Esta página oferece uma visão geral da integração de aplicativos OAuth no Google Cloud.

Você pode usar a integração de aplicativos OAuth para integrar os aplicativos baseados em OAuth ao Google Cloud. Os usuários federados podem usar o provedor de identidade (IdP) para fazer login nos aplicativos e acessar os dados e os produtos do Google Cloud. A integração de aplicativos OAuth é um recurso da federação de identidade de colaboradores.

Para usar a integração de aplicativos OAuth, crie primeiro um pool de identidade e um provedor de colaboradores. Em seguida, registre o aplicativo baseado em OAuth usando o OAuth 2.0. Os aplicativos precisam estar registrados na organização em que o pool de identidade e o provedor de colaboradores estão configurados.

Registro de aplicativos OAuth

Para configurar um aplicativo para acessar o Google Cloud, registre o aplicativo no Google Cloud criando credenciais do cliente OAuth. A credencial contém uma chave secreta do cliente. O aplicativo usa o token de acesso para acessar os produtos e os dados do Google Cloud.

Riscos e mitigações de segurança de cliente OAuth e credenciais

É necessário garantir o acesso às APIs do IAM e ao ID e à chave secreta do cliente. Se o ID e a chave secreta do cliente forem divulgados, isso pode causar problemas de segurança. Esses problemas incluem:

• Falsificação de identidade: um usuário malicioso com seu ID e a chave secreta do cliente pode criar um aplicativo que se disfarça de aplicativo legítimo. Em seguida, ele pode fazer o seguinte:

  • Ter acesso não autorizado aos dados e às permissões do usuário a que o aplicativo tem direito.
  • Realizar ações em nome do usuário, como postar conteúdo, fazer chamadas de API ou modificar as configurações do usuário.
  • Realizar ataques de phishing, em que o usuário malicioso cria uma página de login falsa semelhante ao provedor OAuth. A página pode enganar os usuários a entrarem com as credenciais, fornecedo-as ao usuário malicioso, que pode acessar as contas.

• Dano à reputação: uma violação de segurança pode prejudicar a reputação do aplicativo e da organização, fazendo com que os usuários percam a confiança.

Em caso de violação, para atenuar esses e outros riscos, avalie a natureza da violação e faça o seguinte:

• Garanta que apenas usuários confiáveis tenham o acesso do IAM à API de credenciais e ao cliente OAuth.

• Altere a chave secreta do cliente imediatamente, alternando a credencial do cliente, da seguinte maneira:

  1. Crie uma nova credencial de cliente para o cliente OAuth.
  2. Desative a credencial de cliente antiga.
  3. Exclua a credencial do cliente antiga.

A seguir

• Saiba como gerenciar aplicativos OAuth.