Apigee Edge belgelerini görüntülüyorsunuz.
.
Git:
Apigee X belgeleri. bilgi
Sürüm: 1.3.1
Belirttiğiniz Google API'lerine erişim için Google ile kimlik doğrulayın.
Google Cloud hizmetleri için bir jeton (OAuth veya JWT) almak için bu uzantıyı kullanın. Ardından, ServiceReference politikası gibi yollarla Google API'ye yapılacak sonraki çağrılarda da bu jetonu kullanın.
Örneğin, bir API proxy'sinde bu uzantıya sahip bir jeton alabilir, PopulateCache politikasını kullanarak jetonu önbelleğe alabilir, ardından Google Cloud hizmetlerine bir API proxy akışı içinden erişmek için jetonu ServiceReference politikası aracılığıyla iletebilirsiniz.
Ön koşullar
Bu içerik, bu uzantının yapılandırılması ve kullanılması için referans sağlamaktadır. ExtensionDescription politikası aracılığıyla bir API proxy'sinden uzantıyı kullanmadan önce şunları yapmanız gerekir:
Uzantının kullanacağı hesabın (kimlik bilgileri için kullanacağınız hizmet hesabının temsil ettiği hesap), uzantının kimliğini doğrulayan Google Cloud hizmetlerine erişebildiğinden emin olun.
Google Cloud Console'u kullanarak hizmet hesabı için bir anahtar oluşturun.
Yapılandırma referansını kullanarak uzantıyı ekleyip yapılandırırken sonuçta ortaya çıkan hizmet hesabı anahtarı JSON dosyasının içeriğini kullanın.
Google Cloud ile kimlik doğrulama hakkında
Bu uzantı, Google Cloud projenizde tanımlı belirli bir üyeyi temsil ederek Google Cloud'dan kimlik doğrulama ister. Bu uzantıyı yapılandırırken ilgili proje üyesinin hizmet hesabı JSON dosyasını kullanırsınız.
Sonuç olarak, bu uzantı yalnızca ilgili üyenin izne sahip olduğu kaynaklara erişebilecek. Başka bir deyişle, bu uzantıyla başarılı kimlik doğrulama, Google Cloud Console'da verilen izinler ile uzantı tarafından çalışma zamanında istenen erişim (kapsamlar veya kitle üzerinden) arasındaki eşleşmeye bağlıdır.
Genel olarak, bu uzantıdan API'lere erişim için kimlik doğrulaması yaparken izleyeceğiniz adımlar aşağıdaki gibi olacaktır:
Bu uzantının temsil ettiği üye hizmet hesabının, erişmek istediğiniz Google kaynağına erişebildiğinden emin olun. Bu uzantının temsil ettiği proje üyesine roller vermek için Google Cloud Console'daki Cloud Identity and Access Management (Cloud IAM) sayfasını kullanabilirsiniz.
Bu uzantıyı yapılandırırken üyenin hizmet hesabı anahtarı JSON dosyasını kullanın.
Bu uzantıyı kullanacak şekilde bir ExtensionCall politikası yapılandırırken yalnızca proje üyenizin erişiminin olduğu kaynaklar için kimlik doğrulama isteyin.
Örnekler
Aşağıdaki örneklerde, ExtensionDescription politikası kullanılarak Google Cloud ile kimlik doğrulamanın nasıl yapılacağı gösterilmektedir.
Erişim jetonu alma
Aşağıdaki örnekte uzantının getOauth2AccessToken
işlemi Cloud Translation API'ye yapılan isteklerde kullanılacak bir jeton alır.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ConnectorCallout async="false" continueOnError="true" enabled="true" name="Get-Access-Token">
<DisplayName>Get Access Token</DisplayName>
<Connector>google-auth</Connector>
<Action>getOauth2AccessToken</Action>
<Input><![CDATA[{
"scope" : [
"https://www.googleapis.com/auth/cloud-translation"
]
}]]></Input>
<Output>google.credentials</Output>
</ConnectorCallout>
Yanıt değeri şöyle görünür:
{
"access_token":"ya29.c.ElpSB...BMgkALBJ0kou-8",
"token_type":"Bearer",
"expiresInSec": 3600
}
Aşağıdaki AssignmentMessage politikası, yukarıdaki ExtensionDescription politikasından yanıt değerini alır ve yanıt yüküne kopyalar. Bu işlem, hata ayıklama sırasında faydalı olabilir. Asıl pratikte, jetonu müşteriye geri vermek istemeyebilirsiniz.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<AssignMessage async="false" continueOnError="false" enabled="true" name="Retrieve-Auth-Token">
<DisplayName>Retrieve Auth Token</DisplayName>
<AssignTo type="response" createNew="false"/>
<Set>
<Payload contentType="application/json">{google.credentials.access_token}</Payload>
</Set>
</AssignMessage>
Erişim jetonunu önbelleğe alma
Jeton almak üzere gereksiz çağrılar yapmaktan kaçınmak için aldığınız jetonu önbelleğe almayı düşünebilirsiniz. Jeton gerektiren sonraki çağrılarda, jetonu Apigee Edge önbelleğinden almak yeni bir jeton almaya göre daha hızlı olacaktır. Önbelleğe alınan jetonun süresi dolduğunda, yeni bir jeton alın ve bu jetonla önbelleği yenileyin.
Örnek bir API proxy'sinden alınan aşağıdaki kod, Google Translation API'yi bir ServiceCallout politikasıyla çağırmak için önbelleğe alınmış jetonun nasıl ayarlanacağını ve kullanılacağını göstermektedir. Buradaki her kod örneği, akıştaki farklı bir politikaya yöneliktir.
Aşağıdaki politikalar, şu akış XML'inde açıklanan sırayla yürütülür:
<Request>
<!-- Attempt to get a token from the cache. -->
<Step>
<Name>Get-Cached-Auth-Token</Name>
</Step>
<!-- Only execute the following ExtensionCallout policy if the call to the
cache couldn't retrieve a cached token. -->
<Step>
<Name>Google-Auth-Callout</Name>
<Condition>lookupcache.Get-Cached-Auth-Token.cachehit is false</Condition>
</Step>
<!-- Only execute the following PopulateCache policy if the call to the
cache couldn't retrieve a cached token. -->
<Step>
<Name>Cache-Auth-Token</Name>
<Condition>lookupcache.Get-Cached-Auth-Token.cachehit is false</Condition>
</Step>
<!-- Use the ServiceCallout policy to call the translate API. -->
<Step>
<Name>Translate-Text</Name>
</Step>
</Request>
Aşağıdaki LookupCache politikası, önbellekten jeton almaya çalışır. Jeton önceden alınmış ve önbelleğe alınmışsa bu politika, jetonu API proxy'si tarafından kullanılmak üzere alır.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <LookupCache async="false" continueOnError="false" enabled="true" name="Get-Cached-Auth-Token"> <DisplayName>Get Cached Auth Token</DisplayName> <!-- Give cache key and scope to specify the entry for the cached token. --> <CacheKey> <Prefix/> <KeyFragment>gcp_translate_token_</KeyFragment> </CacheKey> <Scope>Exclusive</Scope> <!-- Assign the retrieved token (if any) to a variable, where it can be retrieved by policies. --> <AssignTo>cloud.translation.auth.token</AssignTo> </LookupCache>
Önbellek araması önbelleğe alınan bir jetonu almazsa aşağıdaki ExtensionDescription politikası, jetonun kapsamı olarak Google Cloud Translation API'yi belirten yeni bir OAuth jetonu alır.
Google-Auth-Callout
uzantısını yapılandırırken kullanılan hizmet hesabı kimlik bilgileri API'ye erişimi olan bir proje üyesini temsil ediyorsa Google Cloud geçerli bir jeton döndürür.<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <ConnectorCallout async="false" continueOnError="true" enabled="true" name="Google-Auth-Callout"> <DisplayName>Google-Auth-Callout</DisplayName> <Connector>example-auth-extension</Connector> <Action>getOauth2AccessToken</Action> <Input><![CDATA[{ "scope" : ["https://www.googleapis.com/auth/cloud-translation"] }]]></Input> <Output parsed="false">cloud.translation.auth.token</Output> </ConnectorCallout>
ExtensionÇağrı politikası yeni bir jeton aldıktan sonra, PopulateCache politikası bu jetonu daha sonra API proxy'sindeki politikalar tarafından kullanılmak üzere önbelleğe alır.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <PopulateCache async="false" continueOnError="false" enabled="true" name="Cache-Auth-Token"> <DisplayName>Cache Auth Token</DisplayName> <Properties/> <!-- Set cache key information to specify a unique key for this entry. --> <CacheKey> <Prefix/> <KeyFragment>gcp_translate_token_</KeyFragment> </CacheKey> <Scope>Exclusive</Scope> <ExpirySettings> <TimeoutInSec>5</TimeoutInSec> </ExpirySettings> <!-- Get the token to cache from the variable where the ExtensionCallout put it. --> <Source>cloud.translation.auth.token</Source> </PopulateCache>
İşlemler
getOauth2AccessToken
OAuth 2.0 erişim jetonu alır. Google API'leri OAuth jetonu gerektirdiğinde API proxy'niz ve Google API'leri arasında iki aşamalı OAuth'u desteklemek için bu işlemi kullanın.
İki aşamalı OAuth'ta bu uzantı işlemi, bir hizmet hesabı JSON'ı kullanarak Google ile kimlik doğrulayarak bir OAuth jetonu alır (bu uzantıyı yapılandırdığınızda JSON'u eklersiniz). Bu işlem OAuth jetonunu aldıktan sonra, API proxy'niz bu jetonu kullanarak Google API'lerine çağrı yapabilir ve Google hizmet hesabı adına API'leri etkili bir şekilde çağırabilir.
Google Cloud API'lerine erişim, Google API'leri için OAuth 2.0 kapsamlarında listelenen kapsamlar aracılığıyla filtrelenir.
OAuth 2.0 ile sunucudan sunucuya etkileşimler hakkında daha fazla bilgi edinmek için Sunucudan Sunucuya Uygulamalar için OAuth 2.0'ı Kullanma başlıklı makaleye bakın.
Söz dizimi
<Action>getOauth2AccessToken</Action>
<Input><![CDATA[{
"scope" : [
"scope1",
"scope2"
]
}]]></Input>
Örnek
Aşağıdaki örnekte uzantının getOauth2AccessToken
işlemi Cloud Translation API'ye yapılan isteklerde kullanılacak bir jeton alır.
<Action>getOauth2AccessToken</Action>
<Input><![CDATA[{
"scope" : [
"https://www.googleapis.com/auth/cloud-translation"
]
}]]></Input>
İstek parametreleri
Parametre | Açıklama | Tür | Varsayılan | Zorunlu |
---|---|---|---|---|
kapsam | OAuth 2.0 kapsamları dizisi. Kapsamlar hakkında daha fazla bilgi edinmek için Google API'leri için OAuth 2.0 kapsamları başlıklı makaleye bakın. | Dizi | ["https://www.googleapis.com/auth/cloud-platform"] , hizmet hesabının erişebildiği tüm API'lere erişim izni verir. |
Sıra |
Yanıt
Erişim jetonunu, türünü ve son kullanma tarihini aşağıdaki biçimde içeren bir nesne:
{
"accessToken": "ewogICJ0eXB...C5jb20iCn0K",
"token_type": "Bearer",
"expiresInSec": 3600
}
Yanıt özellikleri
Parametre | Açıklama | Varsayılan | Zorunlu |
---|---|---|---|
accessToken | OAuth 2.0 erişim jetonu. | Yok | Evet |
tokenType | Jeton türü. | Taşıyıcı | Evet |
expiresInSec | Jetonun süresinin dolmasına kalan saniye sayısı. | 3600 | Evet |
getJWTAccessToken
JSON web jetonu (JWT) erişim jetonu alır. Çağrık istediğiniz API'nin Google API'leri GitHub deposunda yayınlanmış bir hizmet tanımı varsa Google API'leriyle kimlik doğrulamak için bu jetonu kullanabilirsiniz.
Bazı Google API'lerinde, OAuth 2.0 erişim jetonu yerine hamiline ait jeton olarak doğrudan imzalı bir JWT kullanarak yetkili API çağrıları yapabilirsiniz. Bu mümkün olduğunda, bir API çağrısı yapmadan önce Google'ın yetkilendirme sunucusuna bir ağ isteğinde bulunmak zorunda kalmazsınız.
JWT erişim jetonuyla kimlik doğrulama hakkında daha fazla bilgi edinmek için Sunucudan Sunucuya Uygulamalar için OAuth 2.0 Kullanma başlıklı makaleye bakın.
Söz dizimi
<Action>getJWTAccessToken</Action>
<Input><![CDATA[{
"audience" : "audience"
}]]></Input>
Örnek: Cloud Functions işlevi URL'si
Aşağıdaki örnekte uzantının getOauth2AccessToken
işlemi Cloud Translation API'ye yapılan isteklerde kullanılacak bir jeton alır.
<Action>getJWTAccessToken</Action>
<Input><![CDATA[{
"audience" : "https://YOUR_REGION-YOUR_PROJECT_ID.cloudfunctions.net/FUNCTION_NAME"
}]]></Input>
Örnek: Cloud IAP güvenli istemci kimliği
Aşağıdaki örnekte uzantının getOauth2AccessToken
işlemi Cloud Translation API'ye yapılan isteklerde kullanılacak bir jeton alır.
<Action>getJWTAccessToken</Action>
<Input><![CDATA[{
"audience" : "Cloud-IAP-secured-client-ID"
}]]></Input>
İstek parametreleri
Parametre | Açıklama | Varsayılan | Zorunlu |
---|---|---|---|
audience | Jetonun hedeflenen alıcısı. Buna Cloud IAP güvenli istemci kimliği, Cloud Functions URL'si ve benzeri öğeler dahildir. | Yok | Evet |
Yanıt
{
"accessToken": "token",
"tokenType": "Bearer",
"expiresInSec": 3600
}
Yanıt özellikleri
Parametre | Açıklama | Varsayılan | Zorunlu |
---|---|---|---|
accessToken | Erişim jetonu. | Yok | Evet |
tokenType | Jeton türü. | Taşıyıcı | Evet |
expiresInSec | Süresi saniye içinde dolacaktır. | 3600 | Evet |
Yapılandırma referansı
Bu uzantıyı API proxy'lerinde kullanmak üzere yapılandırıp dağıtırken aşağıdakileri kullanın. Apigee konsolunu kullanarak uzantı yapılandırma adımları için Uzantı ekleme ve yapılandırma'ya bakın.
Sık kullanılan uzantı özellikleri
Aşağıdaki özellikler her uzantı için mevcuttur.
Mülk | Açıklama | Varsayılan | Zorunlu |
---|---|---|---|
name |
Uzantının bu yapılandırmasını verdiğiniz ad. | Yok | Evet |
packageName |
Apigee Edge'in sağladığı uzantı paketinin adı. | Yok | Evet |
version |
Uzantıyı yapılandırdığınız uzantı paketinin sürüm numarası. | Yok | Evet |
configuration |
Eklediğiniz uzantıya özgü yapılandırma değeri. Bu uzantı paketinin özellikleri başlıklı makaleyi inceleyin | Yok | Evet |
Bu uzantı paketinin özellikleri
Bu uzantıya özel aşağıdaki yapılandırma özelliklerinin değerlerini belirtin.
Özellik | Açıklama | Varsayılan | Zorunlu |
---|---|---|---|
giriş bilgileri | Apigee Edge konsoluna girildiğinde hizmet hesabı anahtarı JSON dosyanızın içeriğinin tamamı bu şekildedir. Yönetim API'si aracılığıyla gönderildiğinde, hizmet hesabı anahtarı JSON dosyasının tamamından oluşturulan base64 kodlu bir değerdir. | Yok | Evet |