این سند به شما کمک می کند تا برخی از مفاهیم کلیدی احراز هویت را درک کنید و از کجا برای پیاده سازی یا عیب یابی احراز هویت کمک بگیرید. تمرکز اصلی اسناد احراز هویت برای سرویسهای Google Cloud است، اما فهرست موارد استفاده از احراز هویت و مطالب مقدماتی در این صفحه شامل موارد استفاده برای سایر محصولات Google نیز میشود.
مقدمه
احراز هویت فرآیندی است که توسط آن هویت شما از طریق استفاده از نوعی اعتبار تأیید می شود. احراز هویت به معنای اثبات این است که شما همانی هستید که می گویید.
Google API ها و خدمات بسیاری را ارائه می دهد که برای دسترسی به آنها نیاز به احراز هویت دارند. Google همچنین تعدادی سرویس ارائه می دهد که میزبان برنامه های کاربردی نوشته شده توسط مشتریان ما هستند. این برنامه ها همچنین باید هویت کاربران خود را مشخص کنند.
نحوه دریافت کمک برای احراز هویت
| من می خواهم. | اطلاعات |
|---|---|
| با استفاده از یک زبان برنامه نویسی سطح بالا، از برنامه من به سرویس Google Cloud احراز هویت کنید. | Application Default Credentials را تنظیم کنید و سپس از یکی از کتابخانه های Cloud Client استفاده کنید. |
| به برنامهای که در Cloud Run یا Cloud Functions اجرا میشود، احراز هویت کنید. | یک رمز شناسه OpenID Connect (OIDC) دریافت کنید و درخواست خود را ارائه دهید. |
| احراز هویت کاربر را برای برنامهای که به خدمات و منابع Google یا Google Cloud دسترسی دارد، اجرا کنید. | برای مقایسه گزینه ها به احراز هویت کاربران برنامه مراجعه کنید. |
| برخی از دستورات gcloud یا تماسهای Google Cloud REST API را در محیط توسعه محلی من امتحان کنید. | اعتبارنامه پیش فرض برنامه را با اعتبارنامه ورود خود تنظیم کنید. سپس می توانید از یک ابزار خط فرمان مانند curl برای فراخوانی REST API استفاده کنید. |
| یک قطعه کد موجود در مستندات محصول من را امتحان کنید. | Application Default Credentials را به صورت محلی با حساب کاربری خود تنظیم کنید و کتابخانه مشتری محصول خود را در محیط محلی خود نصب کنید. کتابخانه مشتری اعتبار شما را به صورت خودکار پیدا می کند. |
| برای استفاده از احراز هویت دیگر کمک بگیرید. | صفحه موارد استفاده احراز هویت را ببینید. |
| فهرستی از محصولاتی را که Google ارائه می دهد در فضای مدیریت هویت و دسترسی مشاهده کنید. | صفحه هویت Google و دسترسی به محصولات مدیریت را ببینید. |
انواع احراز هویت
برای دسترسی به اکثر منابع و برنامه ها، احراز هویت مورد نیاز است. این مستندات از متخصصان فنی پشتیبانی می کند تا کد برنامه را با یکی از اهداف زیر ایجاد کنند:
OAuth 2. 0
API های Google چارچوب OAUTH 2. 0 را پیاده سازی و گسترش می دهند. چارچوب OAUTH 2. 0 با استفاده از "جریان" یا احراز هویت مختلف احراز هویت مختلف را تشریح می کند. به طور کلی ، برنامه اعتبار ، که نمایانگر اصلی (یا کاربر یا یک حساب کاربری) است) را به یک ماژول میانی به نام سرور مجوز ارائه می دهد. سرور مجوز با یک نشانه پاسخ می دهد ، که برنامه می تواند از آن برای تأیید اعتبار با خدمات و منابع دسترسی استفاده کند. این توکن شامل یک یا چند دامنه است که نشان دهنده دسترسی به برنامه مجاز به انجام آن است. سپس برنامه برای دستیابی به منابع ، نشانه را به سرور منبع ارائه می دهد.
مجوز خدمات Google Cloud
Google Cloud Services از هویت و مدیریت دسترسی (IAM) برای تأیید اعتبار استفاده می کند. IAM کنترل گرانول را ، توسط اصلی و توسط منابع ارائه می دهد. هنگامی که شما به Google Cloud Services تأیید می کنید ، به طور کلی از دامنه ای استفاده می کنید که شامل کلیه خدمات Google Cloud (https://www. googleapis. com/auth/cloud-platform) است.
OAUTH 2. 0 SCOPES می تواند یک لایه دوم محافظت را فراهم کند ، که در صورتی که کد شما در محیطی اجرا شود که امنیت توکن نگرانی باشد ، مانند برنامه تلفن همراه ، مفید است. در این سناریو ، می توانید از دامنه های ریز ریز استفاده کنید تا در صورت وجود یک نشانه به خطر افتاده ، خطر را کاهش دهید. OAUTH 2. 0 Scopes نیز برای مجاز بودن دسترسی به داده های کاربر استفاده می شود.
اعتبار پیش فرض برنامه (ADC)
ADC استراتژی است که توسط کتابخانه های احراز هویت Google برای یافتن خودکار اعتبار بر اساس محیط کاربردی استفاده می شود. کتابخانه های احراز هویت سپس این اعتبارنامه ها را در اختیار کتابخانه های مشتری Cloud و کتابخانه های مشتری Google قرار می دهد. کتابخانه های مشتری از اعتبارنامه ها برای تأیید اعتبار به Google Cloud API استفاده می کنند. هنگامی که ADC را تنظیم کرده اید و از یک کتابخانه مشتری استفاده می کنید ، کد شما می تواند بدون تغییر نحوه تأیید اعتبار برنامه شما به Google Cloud Services و API ها ، در محیط توسعه یا تولید اجرا شود.
اگر در حال نوشتن کدی هستید که نیاز به استفاده از Google Cloud Services دارد ، باید در هر زمان ممکن از ADC استفاده کنید. استفاده از ADC می تواند روند توسعه شما را ساده کند ، زیرا به شما امکان می دهد از همان کد تأیید اعتبار در محیط های مختلف استفاده کنید.
شما ADC را با ارائه اعتبار خود ، بر اساس جایی که می خواهید کد شما اجرا شود ، پیکربندی می کنید. پس از ارائه اعتبار خود به ADC ، ADC به طور خودکار اعتبارنامه ها را پیدا می کند و در پس زمینه نشانه ای دریافت می کند و باعث می شود کد احراز هویت شما بدون اصلاح در محیط های مختلف اجرا شود. به عنوان مثال ، همان نسخه از کد شما می تواند هنگام کار در ایستگاه کاری توسعه یا موتور محاسباتی ، با API های Google Cloud تأیید شود.
واژه شناسی
اصطلاحات زیر برای درک در مورد تأیید اعتبار و مجوز مهم است.
احراز هویت
احراز هویت فرایند تعیین هویت اصلی تلاش برای دسترسی به یک منبع است.
اعتبار
مجوز روند تعیین اینکه آیا اصلی یا برنامه تلاش برای دسترسی به یک منبع برای آن سطح دسترسی مجاز بوده است.
اعتبار
برای تأیید اعتبار ، اعتبارنامه یک شیء دیجیتالی است که اثبات هویت را ارائه می دهد. رمزهای عبور ، پین و داده های بیومتریک بسته به نیاز برنامه ، می توانند به عنوان اعتبار استفاده شوند. به عنوان مثال ، هنگامی که به حساب Google خود وارد می شوید ، رمز عبور خود را ارائه می دهید و هرگونه احراز هویت دو عاملی را به عنوان اثبات این که این حساب در واقع متعلق به شما است ، برآورده می کنید و توسط یک بازیگر بد مورد سوءاستفاده قرار نمی گیرید.
توکن ها گاهی اوقات به عنوان اعتبار شناخته می شوند ، اما برای این مستندات ، در عوض به آنها به عنوان یک شی دیجیتال گفته می شود که ثابت می کند تماس گیرنده اعتبار مناسب را ارائه می دهد ، اما خودشان اعتبار ندارند.
نوع اعتبار مورد نیاز شما برای ارائه بستگی به آنچه تأیید می کنید بستگی دارد. انواع اعتبار زیر را می توان در کنسول Google Cloud ایجاد کرد:
برخلاف سایر اعتبارنامه ها ، کلیدهای API یک مدیر اصلی را شناسایی نمی کنند. کلیدهای API یک پروژه Google Cloud را برای اهداف صورتحساب و سهمیه ارائه می دهند.
بسیاری از API های Google کلیدهای API را نمی پذیرند. برای اطلاعات بیشتر در مورد Keys API ، به API Keys مراجعه کنید.
شناسه مشتری OAUTH
از شناسه های مشتری OAUTH برای شناسایی برنامه به Google استفاده می شود. این امر زمانی ضروری است که شما می خواهید به منابع متعلق به کاربران نهایی خود دسترسی پیدا کنید ، همچنین به نام OAUTH سه پا (3LO) نیز خوانده می شود. برای اطلاعات بیشتر در مورد نحوه دریافت و استفاده از شناسه مشتری OAuth ، به تنظیم OAUTH 2. 0 مراجعه کنید.
اصلی
اصلی هویتی است که می تواند به یک منبع دسترسی پیدا کند. برای تأیید اعتبار ، Google API از دو نوع اصولگرایان پشتیبانی می کند: حساب کاربری و حساب های خدمات.
این که آیا شما از یک حساب کاربری یا یک حساب کاربری برای تأیید اعتبار استفاده می کنید ، به پرونده استفاده شما بستگی دارد. شما ممکن است از هر دو ، هر یک در مراحل مختلف پروژه خود یا در محیط های مختلف توسعه استفاده کنید.
حساب کاربری
حساب های کاربر نمایانگر یک توسعه دهنده ، مدیر یا هر شخص دیگری است که با API و خدمات Google در تعامل است.
حساب های کاربر به عنوان حساب های Google ، با فضای کاری Google یا هویت ابری مدیریت می شوند. آنها همچنین می توانند حساب های کاربری باشند که توسط یک ارائه دهنده هویت شخص ثالث اداره می شوند و با فدراسیون هویت نیروی کار فدراسیون می شوند.
با یک حساب کاربری می توانید به روشهای زیر به API و خدمات Google تأیید کنید:
- برای تنظیم اعتبار پیش فرض برنامه (ADC) از GCLOUD CLI استفاده کنید.
- برای تولید نشانه های دسترسی از GCloud CLI استفاده کنید.
- از اعتبار کاربر خود برای جعل هویت یک حساب کاربری استفاده کنید.
- از اعتبار کاربر خود برای ورود به Google Cloud CLI استفاده کنید ، سپس از ابزاری برای دسترسی به خدمات Google Cloud استفاده کنید.
حساب های خدماتی
حساب های خدمات حسابهایی هستند که نمایانگر کاربر انسانی نیستند. آنها راهی برای مدیریت احراز هویت و مجوز در هنگام عدم حضور یک انسان ارائه می دهند ، مانند زمانی که یک برنامه نیاز به دسترسی به منابع ابری Google دارد. حساب های خدمات توسط IAM اداره می شوند.
در لیست زیر روش هایی برای استفاده از یک حساب سرویس برای تأیید اعتبار به API ها و خدمات Google ، به منظور امنیت بیشتر تا حداقل امنیت ارائه شده است.
این روش توصیه شده برای تأیید اعتبار کد تولید در Google Cloud است.
جعل هویت حساب خدمات به شما امکان می دهد به طور موقت امتیازات بیشتری را به یک حساب خدمات اعطا کنید. اعطای امتیازات اضافی به صورت موقت ، آن حساب خدمات را قادر می سازد بدون نیاز به کسب دائمی امتیاز بیشتری ، دسترسی مورد نیاز را انجام دهد.
استفاده از حساب خدمات پیش فرض توصیه نمی شود ، زیرا به طور پیش فرض حساب خدمات پیش فرض بسیار ممتاز است ، که اصل حداقل امتیاز را نقض می کند.
کلیدهای حساب خدمات ریسک غیر ضروری ایجاد می کنند و در هر زمان ممکن باید از آنها جلوگیری شود.
نشانه
برای تأیید اعتبار و مجوز ، یک نشانه یک شیء دیجیتالی است که نشان می دهد یک تماس گیرنده اعتبار مناسب را ارائه می دهد که برای آن نشانه رد و بدل شده است. این نشانه حاوی اطلاعاتی در مورد هویت اصلی است که درخواست را می کند و چه نوع دسترسی آنها را مجاز به انجام آنها می کند.
توکن ها را می توان مانند کلیدهای هتل دانست. هنگامی که به یک هتل مراجعه می کنید و مستندات مناسب را به میز ثبت نام هتل ارائه می دهید ، یک کلید دریافت می کنید که به شما امکان دسترسی به منابع خاص هتل را می دهد. به عنوان مثال ، این کلید ممکن است به اتاق و آسانسور مهمان دسترسی داشته باشد ، اما به شما امکان دسترسی به اتاق دیگر یا آسانسور سرویس را نمی دهد.
به استثنای کلیدهای API ، API های Google به طور مستقیم از اعتبار پشتیبانی نمی کنند. برنامه شما باید یک نشانه را بدست آورد یا تولید کند و آن را به API ارائه دهد. انواع مختلفی از نشانه ها وجود دارد. برای اطلاعات بیشتر ، به انواع توکن مراجعه کنید.
حجم کار و نیروی کار
Google Cloud Identity و Access محصولات دسترسی به خدمات و منابع Google را برای دسترسی برنامه نویسی و کاربران انسانی امکان پذیر می کنند. Google از شرایط کار برای دسترسی به برنامه نویسی و نیروی کار برای دسترسی کاربر استفاده می کند.
فدراسیون هویت بار کار به شما امکان می دهد بدون نیاز به ایجاد و مدیریت کلیدهای حساب خدمات ، به بارهای کاری که در خارج از Google کار می کنند ، دسترسی داشته باشید.
فدراسیون هویت نیروی کار به شما امکان می دهد از یک ارائه دهنده هویت خارجی برای تأیید اعتبار و مجوز نیروی کار استفاده کنید - گروهی از کاربران ، مانند کارمندان ، شرکا و پیمانکاران - با استفاده از IAM ، تا کاربران بتوانند به Google Cloud Services دسترسی پیدا کنند.
چه بعدی
- موارد استفاده بیشتر از تأیید هویت را مشاهده کنید.
- در مورد نحوه استفاده از Google Cloud Services از IAM برای کنترل دسترسی به منابع Google Cloud بیشتر بدانید.
- درک کنید که چگونه اعتبار پیش فرض برنامه کار می کند ، و چگونه می توانید آن را برای انواع محیط های توسعه تنظیم کنید.
به جز آنچه در غیر این صورت ذکر شد ، محتوای این صفحه تحت مجوز Creative Commons Attribution 4. 0 مجوز دارد و نمونه های کد تحت مجوز Apache 2. 0 مجوز دارند. برای جزئیات بیشتر ، به سیاست های سایت Google Developers مراجعه کنید. جاوا یک علامت تجاری ثبت شده اوراکل و/یا شرکت های وابسته به آن است.
