Front-End Ihrer App einbinden

Auf dieser Seite wird beschrieben, wie Sie das Frontend Ihrer App in Cloud Marketplace einbinden, damit Ihre Kunden reibungslos vom Cloud Marketplace zu Ihrem Produkt wechseln können.

Sie müssen eine Anmelde-URL angeben, über die Nutzerkonten erstellt werden, die dann in Ihrer Webkonsole verwaltet werden. Außerdem müssen Sie eine URL angeben, über die sich Nutzer anmelden können. Optional können Sie die Einmalanmeldung (SSO) einbinden.

Frontend Ihrer Anwendung mit Producer Portal einbinden

Wenn Sie auf alle Informationen zugreifen möchten, die Sie benötigen, um das Front-End Ihrer Anwendung von einem Ort aus in Cloud Marketplace zu integrieren, können Sie den Bereich Frontend-Integration des Producer Portal verwenden.

Der Link zu Producer Portal lautet:

https://console.cloud.google.com/producer-portal?project=YOUR_PROJECT_ID

So greifen Sie auf den Abschnitt Frontend-Integration zu:

1. Klicken Sie in der Produktliste auf den Namen des Produkts.

2. Wechseln Sie auf der Seite Übersicht des Produkts zum Abschnitt Technische Einbindung und klicken Sie auf Frontend-Einbindung.

Registrierungs-URL hinzufügen

Wenn Nutzer Ihr Produkt im Cloud Marketplace kaufen, müssen Sie für sie ein Konto mit Ihrem Produkt erstellen. Dazu müssen Sie eine Anmeldeseite erstellen, um die Konten von Nutzern in Ihrem System einzurichten und zu genehmigen. Sie können die Seite als Registrierungsseite einrichten, auf der Nutzer sich für ein Konto in Ihrem System anmelden müssen, oder als Seite, auf der Konten automatisch genehmigt werden.

Nachdem du die Anmeldeseite erstellt hast, füge sie im Producer Portal hinzu:

1. Klicken Sie in der Produktliste auf den Namen des Produkts.

2. Wechseln Sie auf der Seite Übersicht des Produkts zum Abschnitt Technische Einbindung und klicken Sie auf Frontend-Einbindung.

3. Geben Sie die URL Ihrer Registrierungsseite in das Feld Registrierungs-URL ein.

Anmeldedaten des Nutzers bestätigen

Wenn ein Nutzer noch kein Konto in Ihrem System hat, muss er im Cloud Marketplace auf die Schaltfläche Über YOUR_COMPANY_NAME registrieren klicken. Wenn der Nutzer auf die Schaltfläche klickt, sendet Google Cloud eine HTTP POST-Anfrage an Ihre Anmeldeseite mit einem JSON-Web-Token (JWT) im Parameter x-gcp-marketplace-token. Das JWT enthält die Beschaffungskonto-ID des Nutzers, die ihn als Google Cloud-Nutzer identifiziert, und eine verschleierte ID, die seine Google-Konto-ID darstellt. Sie müssen sowohl die ID des Beschaffungskontos als auch die verschleierte ID verwenden, um das Google-Konto des Nutzers mit seinem Konto in Ihrem System zu verknüpfen.

Nach der JWT-Bestätigung muss auf der Registrierungsseite eine Kontogenehmigungsanfrage an die Partner Procurement API gesendet werden, wie unter Back-End-Integrationsschritte beschrieben.

Ausführliche Informationen zur JWT-Nutzlast und zur Überprüfung findest du unten unter JWT prüfen.

Wenn Sie mit JWTs noch nicht vertraut sind, lesen Sie die JWT-Einführung.

Anmelde-URL hinzufügen

Sie müssen die URL für die Anmeldeseite Ihrer App angeben.

So geben Sie die URL für die Anmeldeseite Ihrer App im Producer Portal ein:

1. Klicken Sie in der Produktliste auf den Namen des Produkts.

2. Wechseln Sie auf der Seite Übersicht des Produkts zum Abschnitt Technische Einbindung und klicken Sie auf Frontend-Einbindung.

3. Geben Sie die URL für die Anmeldeseite Ihrer App in das Feld Anmelde-URL ein.

Optional: Einmalanmeldung (SSO) für Ihre Kunden aktivieren

So aktivierst du SSO im Producer Portal:

1. Klicken Sie in der Produktliste auf den Namen des Produkts.

   1. Wechseln Sie auf der Seite Übersicht des Produkts zum Abschnitt Technische Einbindung und klicken Sie auf Frontend-Einbindung.

   2. Wählen Sie unter SSO-Anmeldung aktivieren? die Option Ja aus.

Anmeldedaten für die SSO-Anmeldung Ihrer Kunden bestätigen

Wenn sich Kunden über die SSO-Funktion in Ihrer App anmelden, sendet Google Cloud eine HTTP POST-Anfrage an die Anmeldeseite Ihrer App mit einem JSON-Web-Token (JWT) im selben Format wie das JWT, das gesendet wird, wenn sich Nutzer zum ersten Mal für Ihre App registrieren.

Ausführliche Informationen zur JWT-Nutzlast und zur Überprüfung findest du unten unter JWT prüfen.

JWT prüfen

Bei einigen Prozessen, z. B. bei der Registrierung eines neuen Kunden oder der Anmeldung eines Kunden mit SSO, wird Ihnen eine HTTP POST-Anfrage mit einem JSON Web Token (JWT) gesendet, das Sie möglicherweise bestätigen müssen.

In der folgenden Tabelle sind Folgendes aufgeführt:

• Ereignisse, bei denen eine HTTP-Anfrage mit einem JWT gesendet wird.
• Der Typ der HTTP-Anfrage.
• Ob du das JWT überprüfen musst.

Die JWT-Nutzlast

Die JWT-Nutzlast hat folgendes Format:

Header

{
  "alg": "RS256",
  "kid": "KEY_ID"
}

Wobei:

• alg ist immer RS256.
• kid gibt die Schlüssel-ID an, die zum Sichern des JWT verwendet wurde. Verwenden Sie die Schlüssel-ID, um den Schlüssel vom JSON-Objekt im Attribut iss in der Nutzlast nachzuschlagen.

Nutzlast

{
  "iss": "https://www.googleapis.com/robot/v1/metadata/x509/cloud-commerce-partner@system.gserviceaccount.com",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 5 minutes,
  "aud": "PARTNER_DOMAIN_NAME",
  "sub": "PROCUREMENT_ACCOUNT_ID",
  "google": {
    "roles": [GCP_ROLE],
    "user_identity": USER_ID
  }
}

Wobei:

• sub ist die Google-Konto-ID des Nutzers. Sie müssen diese ID verwenden, um das Google-Konto des Nutzers mit seinem Konto in Ihrem System zu verknüpfen.
• iss gibt den Absender des JWT an. Die URL in der Anfrage iss ist mit einem öffentlichen Schlüssel von Google verknüpft.
• exp gibt an, wann das Token abläuft, und wird 5 Minuten nach dem Senden des Token festgelegt.
• aud ist die Domain, in der Ihr Produkt gehostet wird, z. B. example.com.

• roles ist ein Array von Strings, die die Rollen des Nutzers darstellen. Es kann sich um Folgendes handeln:

  • account_admin, was darauf hinweist, dass der Nutzer ein Rechnungskontoadministrator (Bestelladministrator) des Rechnungskontos ist, das das Produkt gekauft hat, oder

  • project_editor, was darauf hinweist, dass der Nutzer ein Bearbeiter (Berechtigungsmanager), aber kein Abrechnungsadministrator des Projekts unter diesem Rechnungskonto ist.

• user_identity ist die verschleierte GAIA-ID des Nutzers, die zum Starten von OpenID Connect verwendet werden kann.

Nutzlast für mehrere Bestellungen desselben Produkts

Wenn Sie mehrere Bestellungen desselben Produkts aktiviert haben, enthält die Nutzlast ein zusätzliches orders-Objekt. Dazu gehört die eindeutige Bestell-ID, die der Berechtigungs-ID für jede Bestellung entspricht. Achten Sie darauf, dass die Anmeldeseite Ihrer App auf dieses neue orders-Feld reagieren kann.

{
  "iss": "https://www.googleapis.com/robot/v1/metadata/x509/cloud-commerce-partner@system.gserviceaccount.com",
  "iat": CURRENT_TIME,
  "exp": CURRENT_TIME + 5 minutes,
  "aud": "PARTNER_DOMAIN_NAME",
  "sub": "PROCUREMENT_ACCOUNT_ID",
  "google": {
    "roles": [GCP_ROLE],
    "user_identity": USER_ID,
    "orders": [ORDER_ID1, ORDER_ID2]
  }
}

Wobei:

• ORDER_ID ist eine Liste eindeutiger Bestell-IDs für jede Berechtigungs-ID, die die verschiedenen Angebote für dasselbe Produkt angibt. Dieses Feld ist nur verfügbar, wenn mehrere Bestellungen desselben Produkts aktiviert sind.

Weitere Informationen zum Aktivieren mehrerer Bestellungen desselben Produkts finden Sie im Hilfeartikel Mehrere Bestellungen desselben Produkts aktivieren.

Nutzlast prüfen

Wenn Sie das JWT erhalten, müssen Sie überprüfen, ob

1. Prüfen Sie, ob die JWT-Signatur den öffentlichen Schlüssel von Google verwendet.

2. Prüfe, ob das JWT nicht abgelaufen ist, indem du den Anspruch exp prüfst.

3. Bestätigen Sie, dass die aud-Anforderung die richtige Domain für Ihr Produkt ist.

4. Bestätigen Sie, dass die Anforderung iss https://www.googleapis.com/robot/v1/metadata/x509/cloud-commerce-partner@system.gserviceaccount.com ist.

5. Bestätigen Sie, dass sub nicht leer ist.

Google-Anmeldung mit login_hint initiieren

Wenn Sie möchten, dass Ihre Nutzer einen OAuth 2.0-Zustimmungsablauf für Ihre Website durchlaufen, können Sie die Identitätsinformationen aus der Nutzlast verwenden, um diesen Ablauf für das Google-Konto zu initialisieren, das sie vor der Weiterleitung für Google Cloud verwendet haben. Dazu geben Sie die im JWT bereitgestellte user_identity als login_hint an. Weitere Informationen finden Sie in der Dokumentation zu Google OAuth 2.0.

Nachdem der Nutzer den OAuth 2.0-Ablauf für Ihre Website abgeschlossen hat, sollten Sie prüfen, ob der OAuth-Ablauf auch tatsächlich vom erwarteten Nutzer ausgeführt wurde. Dazu verwenden Sie das OAuth 2.0-Zugriffstoken, um über die Google UserInfo API die grundlegenden Nutzerinformationen abzurufen. Dieses gibt eine ID zurück, die dem Feld user_identity aus dem JWT entsprechen sollte.

Dienstkonten für Ihre Kunden erstellen

Wenn Ihr Produkt ein Dienstkonto erfordert, können Sie mit einem Partnerentwickler zusammenarbeiten, um Folgendes zu tun:

• Dienstkonten für Ihre Kunden bereitstellen und
• Richten Sie eine Seite zur Verwaltung von Dienstkonten für Ihre Kunden ein, auf der sie den Dienstkonten die erforderlichen IAM-Rollen (Identity and Access Management) zuweisen können.

Sie müssen Ihren Kunden den Link zu dieser Seite mit dem Dienstkonto zur Verfügung stellen, normalerweise über die Verwaltungskonsole Ihres Produkts.

Dienstkonten bereitstellen

Wenden Sie sich zum Bereitstellen der Dienstkonten an Ihren Partnerentwickler und geben Sie die folgenden Informationen an:

• Dienstname: Dies ist eine eindeutige Produkt-ID, die Ihr Produkt von anderen Produkten unterscheidet. Wir empfehlen die Verwendung des Dienstnamens, den Sie beim Einrichten Ihres Produkts erstellt haben.

• Projekt-ID: Die ID des Projekts, in dem Sie die Dienstkonten erstellen, die auf die Ressourcen Ihrer Kunden zugreifen. Sie müssen alle Dienstkonten, die Ihr Produkt verwendet, in einem einzigen Projekt erstellen.

• IAM-Rollen und -Gründe: Die für die Dienstkonten erforderlichen IAM-Rollen und der Grund für die erforderliche Rolle. Diese Informationen werden Ihrem Kunden mitgeteilt und können sich darauf auswirken, ob Ihr Kunde Zugriff auf das Dienstkonto gewährt.

Wenn Ihr Kunde zu Ihrer Website zurückkehren soll, nachdem er Zugriff auf das Dienstkonto gewährt hat, senden Sie den Domainnamen Ihrer Konsole an Ihren Partnerentwickler. Sie können mehrere Domainnamen senden, einschließlich Subdomains, z. B. staging.example.com.

Seite zur Verwaltung von Dienstkonten in die Konsole Ihres Produkts einbinden

Der Partnerentwickler erstellt eine Seite zur Verwaltung von Dienstkonten, auf der Ihre Kunden Zugriff auf die Dienstkonten gewähren können. Anschließend verweisen Sie über die Konsole auf die Seite.

Wenn Ihr Partnerentwickler Ihnen mitgeteilt hat, dass die Seite für die Verwaltung des Dienstkontos bereit ist, fügen Sie der URL Parameter hinzu und verknüpfen Sie die Seite dann über Ihre Konsole mit der Seite.

Der URL müssen zwei Parameter hinzugefügt werden:

• service-name: Dies ist der Dienstname, den Sie Ihrem Partnerentwickler angegeben haben.

• service-account-email: Dies ist die E-Mail-Adresse des Dienstkontos, das Sie für Ihren Kunden erstellt haben. Jeder Kunde hat ein eindeutiges Dienstkonto.

Das folgende Beispiel zeigt eine URL mit den erforderlichen Parametern:

https://console.cloud.google.com/marketplace-saas/service-account/service-name/service-account-email

Sie können je nach den Anforderungen Ihrer Kunden zusätzliche Parameter hinzufügen. Beispiel:

https://console.google.com/marketplace-saas/service-account/service-name/service-account-email;single=true;redirect=https%3A%2F%2Fexample.com

Die Parameter in der URL geben an, dass Ihr Produkt Zugriff auf ein einzelnes Google Cloud-Projekt benötigt und dass der Kunde zu Ihrer Konsole zurückkehren kann.

Liste der URL-Parameter

Im Folgenden finden Sie eine Liste der URL-Parameter, die Sie an die Seite zur Verwaltung des Dienstkontos senden können: