadZbfwbVF5ipu59UxfVE3lipf/mYePDqMkHVWv/8p+OnnJt9uKnyW8VSOu5uk
82QF30zbIWDTUjrcugVAs+E=
-----END PRIVATE KEY-----
EOT
  }
  depends_on = [google_integrations_client.client]
}

טוקן רשת מבוסס JSON‏ (JWT)

בדוגמה הבאה נוצר סוג אימות של JSON Web Token ‏ (JWT) באזור us-central1:

resource "google_integrations_auth_config" "auth_config_jwt" {
  location     = "us-central1"
  display_name = "tf-jwt"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "JWT"
    jwt {
      jwt_header  = "{\"alg\": \"HS256\", \"typ\": \"JWT\"}"
      jwt_payload = "{\"sub\": \"1234567890\", \"name\": \"John Doe\", \"iat\": 1516239022}"
      secret      = "secret"
    }
  }
  depends_on = [google_integrations_client.client]
}

קוד הרשאה של OAuth 2.0

בדוגמה הבאה נוצר סוג אימות של אישור לקוח לשרת בחיבור SSL/TLS באזור us-central1:

resource "google_integrations_auth_config" "auth_config_oauth2_authorization_code" {
  location     = "us-central1"
  display_name = "tf-oauth2-authorization-code"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_AUTHORIZATION_CODE"
    oauth2_authorization_code {
      client_id      = "Kf7utRvgr95oGO5YMmhFOLo8"
      client_secret  = "D-XXFDDMLrg2deDgczzHTBwC3p16wRK1rdKuuoFdWqO0wliJ"
      scope          = "photo offline_access"
      auth_endpoint  = "https://authorization-server.com/authorize"
      token_endpoint = "https://authorization-server.com/token"
    }
  }
  depends_on = [google_integrations_client.client]
}

פרטי כניסה של לקוח OAuth 2.0

בדוגמה הבאה נוצר סוג אימות של פרטי כניסה של לקוח OAuth 2.0 באזור us-central1:

resource "google_integrations_auth_config" "auth_config_oauth2_client_credentials" {
  location     = "us-central1"
  display_name = "tf-oauth2-client-credentials"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OAUTH2_CLIENT_CREDENTIALS"
    oauth2_client_credentials {
      client_id      = "demo-backend-client"
      client_secret  = "MJlO3binatD9jk1"
      scope          = "read"
      token_endpoint = "https://login-demo.curity.io/oauth/v2/oauth-token"
      request_type   = "ENCODED_HEADER"
      token_params {
        entries {
          key {
            literal_value {
              string_value = "string-key"
            }
          }
          value {
            literal_value {
              string_value = "string-value"
            }
          }
        }
      }
    }
  }
  depends_on = [google_integrations_client.client]
}

אסימון מזהה של Google OIDC

בדוגמה הבאה נוצר סוג אימות של אסימון מזהה OIDC של Google באזור us-central1:

resource "random_id" "default" {
  byte_length = 8
}

resource "google_service_account" "service_account" {
  account_id   = "sa-${random_id.default.hex}"
  display_name = "Service Account"
}

resource "google_integrations_auth_config" "auth_config_oidc_token" {
  location     = "us-central1"
  display_name = "tf-oidc-token"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "OIDC_TOKEN"
    oidc_token {
      service_account_email = google_service_account.service_account.email
      audience = "https://us-central1-project.cloudfunctions.net/functionA 1234987819200.apps.googleusercontent.com"
    }
  }
depends_on = [google_service_account.service_account, google_integrations_client.client]
}

חשבון שירות

בדוגמה הבאה נוצר סוג אימות של חשבון שירות באזור us-central1:

resource "random_id" "default" {
  byte_length = 8
}
  
resource "google_service_account" "service_account" {
  account_id   = "sa-${random_id.default.hex}"
  display_name = "Service Account"
}
resource "google_integrations_auth_config" "auth_config_service_account" {
  location     = "us-central1"
  display_name = "tf-service-account"
  description  = "Test auth config created via terraform"
  decrypted_credential {
    credential_type = "SERVICE_ACCOUNT"
    service_account_credentials {
    service_account = google_service_account.service_account.email
    scope = "https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/adexchange.buyer https://www.googleapis.com/auth/admob.readonly"
    }
  }
depends_on = [google_service_account.service_account, google_integrations_client.client]
}

אחרי השמירה, פרופיל האימות החדש יהיה זמין כאפשרות בתפריט הנפתח פרופיל ההרשאה לשימוש של כל משימה שדורשת אימות.

אופציונלי. אם לא יצרתם פרופיל אימות לפני הגדרת משימת שילוב, תוכלו לגשת לתיבת הדו-שיח ליצירת פרופיל על ידי בחירה באפשרות + הוספת פרופיל אימות חדש מהתפריט הנפתח פרופיל ההרשאה לשימוש בחלונית הגדרת המשימה. פועלים לפי השלבים הקודמים כדי ליצור פרופיל אימות חדש.

עריכת פרופילי אימות

כדי לערוך פרופיל אימות:

  1. נכנסים לדף Application Integration במסוף Google Cloud .

    מעבר אל Application Integration

  2. בתפריט הניווט, לוחצים על Auth Profiles (פרופילי הרשאה).

    3. יופיע הדף Authentication Profiles (פרופילי אימות).

  3. בתפריט הנפתח בדף פרופילי אימות, בוחרים אזור לפרופיל האימות.
  4. לוחצים על (תפריט הפעולות) ואז על עריכה.

    מופיעה תיבת הדו-שיח Authentication Profiles (פרופילי אימות).

  5. עורכים את הפרטים ולוחצים על שמירה.

כשעורכים פרופיל אימות, חשוב להביא בחשבון את הנקודות הבאות:

  • אם עורכים פרופיל אימות שמשמש משימה בשילוב בטיוטה, צריך לפרסם את השילוב כדי שהשינויים ייכנסו לתוקף. כשבודקים שילוב בטיוטה, עדיין נעשה שימוש בפרופיל האימות מהגרסה האחרונה שפורסמה.
  • אם משימה בשילוב עם מנגנון ניסיון חוזר משתמשת בפרופיל אימות, צריך לפרסם את השילוב אחרי עדכון הפרופיל כדי לוודא שהמשימה משתמשת בפרופיל המעודכן.

מחיקת פרופילי אימות

כדי למחוק פרופיל אימות:

  1. נכנסים לדף Application Integration במסוף Google Cloud .

    מעבר אל Application Integration

  2. בתפריט הניווט, לוחצים על Auth Profiles (פרופילי הרשאה).

    3. יופיע הדף Authentication Profiles (פרופילי אימות).

  3. בתפריט הנפתח בדף פרופילי אימות, בוחרים אזור לפרופיל האימות.
  4. לוחצים על Delete.

סוגי אימות

סוג האימות שנדרש להשלמת משימת שילוב תלוי באימות שהוגדר בשרת ההרשאות. שרת ההרשאות יכול להיות שרת עצמאי או API שמנפיק פרטי כניסה ללקוח שמבצע את הקריאה. ‫Application Integration תומך בסוגי האימות הבאים:

בקטעים הבאים מתוארים מאפייני ההגדרה של סוגי האימות.

טוקן אימות

סוג האימות Auth token משתמש בטוקן (פרטי כניסה) לצורך אימות. פרטי הכניסה נשלחים לשרת בכותרת הבקשה של HTTP Authorization בפורמט Authorization: TYPE CREDENTIALS. כדי להגדיר את סוג האימות הזה, מגדירים את המאפיינים הבאים:
  • Type: סוג האימות, כמו Basic, Bearer או MAC.
  • Token: פרטי הכניסה לסוג האימות.

אם שרת האימות דורש אישור SSL/TLS, מעלים את האישור ואת המפתח הפרטי.

כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

אסימון מזהה של Google OIDC

סוג האימות Google OIDC ID Token משתמש באסימוני אינטרנט מסוג JSON‏ (JWT) לאימות. ספק ה-OpenID Connect ‏ (OIDC) של Google, ‏ accounts.google.com, חותם על אסימוני ה-JWT האלה ומנפיק אותם לצורך אימות באמצעות חשבון שירות. כדי להגדיר את סוג האימות הזה, מגדירים את המאפיינים הבאים:
  • חשבון שירות: חשבון שירות (principal) בפרויקט Google Cloud עם הרשאה לגשת ל-API.
  • קהל: הקהל של אסימון ה-OIDC (המזהה של הנמענים שאליהם מיועד ה-JWT). לדוגמה, Trigger URL הוא הקהל של המשימה Cloud Function.
כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

אסימון JWT‏ (JSON Web Token)

סוג האימות JWT משתמש באסימון אינטרנט מסוג JSON‏ (JWT) לאימות. מידע נוסף על JWT זמין ב-RFC7519. כדי להגדיר את סוג האימות הזה, מגדירים את המאפיינים הבאים:
  • כותרת JWT: האלגוריתם ששימש ליצירת החתימה.

    הערה: אפשר לציין רק את אלגוריתם HS256.

  • מטען ייעודי (payload) של JWT: קבוצה של הצהרות. אפשר להשתמש בתביעות רשומות, ציבוריות או מותאמות אישית.
  • סוד: מפתח משותף בין הלקוח לשרת האימות.

אם שרת האימות דורש אישור SSL, מעלים את האישור ואת המפתח הפרטי באמצעות כלי לבחירת קבצים. מזינים את ביוטי הסיסמה של המפתח הפרטי .

כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

קוד הרשאה של OAuth 2.0

סוג האימות קוד הרשאה של OAuth 2.0 משתמש באסימון הרשאה של OAuth 2.0 לצורך אימות. כדי להגדיר את סוג האימות הזה, צריך להגדיר את המאפיינים הבאים:

  • נקודת קצה לאימות: נקודת הקצה של האפליקציה לאימות. תופנו לכתובת ה-URL הזו כדי לבדוק את הרשאות הגישה של האפליקציה. הטוקן ייווצר רק אחרי שתוענק גישה.
  • נקודת הקצה של הטוקן: נקודת הקצה שמעניקה או מרעננת את טוקן הגישה.
  • Client ID: מחרוזת ייחודית ששרת האימות מספק ללקוח הרשום. מזהה הלקוח הוא לא סוד, והוא חשוף לבעלים של המשאב. צריך להשתמש בשדה הזה יחד עם סוד הלקוח.
  • סוד: מפתח סודי משותף בין הלקוח (השילוב) לבין שרת האימות.
  • היקף הרשאות: היקף ההרשאות של טוקן הגישה. היקפים מאפשרים לכם לציין הרשאות גישה למשתמשים. אפשר לציין כמה היקפי הרשאות שמופרדים ברווח אחד (" "). למידע נוסף, אפשר לעיין במאמר בנושא היקפי הרשאות של OAuth 2.0 ל-Google APIs.

אם שרת האימות דורש אישור SSL, מעלים את האישור ואת המפתח הפרטי באמצעות כלי לבחירת קבצים. אם נדרש, מזינים את ביטוי הסיסמה של המפתח הפרטי בשדה הזמין.

כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

פרטי כניסה של לקוח ב-OAuth 2.0

סוג האימות פרטי כניסה של לקוח OAuth 2.0 משתמש באסימון הרשאה OAuth 2.0 לצורך אימות. באימות הזה, קודם מבקשים אסימון גישה באמצעות פרטי הכניסה של הלקוח, ואז משתמשים באסימון כדי לגשת למשאבים המוגנים. כדי להגדיר את סוג האימות הזה, צריך להגדיר את המאפיינים הבאים:

  • נקודת הקצה של הטוקן: נקודת הקצה שמעניקה או מרעננת את טוקן הגישה.
  • Client ID: מחרוזת ייחודית ששרת האימות מספק ללקוח הרשום. מזהה הלקוח הוא לא סוד, והוא חשוף לבעלים של המשאב. בשדה הזה צריך להזין את מפתח הלקוח.
  • סוד: מפתח סודי משותף בין הלקוח (השילוב) לבין שרת האימות.
  • היקף/היקפים: היקף טוקן הגישה. היקפים מאפשרים לכם לציין הרשאות גישה למשתמשים. אפשר לציין כמה היקפי הרשאות שמופרדים ברווח אחד (" "). למידע נוסף, אפשר לעיין במאמר בנושא היקפי הרשאות של OAuth 2.0 ל-Google APIs.
  • סוגי בקשות: מנגנונים לשליחת פרמטרי הבקשה לשרת האימות כדי לאחזר את אסימון הגישה. אפשר לציין כל אחד מסוגי הבקשות הבאים:

    • כותרת המקודד: מקודדת את CLIENT ID ואת CLIENT SECRET בפורמט Base64 ושולחת את המחרוזת המקודדת בכותרת ההרשאה של HTTP. שאר פרמטרים הבקשה נשלחים בגוף בקשת ה-HTTP.
    • פרמטרים של שאילתה: הפרמטרים של הבקשה נשלחים במחרוזת שאילתה.
    • גוף הבקשה: הפרמטרים של הבקשה נשלחים באמצעות סוג התוכן application/x-www-form-urlencoded וערכת התווים UTF-8 ב-entity-body של בקשת ה-HTTP.
    • לא צוין
  • פרמטרים של טוקן: פרמטרים של בקשה שנדרשים כדי לקבל את הטוקן. מציינים את הערכים בפורמט של צמדי מפתח-ערך, כאשר Key הוא שם הפרמטר ו-Value הוא ערך הפרמטר התואם.

אם שרת האימות דורש אישור SSL, מעלים את האישור ואת המפתח הפרטי באמצעות כלי לבחירת קבצים. אם נדרש, מזינים את סיסמת המפתח הפרטי בשדה הזמין.

כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

פרטי כניסה של סיסמה של בעל משאב ב-OAuth 2.0

סוג האימות OAuth 2.0 resource owner password credentials משתמש באסימון הרשאה OAuth 2.0 לצורך אימות. באימות הזה, קודם מבקשים אסימון גישה באמצעות פרטי הכניסה של בעל המשאב (שם משתמש וסיסמה), ואז משתמשים באסימון כדי לגשת למשאבים המוגנים. כדי להגדיר את סוג האימות הזה, מגדירים את המאפיינים הבאים בהתאם לסוג המכונה שאליה מתחברים:

  • נקודת הקצה של הטוקן: נקודת הקצה שמעניקה או מרעננת את טוקן הגישה.
  • Client ID: מחרוזת ייחודית ששרת האימות מספק ללקוח הרשום. מזהה הלקוח הוא לא סוד, והוא חשוף לבעלים של המשאב. בשדה הזה צריך להזין את מפתח הלקוח.
  • סוד: מפתח סודי משותף בין הלקוח (השילוב) לבין שרת האימות.
  • היקף/היקפים: היקף טוקן הגישה. היקפים מאפשרים לכם לציין הרשאות גישה למשתמשים. אפשר לציין כמה היקפי הרשאות שמופרדים ברווח אחד (" "). למידע נוסף, אפשר לעיין במאמר בנושא היקפי הרשאות של OAuth 2.0 ל-Google APIs.
  • שם משתמש: שם המשתמש של בעל המשאב.
  • סיסמה: סיסמת המשתמש.
  • סוגי בקשות: מנגנונים לשליחת פרמטרי הבקשה לשרת האימות כדי לאחזר את אסימון הגישה. אפשר לציין כל אחד מסוגי הבקשות הבאים:

    • כותרת המקודד: מקודדת את CLIENT ID ואת CLIENT SECRET בפורמט Base64 ושולחת את המחרוזת המקודדת בכותרת ההרשאה של HTTP. שולח את שאר פרמטרים הבקשה בגוף בקשת ה-HTTP.
    • פרמטרים של שאילתה: הפרמטרים של הבקשה נשלחים במחרוזת שאילתה.
    • גוף הבקשה: הפרמטרים של הבקשה נשלחים באמצעות סוג התוכן application/x-www-form-urlencoded וערכת התווים UTF-8 ב-entity-body של בקשת ה-HTTP.
  • פרמטרים של טוקן: פרמטרים של בקשה שנדרשים כדי לקבל את הטוקן. מציינים את הערכים בפורמט של צמדי מפתח-ערך, כאשר Key הוא שם הפרמטר ו-Value הוא ערך הפרמטר התואם.

אם שרת האימות דורש אישור SSL, מעלים את האישור ואת המפתח הפרטי באמצעות כלי לבחירת קבצים. אם נדרש, מזינים את סיסמת המפתח הפרטי בשדה הזמין.

כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

אישור לקוח לשרת בחיבור SSL/TLS בלבד

סוג האימות אישור לקוח לשרת בחיבור SSL/TLS בלבד משתמש רק באישור SSL/TLS לאימות. מעלים את האישור הנדרש ואת המפתח הפרטי. כדי להגדיר את סוג האימות הזה, מעלים את הקבצים הבאים:
  • אישור SSL: אישור מקודד בפורמט PEM.
  • מפתח פרטי: קובץ המפתח הפרטי של האישור, מקודד בפורמט PEM.

    אם המפתח הפרטי דורש passphrase, מזינים את הסיסמה של המפתח הפרטי.

כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

חשבון שירות

סוג האימות חשבון שירות משתמש בפרטי הכניסה של חשבון השירות שלGoogle Cloud הפרויקט לצורך האימות. כדי להגדיר את סוג האימות הזה, צריך להגדיר את המאפיינים הבאים:

  • חשבון שירות: חשבון שירות (ישות מורשית) בפרויקט בענן שלכם ב-Google Cloud עם הרשאות לגשת ל-API.
  • היקפי הרשאות: היקף הרשאות הגישה שניתנו למשתמשים. אפשר לציין כמה היקפי הרשאות, מופרדים ברווח אחד (" "). למידע נוסף, אפשר לעיין במאמר היקפי הרשאות של OAuth 2.0 ל-Google APIs.

כדי לקרוא על שיטות מומלצות ליצירה ולניהול של חשבונות שירות, אפשר לעיין במאמר שיטות מומלצות לעבודה עם חשבונות שירות.

אם שרת האימות דורש אישור SSL, מעלים את האישור ואת המפתח הפרטי באמצעות כלי לבחירת קבצים. אם נדרש, מזינים את ביטוי הסיסמה של המפתח הפרטי בשדה הזמין.

כדי לדעת אילו משימות תומכות בסוג האימות הזה, אפשר לעיין במאמר תאימות של סוגי אימות למשימות.

תאימות של סוגי אימות למשימות

בטבלה הבאה מפורטים סוגי האימות והמשימות התואמות להם. אפשר להשתמש במידע הזה כדי להחליט באיזה סוג אימות להשתמש למשימה.

סוג אימות משימות וטריגרים תואמים
טוקן אימות
אסימון מזהה של Google OIDC
טוקן רשת מבוסס JSON‏ (JWT)
קוד הרשאה של OAuth 2.0
פרטי כניסה של לקוח OAuth 2.0
פרטי כניסה של סיסמה של בעל משאב OAuth 2.0
אישור לקוח לשרת בחיבור SSL/TLS בלבד
חשבון שירות

כללי אימות

אם בשילוב שלכם מוגדרים גם פרופיל OAuth 2.0 וגם חשבון שירות בניהול המשתמש, כברירת מחדל נעשה שימוש בפרופיל OAuth 2.0 לאימות. אם לא מוגדר פרופיל OAuth 2.0 ולא מוגדר חשבון שירות בניהול המשתמש, נעשה שימוש בחשבון השירות שמוגדר כברירת מחדל (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). אם המשימה לא משתמשת בחשבון השירות שמוגדר כברירת מחדל, ההרצה נכשלת.