Habilitar el acceso basado en certificados en aplicaciones cliente

En esta página se describe cómo habilitar el acceso basado en certificados (CBA) en tus aplicaciones cliente para llamar a las APIs de Google mediante bibliotecas o herramientas compatibles.

Para habilitar la autenticación basada en certificados y permitir que las APIs de Google identifiquen un dispositivo, el cliente de la llamada debe establecer conexiones mTLS con las APIs de Google y, a continuación, descubrir los certificados TLS del dispositivo. Este proceso se ilustra en el siguiente diagrama:

Flujo de conexión de clientes

Clientes compatibles con CBA

Puedes usar CBA con los siguientes clientes:

  • Google Cloud console (Chrome)
  • Google Cloud CLI versión 264.0.0 o posterior
  • Versión 1.3.6 o posterior de la CLI de Terraform
  • Bibliotecas de cliente de APIs de Google
    • Python
    • Golang

Habilitar la autenticación basada en certificados para gcloud CLI

  1. Pide a tus usuarios que instalen o actualicen la CLI de gcloud para asegurarse de que tienen una versión que funciona con la autenticación basada en certificados, la versión 264.0.0 o una posterior.

    Los usuarios que tengan instalada la CLI de Google Cloud pueden confirmar que tienen la versión 264.0.0 o una posterior con el siguiente comando:

    gcloud --version

    Si es necesario, los usuarios pueden actualizar su versión de la CLI de Google Cloud con el siguiente comando:

    gcloud components

  2. Para empezar a usar la autenticación basada en certificados, los usuarios deben ejecutar el siguiente comando:

    gcloud config set context_aware/use_client_certificate true

Habilitar la autenticación basada en certificados para la CLI de Terraform y las bibliotecas de cliente de la API de Google

  1. Para habilitar la CBA en la CLI de Terraform y en las bibliotecas de cliente de las APIs de Google, los usuarios deben definir la siguiente variable de entorno:

    export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Habilitar la autenticación basada en certificados para IAP Desktop

Para habilitar el acceso basado en certificados en IAP Desktop, haz lo siguiente:

  1. En la aplicación, selecciona Herramientas > Opciones.
  2. Selecciona Proteger las conexiones a Google Cloud mediante el acceso basado en certificados.
  3. Haz clic en Aceptar.
  4. Cierra IAP Desktop y vuelve a iniciarlo.

Si usas Active Directory, también puedes configurar un objeto de directiva de grupo para habilitar automáticamente el acceso basado en certificados para tus usuarios.