Cette page présente l'intégration d'applications OAuth dans Google Cloud.

Vous pouvez utiliser l'intégration d'applications OAuth pour intégrer vos applications basées sur OAuth à Google Cloud. Les utilisateurs fédérés peuvent utiliser leur fournisseur d'identité (IdP) pour se connecter aux applications et accéder à leurs Google Cloud produits et données. L'intégration d'applications OAuth est une fonctionnalité de la fédération des identités des employés.

Pour utiliser l'intégration d'applications OAuth, vous devez d'abord créer un pool d'identités des employés et un fournisseur. Vous pouvez ensuite enregistrer l'application basée sur OAuth à l'aide d'OAuth 2.0. Les applications doivent être enregistrées dans l'organisation où votre pool d'identités d'employés et votre fournisseur sont configurés.

Enregistrement d'une application OAuth

Pour configurer une application afin qu'elle puisse accéder à Google Cloud, vous devez vous enregistrer auprès de Google Cloud en créant des identifiants client OAuth. Les identifiants contiennent un code secret client. L'application utilise le jeton d'accès pour accéder aux produits et aux données Google Cloud .

Risques et solutions pour la sécurité des clients OAuth et des identifiants

Vous devez sécuriser l'accès aux API IAM, ainsi qu'à l'ID et au code secret client. Si l'ID client et le code secret sont divulgués, des problèmes de sécurité peuvent survenir. Notamment :

• Usurpation d'identité : un utilisateur malveillant disposant de votre ID client et de votre code secret peut créer une application qui se fait passer pour votre application légitime. Il peut ensuite effectuer les opérations suivantes :

  • Obtenir un accès non autorisé aux données utilisateur et aux autorisations auxquelles votre application a droit
  • Effectuer des actions au nom de l'utilisateur, comme publier du contenu, effectuer des appels d'API ou modifier les paramètres utilisateur
  • Effectuer des attaques par hameçonnage, dans lesquelles l'utilisateur malveillant crée une fausse page de connexion ressemblant au fournisseur OAuth. La page peut ensuite inciter les utilisateurs à saisir leurs identifiants, ce qui les transmet à l'utilisateur malveillant, qui peut ensuite accéder à leurs comptes.

• Atteinte à la réputation : une faille de sécurité peut nuire à la réputation de votre application et de votre organisation, ce qui peut entraîner une perte de confiance de la part des utilisateurs.

En cas de faille, pour atténuer ces risques et d'autres, évaluez la nature de la faille et procédez comme suit :

• Assurez-vous que seuls les utilisateurs approuvés ont accès IAM au client OAuth et à l'API d'identifiants.

• Remplacez immédiatement le code secret du client en remplaçant les identifiants du client, comme suit :

  1. Créez des identifiants client pour le client OAuth.
  2. Désactivez les anciens identifiants client.
  3. Supprimez l'ancien identifiant client.

Étape suivante

• Découvrez comment gérer les applications OAuth.