Ir para o conteúdo

Guia de Configuração do Google OAuth

Finalidade do Documento

Para descrever as etapas de configuração necessárias para configurar App Builder para usar o Google como um provedor de segurança externo OIDC/OAuth 2.0 para autenticação de usuário.

Introdução

A configuração da autenticação externa requer configuração tanto no provedor de identidade quanto no App Builder instância. Em ambos os casos, direitos administrativos são necessários.

Importante

Os valores de exemplo fornecidos neste guia são representativos, mas fictícios, e não devem ser usados em configurações do mundo real. Estamos usando https://example.zudy.com/App Builder como a raiz da instância nesta documentação.

Passos em App Builder

Crie um Provedor de Segurança

  1. Entre em App Builder como um administrador
  2. Navegue até IDE > Provedores de segurança
  3. Na seção Autenticação do usuário, clique em + Autenticação do usuário para adicionar um novo Provedor de segurança

  4. Preencha os seguintes valores:

    • Nome: nome breve e descritivo para o Provedor de segurança. O ideal é evitar espaços. Isso se torna parte do App Builder caminho de autenticação.
    • Tipo: Autenticação externa > OAuth
    • Prioridade: aceitar sugestão padrão ou atualizar conforme sua preferência

    • Habilitado: Verificar

      • Tipo de autenticação: OAuth
      • Concessão OAuth: Código de autorização

    • Autenticação de cliente OAuth: Básica

    • Autenticação de recurso OAuth: Portador
    • Proprietário do token: Usuário
    • Redirecionamento em caso de desafio: Verificar
    • Mostrar no formulário de login: Verificar
    • Provisionamento de usuário: Verificar
    • Declarações da loja: Verificar. Isso é importante ao configurar e solucionar problemas inicialmente, mas pode ser removido mais tarde, se desejado.

  5. Clique em Salvar

Etapas no Google Workspace/Google Cloud Platform

Nota

Observe que você deve ter acesso de nível de administrador à conta do Google Workspace da sua organização para criar um novo projeto ou permissões para criar e configurar credenciais do OAuth 2.0 para um projeto existente.

Criar um Novo Projeto

  1. Vá para a página Gerenciar recursos no Google Cloud Console
  2. Entre como administrador, se solicitado
  3. Na lista suspensa Selecionar organização na parte superior da página, selecione a organização na qual deseja criar um projeto. Se você for um usuário de teste gratuito, pule esta etapa, pois isso não se aplica.
  4. Clique em Criar projeto
  5. Na janela Novo projeto que aparece, insira um nome de projeto. Um nome de projeto pode conter apenas letras, números, aspas simples, hifens, espaços ou pontos de exclamação e deve ter entre 4 e 30 caracteres. Deve ser um nome descritivo e exclusivo que identifique o projeto. Por exemplo: vinyl-authentication
  6. Selecione a organização pai na caixa Organização
  7. Opcionalmente, selecione uma pasta na caixa Localização. Este recurso será o pai hierárquico do novo projeto.
  8. Clique em Criar

Para referência adicional sobre a criação de projetos, consulte a documentação do Google disponível em: https://cloud.google.com/resource-manager/docs/creating-managing-projects

  1. Depois de criar o projeto, abra a página Credenciais no Google API Console. Página inicial > APIs e serviços > Credenciais
  2. Verifique o nome do projeto listado no canto superior esquerdo perto do logotipo para certificar-se de que você está usando o projeto correto. Clique na seta suspensa para alternar os projetos, se necessário.
  3. Clique em Criar credenciaisID do cliente OAuth

  4. A menos que você tenha configurado uma tela de consentimento anteriormente, você será direcionado a configurar sua tela de consentimento primeiro. A tela de consentimento será apresentada aos usuários finais quando eles acessarem o aplicativo pela primeira vez (App Builder) usando suas credenciais do Google e solicitará que aceitem esse acesso à conta do Google. Se você já configurou uma tela de consentimento e escopos, pule para a etapa 29.

    OAuth2.png

    Exemplo de configuração de tela de consentimento

  5. Clique em Configurar tela de consentimento

  6. Selecione Interno para Tipo de usuário e clique em Criar
  7. Preencha a seção Informações do aplicativo da seguinte forma:
  8. Nome do aplicativo: insira o nome do aplicativo personalizado. Por exemplo: App Builder instância. Normalmente você especificaria Dev, QA ou Prod, ou o propósito da instância, se diferente.
  9. Email de suporte ao usuário: preencha com o endereço email email administrador ou do grupo
  10. Logotipo do aplicativo: opcionalmente, carregue um arquivo para usar como logotipo
  11. Preencha a seção Domínio do aplicativo com a URL da página inicial do aplicativo e um link para a política de privacidade e/ou termos de serviço da sua organização
  12. Em Domínios Autorizados, adicione o nome de domínio que o App Builder instância faz parte de. Este pode ser seu próprio domínio ou zudy. hospedar. Adicione vários domínios, se aplicável.
  13. Insira um endereço email de suporte para Informações de contato do desenvolvedor
  14. Clique em Salvar e Continuar

  15. Na tela Escopos identifique as informações que estão sendo solicitadas sobre o usuário, por App Builder. Clique em Adicionar escopos e selecione os três escopos mostrados na captura de tela a seguir.

    OAuth3.png

    Exemplo de configuração de escopos

  16. Clique em Atualizar

    Nota

    Observe que estes são considerados "escopos não sensíveis". Nenhum outro escopo é necessário por App Builder.

  17. Clique em Salvar e Continuar

  18. Revise a página de resumo e clique em Voltar ao painel
  19. Clique em Criar credenciaisID do cliente OAuth
  20. Em Tipo de aplicativo, escolha Aplicativo da Web
  21. Em Nome, digite um rótulo descritivo que identifique o aplicativo. Este valor não é usado em nenhum outro lugar. Por exemplo: App Builder instância. Normalmente você especificaria Dev, QA ou Prod, ou o propósito da instância, se diferente.
  22. Em Authorized JavaScript Origins, forneça o URI que representa o FQDN (nome de domínio totalmente qualificado) do seu App Builder instância. Note que isso não deve incluir nenhuma informação de caminho. Por exemplo: https://example.zudy.com

  23. A tela concluída deve ser semelhante a este exemplo:

    OAuth4.png

    Exemplo de configuração de ID de cliente OAuth

  24. Um pop-up deve aparecer contendo suas credenciais OAuth. Essas credenciais devem ser mantidas em segredo e serão semelhantes em formato aos exemplos fictícios abaixo. Deixe este pop-up aberto pronto para as próximas etapas de configuração.

    • Exemplos:
    • Seu ID de cliente: 825669012735-hd1oct8l1yeysoslrvtmf6b4gqkl12om.apps.googleusercontent.com
    • Seu Segredo do Cliente: CRZEXT-zd_Qa_MCZ3rArp5hkRD3B16PPDLN

  25. Isso conclui as etapas no Google Workspace/Google Cloud Platform.

Passos em App Builder

Configurar Propriedades do Provedor de Segurança e Tipos de Declaração

  1. Retorne à página de configuração do Provedor de Serviços criado nas etapas 1 a 5.

  2. Na seção Endpoints, clique em + Endpoint e Salve as 3 propriedades a seguir, conforme especificado abaixo:

    • AuthorizationEndpoint: use o seguinte valor: https://accounts.google.com/o/oauth2/v2/auth
      • Observação: este não é um exemplo, é universal para a configuração do Google OAuth v2
    • TokenEndpoint: use o seguinte valor: https://www.googleapis.com/oauth2/v4/token
    • UserInfoEndpoint: use o seguinte valor: https://openidconnect.googleapis.com/v1/userinfo

  3. Na seção Credenciais, clique em + Credencial e Salve as seguintes propriedades conforme especificado abaixo:

    • Tipo: Cliente
    • Nome de usuário: use o ID do cliente da seção anterior, etapa 32
    • Senha: use o Segredo do cliente da seção anterior, etapa 32

  4. Na seção Propriedades, clique em + Propriedade e Salve as seguintes propriedades:

    • Escopos: use os 3 valores de escopo mostrados abaixo. Separe cada string com um espaço:
      • openid
      • https://www.googleapis.com/auth/userinfo.email
      • https://www.googleapis.com/auth/userinfo.profile

  5. Na seção Reivindicações, clique em + Reivindicação e salve os seguintes tipos de reivindicação:

    • Identificador: email (letras minúsculas, sem espaços)
    • Uso: Nome
    • Nome: rótulo descritivo. Por exemplo: Nome

  6. Clique em Salvar

  7. Clique em Criar

    • Identificador: email
    • Uso: Endereço de email
    • Nome: rótulo descritivo. Por exemplo: Endereço Email

  8. Clique em Salvar

    Nota

    O tipo de reivindicação de uso do endereço de email é opcional, mas garantirá que o atributo Endereço de Email do App Builder o usuário será preenchido quando o usuário fizer login App Builder usando o provedor de autenticação externo.

  9. Isso conclui as etapas de configuração em App Builder

Testando

Neste ponto, a configuração está pronta para teste. É recomendado que todos os testes sejam realizados em novas janelas do navegador Incognito ou Private, ou em um navegador alternativo.

Etapas de Teste

  1. Navegue até a página de login do App Builder instância e:

    1. Confirme se o novo método de autenticação é exibido apropriadamente na página de login.
    2. Tente fazer login com o novo método de autenticação e revise o resultado. (Isso deve ser feito com um login separado daquele usado para administrar App Builder.)

  2. Se forem relatados erros, revise toda a configuração e confirme se os elementos necessários para corresponder estão corretos – principalmente confirmando que o Client Secret e o Client ID foram copiados do Google para App Builder corretamente.

  3. Se todas as configurações estiverem presentes e parecerem corretas, mas a autenticação externa ainda não estiver funcionando, entre em contato com App Builder apoiar.