Como criar clientes OAuth personalizados para o IAP

Nesta página, descrevemos como criar um cliente OAuth ao usar a configuração OAuth personalizada para ativar o IAP com identidades do Google.

Se você quiser usar um cliente OAuth gerenciado pelo Google para ativar o IAP, consulte Ativar o IAP usando um cliente OAuth gerenciado pelo Google.

Criar um cliente OAuth

É possível criar no máximo 36 clientes OAuth para cada projeto com o consoleGoogle Cloud . É possível criar no máximo 500 clientes OAuth para cada projeto com a Google Cloud CLI.

Console

Conclua as etapas a seguir para criar um cliente OAuth usando o consoleGoogle Cloud .

  1. Siga as instruções em Como configurar a tela de permissão OAuth.

  2. Crie um cliente OAuth seguindo as instruções em Como configurar o OAuth 2.0.

gcloud

Limitações conhecidas

Confira abaixo as limitações para clientes OAuth criados de maneira programática usando a API:

  • Os clientes OAuth criados pela API só podem ser modificados usando a API. Se você criá-lo usando a API, não será possível modificar um cliente OAuth usando o console Google Cloud .
  • Os clientes OAuth criados pela API são bloqueados para uso exclusivo do IAP e, portanto, a API não permite atualizações no URI de redirecionamento ou em outros atributos.
  • A API não opera nos clientes OAuth criados usando o console Google Cloud .
  • Apenas 500 clientes OAuth são permitidos por projeto ao usar a API.
  • As marcas da tela de consentimento OAuth criadas pela API têm limitações específicas. Consulte a seção para mais informações.

Como entender as marcas e o estado da marca

A tela de consentimento OAuth, que contém informações de marca para os usuários, é conhecida como marca. As marcas podem ser limitadas a usuários internos ou públicos. Uma marca interna torna o fluxo OAuth acessível para alguém que pertença à mesma organização do espaço de trabalho do Google que o projeto. Uma marca pública disponibiliza o fluxo OAuth para qualquer pessoa na Internet.

As marcas podem ser criadas manualmente ou de maneira programática usando uma API. As marcas criadas usando uma API são configuradas automaticamente com as seguintes configurações:

  • Interno. É necessário definir manualmente como público.

  • Sem avaliação. Você precisa acionar uma revisão de marca.

Para definir uma marca interna como pública:

  1. Abra a tela de consentimento do OAuth.
  2. Selecione um projeto no menu suspenso.
  3. Na página tela de consentimento do OAuth, observe que o Tipo de usuário é definido automaticamente como Interno. Para defini-lo como Público, clique em Editar aplicativo. Mais opções de configuração estão disponíveis.
  4. Em tipo de aplicativo, clique em Público.

Para acionar uma revisão de marca para uma marca criada pela API sem revisão:

  1. Abra a tela de consentimento do OAuth.
  2. Selecione um projeto no menu suspenso.
  3. Na página Tela de consentimento do OAuth, insira as informações necessárias e clique em Enviar para verificação.

O processo de verificação pode levar algumas semanas. Enviaremos atualizações do progresso por e-mail. Saiba mais sobre a verificação. Enquanto o processo de verificação estiver em andamento, você ainda poderá usar o aplicativo na sua organização do Google Workspace. Saiba mais sobre como seu aplicativo se comportará antes de ser verificado.

Permissões necessárias

Antes de criar o cliente, verifique se o autor da chamada recebeu as seguintes permissões:

  • clientauthconfig.brands.list
  • clientauthconfig.brands.create
  • clientauthconfig.brands.get
  • clientauthconfig.clients.create
  • clientauthconfig.clients.listWithSecrets
  • clientauthconfig.clients.getWithSecret
  • clientauthconfig.clients.delete
  • clientauthconfig.clients.update

Essas permissões estão incluídas nos papéis básicos de editor (roles/editor) e de proprietário (roles/owner). No entanto, em vez de usar esses papéis, recomendamos que você crie um papel personalizado que contenha essas permissões e o conceda ao autor da chamada.

Configurar o OAuth para IAP

Veja nas etapas a seguir como configurar a tela de consentimento e criar um cliente oauth para IAP.

  1. Verifique se você já tem uma marca usando o comando list. É possível ter apenas uma marca por projeto.

    gcloud iap oauth-brands list

    Veja um exemplo de resposta do gcloud, se a marca existir:

    name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true

  2. Se não houver marca, use o comando create:

    gcloud iap oauth-brands create --application_title=APPLICATION_TITLE --support_email=SUPPORT_EMAIL

    Os campos acima são obrigatórios ao chamar esta API:

    • supportEmail: o e-mail de suporte exibido na tela de consentimento do OAuth. Esse endereço de e-mail pode ser um endereço de usuário ou um alias dos Grupos do Google. Embora as contas de serviço também tenham um endereço de e-mail, elas não são endereços de e-mail válidos e não podem ser usadas ao criar uma marca. No entanto, uma conta de serviço pode ser a proprietária de um Grupo do Google. Crie um novo Grupo do Google ou configure um grupo existente e defina a conta de serviço desejada como proprietário do grupo.

    • applicationTitle: o nome do aplicativo exibido na tela de consentimento do OAuth.

    A resposta contém os seguintes campos:

    name: projects/[PROJECT_NUMBER]/brands/[BRAND_ID]
applicationTitle: [APPLICATION_TITLE]
supportEmail: [SUPPORT_EMAIL]
orgInternalOnly: true

Como criar um cliente OAuth do IAP

  1. Use o comando create para criar um cliente. Use a marca name da etapa anterior.

    gcloud iap oauth-clients create projects/PROJECT_NUMBER/brands/BRAND-ID --display_name=NAME

    A resposta contém os seguintes campos:

    name: projects/[PROJECT_NUMBER]/brands/[BRAND_NAME]/identityAwareProxyClients/[CLIENT_ID]
secret: [CLIENT_SECRET]
displayName: [NAME]