Ir para o conteúdo

Guia de configuração do Google OAuth para Jitterbit App Builder

Propósito do documento

Descrever os passos de configuração necessários para configurar o App Builder para usar o Google como um provedor de segurança externo OIDC/OAuth 2.0 para autenticação de usuários.

Introdução

Configurar a autenticação externa requer configuração tanto no provedor de identidade quanto na instância do App Builder. Em ambos os casos, são necessários direitos administrativos.

Importante

Os valores de exemplo fornecidos neste guia são representativos, mas fictícios, e não devem ser usados em configurações do mundo real. Estamos usando https://example.zudy.com/App Builder como a raiz da instância nesta documentação.

Passos no App Builder

Criar um provedor de segurança

  1. Faça login no App Builder como Administrador
  2. Navegue até IDE > Provedores de Segurança
  3. Na seção de Autenticação de Usuário, clique em + Autenticação de Usuário para adicionar um novo Provedor de Segurança

  4. Preencha os seguintes valores:

    • Nome: nome breve e descritivo para o Provedor de Segurança. Idealmente, evite espaços. Isso se torna parte do caminho de autenticação do App Builder.
    • Tipo: Autenticação Externa > OAuth
    • Prioridade: aceite a sugestão padrão ou atualize conforme sua preferência

    • Habilitado: Marcar

      • Tipo de Autenticação: OAuth
      • Concessão OAuth: Código de Autorização

    • Autenticação do Cliente OAuth: Básica

    • Autenticação de Recurso OAuth: Bearer
    • Proprietário do Token: Usuário
    • Redirecionar em Desafio: Marcar
    • Mostrar no formulário de login: Marcar
    • Provisionamento de Usuário: Marcar
    • Armazenar Claims: Marcar. Isso é importante ao configurar inicialmente e solucionar problemas, mas pode ser removido posteriormente, se desejado.

  5. Clique em Salvar

Passos no Google Workspace/Google Cloud Platform

Nota

Observe que você deve ter acesso de nível Administrador à conta do Google Workspace da sua organização para criar um novo projeto ou permissões para criar e configurar credenciais OAuth 2.0 para um projeto existente.

Criar um novo projeto

  1. Vá para a página Gerenciar recursos no Google Cloud Console
  2. Faça login como Administrador, se solicitado
  3. Na lista suspensa Selecionar organização no topo da página, selecione a organização na qual você deseja criar um projeto. Se você for um usuário de teste gratuito, pule esta etapa, pois não se aplica.
  4. Clique em Criar Projeto
  5. Na janela Novo Projeto que aparece, insira um nome do projeto. Um nome de projeto pode conter apenas letras, números, aspas simples, hífens, espaços ou pontos de exclamação, e deve ter entre 4 e 30 caracteres. Deve ser um nome descritivo e único que identifique o projeto. Por exemplo: vinyl-authentication
  6. Selecione a organização pai na caixa Organização
  7. Opcionalmente, selecione uma pasta na caixa Localização. Este recurso será o pai hierárquico do novo projeto.
  8. Clique em Criar

Para referência adicional sobre como criar projetos, consulte a documentação do Google disponível em: https://cloud.google.com/resource-manager/docs/creating-managing-projects

  1. Após criar o projeto, abra a página Credenciais no Google API Console. Início > APIs e Serviços > Credenciais
  2. Verifique o nome do projeto listado no canto superior esquerdo perto do logotipo para garantir que você está usando o projeto correto. Clique na seta suspensa para alternar projetos, se necessário.
  3. Clique em Criar CredenciaisID do cliente OAuth

  4. A menos que você tenha configurado uma tela de consentimento anteriormente, você será direcionado a configurar sua tela de consentimento primeiro. A tela de consentimento será apresentada aos usuários finais quando eles acessarem o aplicativo (App Builder) usando suas credenciais do Google e os solicitará a aceitar o acesso à sua conta do Google. Se você já configurou uma tela de consentimento e escopos, pule para a etapa 29.

    OAuth2.png

    Exemplo configurando a tela de consentimento

  5. Clique em Configurar Tela de Consentimento

  6. Selecione Interno para o Tipo de Usuário e clique em Criar
  7. Complete a seção de Informações do App da seguinte forma:
  8. Nome do App: Insira o nome do aplicativo personalizado. Por exemplo: Instância do App Builder. Normalmente, você especificaria Dev, QA ou Prod, ou o propósito da instância, se diferente.
  9. Email de suporte ao usuário: complete com o endereço de email de um Administrador ou um endereço de email de grupo
  10. Logo do App: opcionalmente, faça o upload de um arquivo para usar como logo
  11. Complete a seção Domínio do App com a URL da página inicial do aplicativo e um link para a política de privacidade e/ou termos de serviço da sua organização
  12. Em Domínios Autorizados, adicione o nome do domínio do qual a instância do App Builder faz parte. Este pode ser seu próprio domínio ou zudy.host. Adicione múltiplos domínios, se aplicável.
  13. Insira um endereço de email de suporte para Informações de Contato do Desenvolvedor
  14. Clique em Salvar e Continuar

  15. Na tela de Escopos, identifique as informações que estão sendo solicitadas sobre o usuário, pelo App Builder. Clique em Adicionar Escopos e selecione os três escopos mostrados na captura de tela a seguir.

    OAuth3.png

    Exemplo configurando Escopos

  16. Clique em Atualizar

    Nota

    Observe que estes são considerados "escopos não sensíveis". Nenhum outro escopo é exigido pelo App Builder.

  17. Clique em Salvar e Continuar

  18. Revise a página de resumo e clique em Voltar ao Painel
  19. Clique em Criar CredenciaisID do cliente OAuth
  20. Em Tipo de Aplicação, escolha Aplicação Web
  21. Em Nome, digite um rótulo descritivo que identifique a aplicação. Este valor não é utilizado em outro lugar. Por exemplo: Instância do App Builder. Normalmente, você especificaria Dev, QA ou Prod, ou o propósito da instância, se diferente.
  22. Em Origens JavaScript Autorizadas, forneça a URI representando o FQDN (nome de domínio totalmente qualificado) da sua instância do App Builder. Observe que isso não deve incluir nenhuma informação de caminho. Por exemplo: https://example.zudy.com

  23. A tela completada deve parecer semelhante a este exemplo:

    OAuth4.png

    Exemplo de configuração do ID do cliente OAuth

  24. Um popup deve aparecer contendo suas credenciais OAuth. Essas credenciais devem ser mantidas em segredo e serão semelhantes ao formato dos exemplos fictícios abaixo. Deixe este popup aberto, pronto para os próximos passos de configuração.

    • Exemplos:
    • Seu ID do Cliente: 825669012735-hd1oct8l1yeysoslrvtmf6b4gqkl12om.apps.googleusercontent.com
    • Seu Segredo do Cliente: CRZEXT-zd_Qa_MCZ3rArp5hkRD3B16PPDLN

  25. Isso completa os passos na Google Workspace/Google Cloud Platform.

Passos no Construtor de Aplicativos

Configurar propriedades do provedor de segurança e tipos de reivindicações

  1. Retorne à página de configuração para o Provedor de Serviço criado nos passos 1 a 5.

  2. Na seção Endpoints, clique em + Endpoint e Salve as seguintes 3 propriedades conforme especificado abaixo:

    • AuthorizationEndpoint: use o seguinte valor: https://accounts.google.com/o/oauth2/v2/auth
      • Nota: isso não é um exemplo, é universal para a configuração do Google OAuth v2
    • TokenEndpoint: use o seguinte valor: https://www.googleapis.com/oauth2/v4/token
    • UserInfoEndpoint: use o seguinte valor: https://openidconnect.googleapis.com/v1/userinfo

  3. Na seção Credenciais, clique em + Credencial e Salve as seguintes propriedades conforme especificado abaixo:

    • Tipo: Cliente
    • Nome de Usuário: use o ID do Cliente da seção anterior, passo 32
    • Senha: use o Segredo do Cliente da seção anterior, passo 32

  4. Na seção Propriedades, clique em + Propriedade e Salve as seguintes propriedades:

    • Scopes: use os 3 valores de escopo mostrados abaixo. Separe cada string com um espaço:
      • openid
      • https://www.googleapis.com/auth/userinfo.email
      • https://www.googleapis.com/auth/userinfo.profile

  5. Na seção Reivindicações, clique em + Reivindicação e Salve os seguintes Tipos de Reivindicação:

    • Identificador: email (minúsculas, sem espaços)
    • Uso: Nome
    • Nome: rótulo descritivo. Por exemplo: Nome

  6. Clique em Salvar

  7. Clique em Criar

    • Identificador: email
    • Uso: Endereço de Email
    • Nome: rótulo descritivo. Por exemplo: Endereço de Email

  8. Clique em Salvar

    Nota

    O tipo de reivindicação de uso de Endereço de Email é opcional, mas garantirá que o atributo Endereço de Email do usuário do App Builder será preenchido quando o usuário fizer login no App Builder usando o provedor de autenticação externo.

  9. Isso completa as etapas de configuração no App Builder

Testando

Neste ponto, a configuração está pronta para ser testada. Recomenda-se que todos os testes sejam realizados a partir de novas janelas de navegador Incognito ou Privado, ou em um navegador alternativo.

Etapas de teste

  1. Navegue até a página de login da instância do App Builder e:

    1. Confirme se o novo método de autenticação é exibido corretamente na página de login.
    2. Tente fazer login com o novo método de autenticação e revise o resultado. (Isso deve ser feito com um login separado do utilizado para administrar o App Builder.)

  2. Se erros forem relatados, revise toda a configuração e confirme se os elementos que precisam corresponder estão corretos – especialmente confirmando se o Client Secret e o Client ID foram copiados corretamente do Google para o App Builder.

  3. Se todas as configurações estiverem presentes e parecerem corretas, mas a autenticação externa ainda não estiver funcionando, entre em contato com o suporte do App Builder.