Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat klien OAuth kustom untuk IAP

Halaman ini menjelaskan cara membuat klien OAuth saat menggunakan konfigurasi OAuth yang disesuaikan untuk mengaktifkan IAP dengan identitas Google.

Jika Anda ingin menggunakan klien OAuth yang dikelola Google untuk mengaktifkan IAP, lihat Mengaktifkan IAP menggunakan klien OAuth yang dikelola Google.

Buat klien OAuth

Anda dapat membuat maksimum 36 klien OAuth untuk setiap project dengan Google Cloud konsol. Anda dapat membuat maksimum 500 klien OAuth untuk setiap project dengan Google Cloud CLI.

Konsol

Selesaikan langkah-langkah berikut untuk membuat klien OAuth menggunakan konsolGoogle Cloud .

Konfigurasi layar izin OAuth dengan mengikuti petunjuk di Menyiapkan layar izin OAuth.
Buat klien OAuth dengan mengikuti petunjuk di Menyiapkan OAuth 2.0.

gcloud

Batasan umum

Berikut adalah batasan untuk klien OAuth yang dibuat secara terprogram menggunakan API:

Klien OAuth yang dibuat oleh API hanya dapat diubah menggunakan API. Anda tidak dapat mengubah klien OAuth menggunakan konsol Google Cloud jika klien tersebut dibuat menggunakan API.
Klien OAuth yang dibuat oleh API hanya dikunci untuk penggunaan IAP, dan oleh karena itu, API tidak mengizinkan pembaruan apa pun pada URI pengalihan atau atribut lainnya.
API tidak beroperasi pada klien OAuth yang dibuat menggunakan konsol Google Cloud .
Hanya 500 klien OAuth yang diizinkan per project saat menggunakan API.
Merek layar izin OAuth yang dibuat API memiliki batasan tertentu. Lihat bagian untuk mengetahui informasi selengkapnya.

Memahami merek dan status branding

Layar izin OAuth, yang berisi informasi branding untuk pengguna, dikenal sebagai brand. Merek dapat dibatasi untuk pengguna internal atau pengguna publik. Merek internal membuat alur OAuth dapat diakses oleh seseorang yang tergabung dalam organisasi Google Workspace yang sama dengan project. Merek publik membuat alur OAuth tersedia bagi siapa saja di internet.

Merek dapat dibuat secara manual atau terprogram menggunakan API. Merek yang dibuat menggunakan API dikonfigurasi secara otomatis dengan setelan berikut:

Internal. Anda harus menyetelnya ke publik secara manual.
Belum ditinjau. Anda harus memicu peninjauan merek.

Untuk menyetel merek internal menjadi publik:

Buka layar izin OAuth.
Pilih project dari menu drop-down.
Di halaman Layar izin OAuth, perhatikan bahwa Jenis Pengguna otomatis disetel ke Internal. Untuk menyetelnya ke Publik, klik Edit Aplikasi. Opsi konfigurasi lainnya akan tersedia.
Di bagian Jenis aplikasi, klik Publik.

Untuk memicu peninjauan merek bagi merek yang dibuat API dan belum ditinjau:

Buka layar izin OAuth.
Pilih project dari menu drop-down.
Di halaman Layar izin OAuth, masukkan informasi yang diperlukan, lalu klik Kirim untuk verifikasi.

Proses verifikasi mungkin membutuhkan waktu hingga beberapa minggu, dan Anda akan menerima informasi progresnya melalui email. Pelajari lebih lanjut verifikasi. Selama proses verifikasi berlangsung, Anda tetap dapat menggunakan aplikasi dalam organisasi Google Workspace Anda. Pelajari lebih lanjut perilaku aplikasi Anda sebelum diverifikasi.

Izin yang diperlukan

Sebelum membuat klien, pastikan pemanggil telah diberi izin berikut:

clientauthconfig.brands.list
clientauthconfig.brands.create
clientauthconfig.brands.get
clientauthconfig.clients.create
clientauthconfig.clients.listWithSecrets
clientauthconfig.clients.getWithSecret
clientauthconfig.clients.delete
clientauthconfig.clients.update

Izin ini disertakan dalam peran dasar Editor (roles/editor) dan Pemilik (roles/owner), tetapi sebaiknya buat peran khusus yang berisi izin ini dan berikan kepada pemanggil.

Menyiapkan OAuth untuk IAP

Langkah-langkah berikut menjelaskan cara mengonfigurasi layar izin serta membuat dan klien oauth untuk IAP.

Mengonfigurasi layar izin

Periksa apakah Anda sudah memiliki merek yang ada dengan menggunakan perintah list. Anda hanya boleh memiliki satu merek per project.
```
gcloud iap oauth-brands list
```
Berikut adalah contoh respons gcloud, jika merek tersebut ada:
```
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true
```
Catatan: Jika merek sudah ada untuk project dan telah dikonfigurasi untuk pengguna eksternal (orgInternalOnly: false), tetapi Anda ingin membatasinya untuk pengguna internal, Anda harus melakukan perubahan tersebut secara manual dari layar izin OAuth untuk membuat klien OAuth dengan API ini.
Jika tidak ada merek, gunakan perintah create:
```
gcloud iap oauth-brands create --application_title=APPLICATION_TITLE --support_email=SUPPORT_EMAIL
```
Kolom di atas diperlukan saat memanggil API ini:
- supportEmail: Email dukungan yang ditampilkan di layar izin OAuth. Alamat email ini dapat berupa alamat pengguna atau alias Google Grup. Meskipun akun layanan juga memiliki alamat email, alamat tersebut bukan alamat email yang valid, dan tidak dapat digunakan saat membuat merek. Namun, akun layanan dapat menjadi pemilik Grup Google. Buat Grup Google baru atau konfigurasikan grup yang ada dan tetapkan akun layanan yang diinginkan sebagai pemilik grup.
  
  Catatan: Pengguna yang mengajukan permintaan harus merupakan pemilik alamat email dukungan yang ditentukan.
- applicationTitle: Nama aplikasi yang ditampilkan di layar izin OAuth.
Respons berisi kolom berikut:
```
name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true
```

Membuat Klien OAuth IAP

Gunakan perintah create untuk membuat klien. Gunakan merek name dari langkah sebelumnya.

gcloud iap oauth-clients create projects/PROJECT_NUMBER/brands/BRAND-ID --display_name=NAME

Respons berisi kolom berikut:

name: projects/[PROJECT_NUMBER]/brands/[BRAND_NAME]/identityAwareProxyClients/[CLIENT_ID]
secret: [CLIENT_SECRET]
displayName: [NAME]