Integraties
Google Authenticatie instellen
title: Google Authenticatie instellen
Google Authenticatiemethode
Voor het functioneren van de Google-integratie en het veilig houden van uw omgeving, moet een authenticatie worden ingesteld. In het geval van Google kunnen we gebruikmaken van service-accounts. Dit zijn accounts die zijn ontworpen om te worden gebruikt door applicaties en diensten. Ze maken het mogelijk om informatie op te halen van het Google-platform, als ze de juiste machtigingen hebben gekregen. Om dit service-account in te stellen, heeft u een Google super admin-account nodig.
In dit artikel leggen we uit:
- Hoe een service-account aan te maken
- Hoe de juiste machtigingen te verlenen
- Hoe de relevante API's te activeren
Hoe een service-account in te stellen
Inloggen en navigeren
In de Google Cloud-omgeving is er een subomgeving genaamd console. Als uw account de juiste rechten heeft, kunt u inloggen via de volgende link: https://console.cloud.google.com Wanneer u succesvol bent ingelogd, klikt u op het menu linksboven om de menu-items uit te vouwen. Mogelijk moet u het bijbehorende project selecteren waarvoor u de integratie wilt maken.
Selecteer in het menu IAM & Admin. Een nieuw paneel met opties vouwt zich uit, selecteer de optie service-accounts.
Service-account aanmaken
Bovenaan dit nieuwe venster ziet u een optie + CREATE SERVICE ACCOUNT.
Eenmaal geklikt, wordt de installatie van het service-account gestart.
Kies een verstandige naam, zodat u het kunt herkennen. Als u het alleen voor Tidal Control gaat gebruiken, raden we aan om dit toe te voegen aan de naam, id of beschrijving.
De volgende stap is het selecteren van een rol. Wanneer u op het dropdown-menu Roles klikt, klikt u op Basic en selecteert u de Viewer-rol aan de rechterkant. Klik op Continue, we kunnen de volgende stap overslaan, dus we kunnen op de knop done klikken, onderaan het formulier.
Account json-bestand aanmaken
Het service-account is nu aangemaakt, maar we moeten nog een sleutel genereren, zodat het toegang kan krijgen tot de omgeving vanuit onze applicatie.
Na het voltooien van de aanmaak van het service-account, ziet u een lijst met alle beschikbare service-accounts.
Selecteer het account dat u zojuist hebt aangemaakt en klik op het tabblad KEYS bovenaan de pagina.
Klik op de knop ADD KEY en selecteer de Json-optie.
Dit zal het json-bestand automatisch downloaden naar uw computer. Zorg ervoor dat u het op een veilige locatie opslaat, aangezien u deze informatie niet opnieuw kunt verkrijgen.
Zorg er bovendien voor dat onbevoegde personen geen toegang kunnen krijgen tot dit bestand, omdat het hen in staat kan stellen informatie te zien die u als privé of bedrijfskritisch beschouwt.
Hoe de juiste machtigingen te verlenen
Navigeren naar admin console
Om de gebruikersinformatie in uw projecten te kunnen lezen, moeten we het service-account voorzien van domeinbrede delegatiemachtigingen.
Dit stelt het service-account in staat om informatie van het domein te benaderen, en niet alleen het project waarin het is gemaakt.
Om de domeinbrede delegatie in te stellen, moeten we naar het tabblad details van de service-accountinformatie navigeren.
Wanneer we op advances settings klikken, zien we de client-id. Voor de volgende stap is het handig om deze waarde te kopiëren en voorlopig op te slaan. Na het kopiëren van de client-id kunnen we op de knop VIEW GOOGLE WORKSPACE ADMIN CONSOLE klikken, die ons naar de omgeving https://admin.google.com brengt.
Open op de Admin-pagina het menu linksboven op de pagina.
Selecteer de optie Security, selecteer vervolgens de optie Access and data control, en tot slot de optie API controls.
Dit brengt ons naar de pagina API controls, waar we rechtsonder op het scherm een knop MANAGE DOMAIN WIDE DELEGATION zien.
De scopes voor het account instellen
Wanneer we op de knop klikken, zien we een tabel met alle client-id's die domeinbrede delegatie hebben gekregen. Om ons nieuw aangemaakte service-account toe te voegen, klikken we op Add new. Er opent een prompt waarin we de client-id kunnen invullen die we een paar stappen terug hebben opgeslagen. Daarnaast moeten we de scopes toevoegen waartoe het service-account toegang nodig heeft. Deze scopes moeten worden toegevoegd, gescheiden door een komma. De huidige scopes zijn:
- https://www.googleapis.com/auth/admin.directory.user
- https://www.googleapis.com/auth/admin.directory.group
- https://www.googleapis.com/auth/cloud-platform
U kunt de volgende regel in het scopes-vak kopiëren: https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/cloud-platform
Na het invullen van de scopes klikt u op de knop AUTHORIZE.
Hiermee worden de machtigingen voor de service-accounts ingesteld. De volgende stap behandelt de activering van de relevante API's.
Hoe de relevante API's te activeren
Het Google Cloud-platform opent niet automatisch zijn deuren voor service-accounts om informatie op te halen via de API. Om het service-account toegang te geven tot de relevante informatie, moeten we een paar API's inschakelen.
Navigeren
Eerst moeten we inloggen op https://console.cloud.google.com.
Dit kan worden gedaan in het menu in de linkerbovenhoek door de optie APIs and services te selecteren.
Bovenaan de pagina ziet u een knop + ENABLE APIS AND SERVICES,
De API's vinden in de bibliotheek
Wanneer u hierop klikt, wordt u doorgestuurd naar de API-bibliotheek. Van hieruit kunt u API's zoeken en deze in- of uitschakelen. Standaard zijn de API's uitgeschakeld. Voor het functioneren van de automatisering moeten we de volgende API's inschakelen:
- Identity and Access Management (IAM) API
- Cloud Resource Manager API
- Admin SDK API
Wanneer u naar elk van de bovenstaande API's zoekt, selecteert u het zoekresultaat en klikt u vervolgens op de detailpagina van de API op de knop ENABLE.
- Volgende
- Een introductie tot ISO27001