Membuat klien OAuth secara terprogram untuk IAP

Halaman ini menjelaskan cara membuat klien OAuth secara terprogram untuk digunakan dengan IAP, sehingga Anda dapat menyiapkan IAP secara menyeluruh secara terprogram untuk aplikasi internal.

Batasan umum

Ada beberapa batasan untuk klien OAuth yang dibuat secara terprogram menggunakan API ini:

Klien OAuth yang dibuat oleh API hanya dapat diubah dengan menggunakan API. Anda tidak dapat mengubah klien OAuth melalui konsol Google Cloud jika dibuat menggunakan API.
Klien OAuth yang dibuat oleh API dikunci hanya untuk penggunaan IAP, dan karenanya API tidak mengizinkan pembaruan apa pun pada URI pengalihan atau atribut lainnya.
API tidak beroperasi pada klien OAuth yang dibuat menggunakan konsol Google Cloud .
Hanya 500 klien OAuth yang diizinkan per project saat menggunakan API.
Merek layar izin OAuth yang dibuat API memiliki batasan tertentu. Lihat bagian di bawah untuk mengetahui informasi selengkapnya.

Memahami brand dan status branding

Layar izin OAuth, yang berisi informasi branding untuk pengguna, dikenal sebagai brand. Merek dapat dibatasi untuk pengguna internal atau pengguna publik. Merek internal membuat alur OAuth dapat diakses oleh seseorang yang termasuk dalam organisasi Google Workspace yang sama dengan project. Merek publik menyediakan alur OAuth bagi siapa saja di internet.

Merek dapat dibuat secara manual atau terprogram melalui API. Merek yang dibuat API otomatis dikonfigurasi dengan setelan yang berbeda:

Setelan ini ditetapkan ke internal dan harus ditetapkan secara manual ke publik jika diinginkan
Video tersebut ditetapkan ke status "belum ditinjau" dan peninjauan merek harus dipicu

Untuk menetapkan merek internal ke publik secara manual:

Buka OAuth consent screen.
Pilih project yang diinginkan dari menu drop-down.
Di halaman OAuth consent screen, perhatikan bahwa User Type otomatis ditetapkan ke Internal. Untuk menyetelnya ke Publik, klik Edit Aplikasi. Opsi konfigurasi lainnya akan tersedia.
Di bagian Jenis aplikasi, klik Publik.

Untuk memicu peninjauan merek untuk merek yang dibuat API yang belum ditinjau:

Buka OAuth consent screen.
Pilih project yang diinginkan dari menu drop-down.
Di halaman OAuth consent screen, masukkan informasi yang diperlukan, lalu klik Submit for verification.

Proses verifikasi mungkin memerlukan waktu hingga beberapa minggu, dan Anda akan menerima informasi progresnya melalui email. Pelajari lebih lanjut verifikasi. Saat proses verifikasi sedang berlangsung, Anda tetap dapat menggunakan aplikasi dalam organisasi Google Workspace. Pelajari lebih lanjut perilaku aplikasi Anda sebelum diverifikasi.

Sebelum memulai

Sebelum Anda dapat membuat klien, pastikan terlebih dahulu bahwa pemanggil telah diberi izin berikut:

clientauthconfig.brands.list
clientauthconfig.brands.create
clientauthconfig.brands.get
clientauthconfig.clients.create
clientauthconfig.clients.listWithSecrets (Hanya diperlukan untuk mencantumkan klien OAuth dengan secret.)
clientauthconfig.clients.getWithSecret
clientauthconfig.clients.delete
clientauthconfig.clients.update

Izin ini disertakan dalam peran dasar Editor (roles/editor) dan Pemilik (roles/owner), tetapi sebaiknya Anda membuat peran khusus yang berisi izin ini dan memberikannya kepada pemanggil.

Menyiapkan OAuth untuk IAP

Langkah-langkah berikut menjelaskan cara mengonfigurasi layar izin dan membuat serta klien oauth untuk IAP.

Configuring consent screen

Check if you already have an existing brand by using the list command. You may only have one brand per project.
```
gcloud iap oauth-brands list
```
The following is an example gcloud response, if the brand exists:
```
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true
```
Note: If a brand already exists for a project and has been configured for external users (orgInternalOnly: false), but you want to restrict it to internal users, you must make that change manually from the OAuth consent screen in order to create OAuth clients with this API.
If no brand exists, use the create command:
```
gcloud iap oauth-brands create --application_title=APPLICATION_TITLE --support_email=SUPPORT_EMAIL
```
The above fields are required when calling this API:
- supportEmail: The support email displayed on the OAuth consent screen. This email address can either be a user's address or a Google Groups alias. While service accounts also have an email address, they are not actual valid email addresses, and cannot be used when creating a brand. However, a service account can be the owner of a Google Group. Either create a new Google Group or configure an existing group and set the desired service account as an owner of the group.
  
  Note: The user issuing the request must be an owner of the specified support email address.
- applicationTitle: The application name displayed on OAuth consent screen.
The response contains the following fields:
```
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true
```

Creating an IAP OAuth Client

Use the create command to create a client. Use the brand name from previous step.

gcloud iap oauth-clients create projects/PROJECT_NUMBER/brands/BRAND-ID --display_name=NAME

The response contains the following fields:

name: projects/[PROJECT_NUMBER]/brands/[BRAND_NAME]/identityAwareProxyClients/[CLIENT_ID]
secret: [CLIENT_SECRET]
displayName: [NAME]

Gunakan client ID (client_id dalam contoh di atas) dan secret untuk mengaktifkan IAP. Lihat topik berikut untuk mengetahui informasi selengkapnya tentang cara mengaktifkan IAP menggunakan kredensial yang baru saja Anda buat: