Ekstensi Google Authentication

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Versi: 2.0.0

Lakukan autentikasi dengan Google untuk akses ke Google API yang Anda tentukan.

Gunakan ekstensi ini untuk mendapatkan token (OAuth atau JWT) untuk layanan Google Cloud, lalu gunakan token tersebut untuk panggilan berikutnya ke Google API, seperti dengan menggunakan kebijakan ServiceCallout.

Misalnya, di proxy API, Anda mungkin mendapatkan token dengan ekstensi ini, meng-cache token menggunakan kebijakan PopulateCache, lalu meneruskan token melalui kebijakan ServiceCallout untuk mengakses layanan Google Cloud dari dalam alur proxy API.

Prasyarat

Konten ini memberikan referensi untuk mengonfigurasi dan menggunakan ekstensi ini. Sebelum menggunakan ekstensi dari proxy API menggunakan kebijakan ExtensionCallout, Anda harus:

  1. Pastikan akun yang akan digunakan ekstensi -- akun yang diwakili oleh akun layanan yang akan Anda gunakan untuk kredensial -- memiliki akses ke layanan Google Cloud yang akan digunakan untuk mengautentikasi ekstensi.

  2. Gunakan Google Cloud Console untuk membuat kunci akun layanan.

  3. Gunakan konten file JSON kunci akun layanan yang dihasilkan saat menambahkan dan mengonfigurasi ekstensi menggunakan referensi konfigurasi.

Tentang melakukan autentikasi dengan Google Cloud

Ekstensi ini meminta autentikasi dari Google Cloud dengan merepresentasikan anggota tertentu yang ditentukan dalam project Google Cloud Anda. Anda menggunakan file JSON akun layanan anggota project tersebut saat mengonfigurasi ekstensi ini.

Akibatnya, ekstensi ini hanya akan memiliki akses ke resource yang izinnya dimiliki anggota tersebut. Dengan kata lain, keberhasilan autentikasi oleh ekstensi ini bergantung pada kecocokan antara izin yang diberikan di Konsol Google Cloud dan akses yang diminta oleh ekstensi (melalui cakupan atau audiens) saat runtime.

Secara umum, langkah-langkah Anda untuk mengautentikasi akses ke API dari ekstensi ini adalah sebagai berikut:

  1. Pastikan akun layanan anggota yang diwakili oleh ekstensi ini memiliki akses ke resource Google yang ingin Anda akses. Anda dapat menggunakan halaman Cloud Identity and Access Management (Cloud IAM) di Konsol Google Cloud untuk memberikan peran kepada anggota project yang diwakili oleh ekstensi ini.

  2. Gunakan JSON kunci akun layanan anggota tersebut saat mengonfigurasi ekstensi ini.

  3. Saat mengonfigurasi kebijakan ExtensionCallout untuk menggunakan ekstensi ini, minta autentikasi hanya untuk resource yang dapat diakses oleh anggota project Anda.

Contoh

Contoh berikut menggambarkan cara melakukan autentikasi dengan Google Cloud menggunakan kebijakan ExtensionCallout.

Mendapatkan token akses

Dalam contoh berikut, tindakan getOauth2AccessToken ekstensi mengambil token untuk digunakan dalam permintaan ke Cloud Translation API.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ConnectorCallout async="false" continueOnError="true" enabled="true" name="Get-Access-Token">
    <DisplayName>Get Access Token</DisplayName>
    <Connector>google-auth</Connector>
    <Action>getOauth2AccessToken</Action>
    <Input><![CDATA[{
      "scope" : [
        "https://www.googleapis.com/auth/cloud-translation"
      ]
    }]]></Input>
    <Output>google.credentials</Output>
</ConnectorCallout>

Nilai respons akan terlihat seperti ini:

{
  "access_token":"ya29.c.ElpSB...BMgkALBJ0kou-8",
  "token_type":"Bearer",
  "expiresInSec": 3600
}

Kebijakan AssignMessage berikut mengambil nilai respons dari kebijakan ExtensionCallout di atas dan menyalinnya dalam payload respons. Hal ini dapat berguna untuk proses debug. Dalam praktik sebenarnya, Anda mungkin tidak ingin menampilkan token ke klien.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<AssignMessage async="false" continueOnError="false" enabled="true" name="Retrieve-Auth-Token">
    <DisplayName>Retrieve Auth Token</DisplayName>
    <AssignTo type="response" createNew="false"/>
    <Set>
        <Payload contentType="application/json">{google.credentials.access_token}</Payload>
    </Set>
</AssignMessage>

Menyimpan token akses dalam cache

Untuk menghindari panggilan yang tidak perlu untuk mengambil token, pertimbangkan untuk meng-cache token yang Anda terima. Untuk panggilan berikutnya yang memerlukan token, mengambil token dari cache Apigee Edge akan lebih cepat daripada mendapatkan token baru. Saat masa berlaku token yang di-cache berakhir, ambil token baru dan muat ulang cache dengan token tersebut.

Kode berikut dari contoh proxy API mengilustrasikan cara menetapkan dan menggunakan token yang di-cache untuk memanggil Google Translation API dengan kebijakan ServiceCallout. Setiap contoh kode di sini ditujukan untuk kebijakan yang berbeda dalam alur.

Kebijakan berikut dijalankan dalam urutan yang dijelaskan oleh XML alur berikut:

  <Request>
    <!-- Attempt to get a token from the cache. -->
    <Step>
        <Name>Get-Cached-Auth-Token</Name>
    </Step>
    <!-- Only execute the following ExtensionCallout policy if the call to the
      cache couldn't retrieve a cached token. -->
    <Step>
        <Name>Google-Auth-Callout</Name>
        <Condition>lookupcache.Get-Cached-Auth-Token.cachehit is false</Condition>
    </Step>
    <!-- Only execute the following PopulateCache policy if the call to the
      cache couldn't retrieve a cached token. -->
    <Step>
        <Name>Cache-Auth-Token</Name>
        <Condition>lookupcache.Get-Cached-Auth-Token.cachehit is false</Condition>
    </Step>
    <!-- Use the ServiceCallout policy to call the translate API. -->
    <Step>
        <Name>Translate-Text</Name>
    </Step>
</Request>

  1. Kebijakan LookupCache berikut mencoba mendapatkan token dari cache. Jika token telah diperoleh dan di-cache, kebijakan ini akan mendapatkannya untuk digunakan oleh proxy API.

      <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
  <LookupCache async="false" continueOnError="false" enabled="true" name="Get-Cached-Auth-Token">
      <DisplayName>Get Cached Auth Token</DisplayName>
      <!-- Give cache key and scope to specify the entry for the cached token. -->
      <CacheKey>
          <Prefix/>
          <KeyFragment>gcp_translate_token_</KeyFragment>
      </CacheKey>
      <Scope>Exclusive</Scope>
      <!-- Assign the retrieved token (if any) to a variable, where it
       can be retrieved by policies. -->
      <AssignTo>cloud.translation.auth.token</AssignTo>
  </LookupCache>

  2. Jika pencarian cache tidak mengambil token yang di-cache, kebijakan ExtensionCallout berikut akan mengambil token OAuth baru, yang menentukan Google Cloud Translation API sebagai cakupan untuk token. Google Cloud akan menampilkan token yang valid jika kredensial akun layanan yang digunakan saat mengonfigurasi ekstensi Google-Auth-Callout mewakili anggota project yang memiliki akses ke API.

      <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
  <ConnectorCallout async="false" continueOnError="true" enabled="true" name="Google-Auth-Callout">
      <DisplayName>Google-Auth-Callout</DisplayName>
      <Connector>example-auth-extension</Connector>
      <Action>getOauth2AccessToken</Action>
      <Input><![CDATA[{
        "scope" : ["https://www.googleapis.com/auth/cloud-translation"]
      }]]></Input>
      <Output parsed="false">cloud.translation.auth.token</Output>
  </ConnectorCallout>

  3. Setelah kebijakan ExtensionCallout mengambil token baru, kebijakan PopulateCache akan menyimpannya dalam cache untuk digunakan nanti oleh kebijakan di proxy API.

      <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
  <PopulateCache async="false" continueOnError="false" enabled="true" name="Cache-Auth-Token">
      <DisplayName>Cache Auth Token</DisplayName>
      <Properties/>
      <!-- Set cache key information to specify a unique key for this entry. -->
      <CacheKey>
          <Prefix/>
          <KeyFragment>gcp_translate_token_</KeyFragment>
      </CacheKey>
      <Scope>Exclusive</Scope>
      <ExpirySettings>
          <TimeoutInSec>5</TimeoutInSec>
      </ExpirySettings>
      <!-- Get the token to cache from the variable where the ExtensionCallout put it. -->
      <Source>cloud.translation.auth.token</Source>
  </PopulateCache>

Tindakan

getOauth2AccessToken

Mendapatkan token akses OAuth 2.0. Gunakan tindakan ini untuk mendukung OAuth dua langkah antara proxy API dan Google API saat Google API memerlukan token OAuth.

Dalam OAuth dua langkah, tindakan ekstensi ini mengambil token OAuth dengan mengautentikasi dengan Google menggunakan JSON akun layanan (Anda menambahkan JSON tersebut saat mengonfigurasi ekstensi ini). Setelah tindakan ini mengambil token OAuth, proxy API Anda dapat menggunakan token untuk melakukan panggilan ke Google API, yang secara efektif memanggil API atas nama akun layanan Google.

Akses ke Google Cloud API difilter melalui cakupan yang tercantum dalam Cakupan OAuth 2.0 untuk Google API.

Untuk mengetahui interaksi server ke server dengan OAuth 2.0 lebih lanjut, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server ke Server

Sintaksis

<Action>getOauth2AccessToken</Action>
<Input><![CDATA[{
  "scope" : [
    "scope1",
    "scope2"
  ]
}]]></Input>

Contoh

Dalam contoh berikut, tindakan getOauth2AccessToken ekstensi mengambil token untuk digunakan dalam permintaan ke Cloud Translation API.

<Action>getOauth2AccessToken</Action>
<Input><![CDATA[{
    "scope" : [
      "https://www.googleapis.com/auth/cloud-translation"
  ]
}]]></Input>

Parameter permintaan

Parameter Deskripsi Jenis Default Wajib
cakupan Array cakupan OAuth 2.0. Untuk mengetahui cakupan selengkapnya, lihat Cakupan OAuth 2.0 untuk Google API. Array ["https://www.googleapis.com/auth/cloud-platform"], yang memberikan akses ke semua API yang aksesnya dimiliki akun layanan. Tidak.

Respons

Objek yang berisi token akses, jenisnya, dan tanggal habis masa berlakunya dalam bentuk berikut:

{
  "accessToken": "ewogICJ0eXB...C5jb20iCn0K",
  "token_type": "Bearer",
  "expiresInSec": 3600
}

Properti respons

Parameter Deskripsi Default Wajib
accessToken Token akses OAuth 2.0. Tidak ada Ya
tokenType Jenis token. Operator Ya
expiresInSec Jumlah detik hingga masa berlaku token habis. 3600 Ya

getJWTAccessToken

Mendapatkan token akses token web JSON (JWT). Anda dapat menggunakan token ini untuk mengautentikasi dengan Google API jika API yang ingin Anda panggil memiliki definisi layanan yang dipublikasikan di repositori GitHub Google API.

Dengan beberapa Google API, Anda dapat melakukan panggilan API yang diotorisasi menggunakan JWT yang ditandatangani langsung sebagai token pembawa, bukan token akses OAuth 2.0. Jika memungkinkan, Anda dapat menghindari permintaan jaringan ke server otorisasi Google sebelum melakukan panggilan API.

Untuk mengetahui informasi selengkapnya tentang mengautentikasi dengan token akses JWT, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server ke Server.

Sintaksis

<Action>getJWTAccessToken</Action>
<Input><![CDATA[{
    "audience" : "audience"
}]]></Input>

Contoh: URL Cloud Function

Dalam contoh berikut, tindakan getOauth2AccessToken ekstensi mengambil token untuk digunakan dalam permintaan ke Cloud Translation API.

<Action>getJWTAccessToken</Action>
<Input><![CDATA[{
  "audience" : "https://YOUR_REGION-YOUR_PROJECT_ID.cloudfunctions.net/FUNCTION_NAME"
}]]></Input>

Contoh: Client ID yang diamankan Cloud IAP

Dalam contoh berikut, tindakan getOauth2AccessToken ekstensi mengambil token untuk digunakan dalam permintaan ke Cloud Translation API.

<Action>getJWTAccessToken</Action>
<Input><![CDATA[{
  "audience" : "Cloud-IAP-secured-client-ID"
}]]></Input>

Parameter permintaan

Parameter Deskripsi Default Wajib
audience Penerima token yang dituju. Ini dapat mencakup client ID yang diamankan Cloud IAP, URL Cloud Functions, dan sebagainya. Tidak ada Ya

Respons

{
  "accessToken": "token",
  "tokenType": "Bearer",
  "expiresInSec": 3600
}

Properti respons

Parameter Deskripsi Default Wajib
accessToken Token akses. Tidak ada Ya
tokenType Jenis token. Operator Ya
expiresInSec Masa berlaku dalam detik. 3600 Ya

Referensi konfigurasi

Gunakan hal berikut saat Anda mengonfigurasi dan men-deploy ekstensi ini untuk digunakan di proxy API. Untuk mengetahui langkah-langkah mengonfigurasi ekstensi menggunakan konsol Apigee, lihat Menambahkan dan mengonfigurasi ekstensi.

Properti ekstensi umum

Properti berikut ada untuk setiap ekstensi.

Properti Deskripsi Default Wajib
name Nama yang Anda berikan pada konfigurasi ekstensi ini. Tidak ada Ya
packageName Nama paket ekstensi seperti yang diberikan oleh Apigee Edge. Tidak ada Ya
version Nomor versi untuk paket ekstensi tempat Anda mengonfigurasi ekstensi. Tidak ada Ya
configuration Nilai konfigurasi khusus untuk ekstensi yang Anda tambahkan. Lihat Properti untuk paket ekstensi ini Tidak ada Ya

Properti untuk paket ekstensi ini

Tentukan nilai untuk properti konfigurasi berikut yang khusus untuk ekstensi ini.

Properti Deskripsi Default Wajib
credentials Saat dimasukkan di konsol Apigee Edge, ini adalah seluruh konten file JSON kunci akun layanan Anda. Jika dikirim melalui API pengelolaan, nilai ini adalah nilai yang dienkode base64 yang dihasilkan dari seluruh file JSON kunci akun layanan. Tidak ada Ya