Guía de Configuración de Google OAuth¶

Propósito del Documento¶

Describir los pasos de configuración necesarios para configurar Vinyl para utilizar Google como proveedor de seguridad externo OIDC/OAuth 2.0 para la autenticación de usuarios.

Introducción¶

La configuración de la autenticación externa requiere configuración tanto en el proveedor de identidad como en la instancia de Vinyl. En ambos casos, se requieren derechos administrativos.

Pasos en Vinyl¶

Crear un Proveedor de Seguridad¶

1. Inicie sesión en Vinyl como administrador
2. Vaya a IDE > Proveedores de seguridad
3. En la sección Autenticación de usuario, haga clic en + Autenticación de usuario para agregar un nuevo proveedor de seguridad.

4. Complete los siguientes valores:

   • Nombre: nombre breve y descriptivo del Proveedor de Seguridad. Lo ideal es evitar los espacios. Esto pasa a formar parte de la ruta de autenticación de Vinyl.
   • Tipo: Autenticación externa > OAuth
   • Prioridad: acepte la sugerencia predeterminada o actualice según sus preferencias

   • Habilitado: Verificar

     • Tipo de autenticación: OAuth
     • OAuth Grant: Código de autorización

   • Autenticación de cliente OAuth: Básico

   • Autenticación de recursos OAuth: Portador
   • Propietario del token: Usuario
   • Redireccionamiento en desafío: Verificar
   • Mostrar en el formulario de inicio de sesión: Verificar
   • Aprovisionamiento de usuarios: comprobar
   • Reclamaciones de la tienda: Consultar. Esto es importante al configurar y solucionar problemas inicialmente, pero puede eliminarse más adelante si lo desea.

5. Haga clic en Guardar

Pasos en Google Workspace/Google Cloud Platform¶

Crear un Nuevo Proyecto¶

1. Vaya a la página Administrar recursos en la Consola de Google Cloud
2. Inicie sesión como administrador si se le solicita
3. En la lista desplegable Seleccionar organización en la parte superior de la página, seleccione la organización en la que desea crear un proyecto. Si es un usuario de prueba gratuita, omita este paso, ya que no se aplica.
4. Haga clic en Crear proyecto
5. En la ventana Nuevo proyecto que aparece, ingrese un nombre de proyecto. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres. Debe ser un nombre descriptivo y único que identifique el proyecto. Por ejemplo: autenticación de Vinyl
6. Seleccione la organización principal en el cuadro Organización.
7. Opcionalmente, seleccione una carpeta en el cuadro Ubicación. Este recurso será el padre jerárquico del nuevo proyecto.
8. Haga clic en Crear

Para obtener referencias adicionales sobre la creación de proyectos, consulte la documentación de Google disponible en: https://cloud.google.com/resource-manager/docs/creating-managing-projects

Configure la Pantalla de Consentimiento de OAuth y Cree Credenciales API¶

1. Después de haber creado el proyecto, abra la página Credenciales en la Consola API de Google. Inicio > APIs y servicios > Credenciales
2. Verifique el nombre del proyecto que aparece en la esquina superior izquierda cerca del logotipo para asegurarse de que está utilizando el proyecto correcto. Haga clic en la flecha desplegable para cambiar de proyecto, si es necesario.
3. Haga clic en Crear credenciales → ID de cliente OAuth

4. A menos que haya configurado previamente una pantalla de consentimiento, se le indicará que configure su pantalla de consentimiento primero. La pantalla de consentimiento se presentará a los usuarios finales cuando accedan por primera vez a la aplicación (Vinyl) utilizando sus credenciales de Google y les pedirá que acepten ese acceso a su cuenta de Google. Si ya configuró una pantalla de consentimiento y alcances, vaya al paso 29.

   

   Ejemplo de configuración de la pantalla de consentimiento

5. Haga clic en Configurar pantalla de consentimiento

6. Seleccione Interno para Tipo de usuario y haga clic en Crear.
7. Complete la sección Información de la aplicación de la siguiente manera:
8. Nombre de la aplicación: ingrese el nombre de la aplicación personalizada. Por ejemplo: Instancia de Vinyl. Normalmente, especificaría Dev, QA o Prod, o el propósito de la instancia, si es diferente.
9. correo de soporte al usuario: complete con la dirección de correo de un administrador o la dirección de correo del grupo
10. Logotipo de la aplicación: opcionalmente, cargue un archivo para usarlo como logotipo
11. Complete la sección Dominio de la aplicación con la URL de la página de inicio de la aplicación y un enlace a la política de privacidad y/o términos de servicio de su organización.
12. En Dominios autorizados, agregue el nombre de dominio del que forma parte la instancia de Vinyl. Este puede ser tu propio dominio o zudy. alojar. Agregue varios dominios si corresponde.
13. Ingrese una dirección de correo de soporte para Información de contacto del desarrollador
14. Haga clic en Guardar y Continuar

15. En la pantalla Alcances identifique la información que Vinyl solicita sobre el usuario. Haga clic en Agregar ámbitos y seleccione los tres ámbitos que se muestran en la siguiente captura de pantalla.

    

    Ejemplo de configuración de ámbitos

16. Haga clic en Actualizar

    Nota

    Tenga en cuenta que estos se consideran "ámbitos no sensibles". Vinyl no requiere otros visores.

17. Haga clic en Guardar y Continuar

18. Revise la página de resumen y haga clic en Volver al panel
19. Haga clic en Crear credenciales → ID de cliente OAuth
20. En Tipo de aplicación, elija Aplicación web
21. En Nombre, escriba una etiqueta descriptiva que identifique la aplicación. Este valor no se utiliza en ningún otro lugar. Por ejemplo: Instancia de Vinyl. Normalmente, especificaría Dev, QA o Prod, o el propósito de la instancia, si es diferente.
22. En Orígenes de JavaScript autorizados, proporcione el URI que representa el FQDN (nombre de dominio completo) de su instancia de Vinyl. Tenga en cuenta que esto no debe incluir ninguna información de ruta. Por ejemplo: https://example.zudy.com

23. La pantalla completa debería verse similar a este ejemplo:

    

    Ejemplo de configuración de ID de cliente OAuth

24. Debería aparecer una ventana emergente que contenga sus credenciales de OAuth. Estas credenciales deben mantenerse en secreto y tendrán un formato similar a los ejemplos ficticios que aparecen a continuación. Deje esta ventana emergente abierta lista para los siguientes pasos de configuración.

    • Ejemplos:
    • Su ID de cliente: 825669012735-hd1oct8l1yeysoslrvtmf6b4gqkl12om.apps.googleusercontent.com
    • Su secreto del cliente: CRZEXT-zd_Qa_MCZ3rArp5hkRD3B16PPDLN

25. Esto completa los pasos en Google Workspace/Google Cloud Platform.

Pasos en Vinyl¶

Configurar Propiedades del Proveedor de Seguridad y Tipos de Reclamos¶

1. Regrese a la página de configuración del Proveedor de servicios creado en los pasos 1 a 5.

2. En la sección Extremos, haga clic en + Extremo y Guardar las siguientes 3 propiedades como se especifica a continuación:

   • Punto final de autorización: utilice el siguiente valor: https://accounts.google.com/o/oauth2/v2/auth
     • Nota: este no es un ejemplo, es universal para la configuración de Google OAuth v2
   • TokenEndpoint: utilice el siguiente valor: https://www.googleapis.com/oauth2/v4/token
   • UserInfoEndpoint: utilice el siguiente valor: https://openidconnect.googleapis.com/v1/userinfo

3. En la sección Credenciales, haga clic en + Credencial y Guardar las siguientes propiedades como se especifica a continuación:

   • Tipo: Cliente
   • Nombre de usuario: utilice el ID de cliente de la sección anterior, paso 32
   • Contraseña: utilice el secreto del cliente de la sección anterior, paso 32

4. En la sección Propiedades, haga clic en + Propiedad y Guardar las siguientes propiedades:

   • Ámbitos: utilice los 3 valores de alcance que se muestran a continuación. Separe cada cadena con un espacio:
     • openid
     • https://www.googleapis.com/auth/userinfo.email
     • https://www.googleapis.com/auth/userinfo.profile

5. En la sección Reclamaciones, haga clic en + Reclamación y guarde los siguientes tipos de reclamaciones:

   • Identificador: correo (minúsculas, sin espacios)
   • Uso: Nombre
   • Nombre: etiqueta descriptiva. Por ejemplo: nombre

6. Haga clic en Guardar

7. Haga clic en Crear

   • Identificador: correo
   • Uso: Dirección de correo electrónico
   • Nombre: etiqueta descriptiva. Por ejemplo: dirección de Correo

8. Haga clic en Guardar

   Nota

   El tipo de reclamo de uso de dirección de correo electrónico es opcional, pero garantizará que el atributo de dirección de Correo del usuario de Vinyl se complete cuando el usuario inicie sesión en Vinyl utilizando el proveedor de autenticación externo.

9. Esto completa los pasos de configuración en Vinyl.

Pruebas¶

En este punto, la configuración está lista para probar. Se recomienda que todas las pruebas se realicen desde nuevas ventanas de navegador privado o de incógnito, o en un navegador alternativo.

Pasos de Prueba¶

1. Navegue a la página de inicio de sesión de la instancia de Vinyl y:

   1. Confirme que el nuevo método de autenticación se muestre correctamente en la página de inicio de sesión.
   2. Intente iniciar sesión con el nuevo método de autenticación y revise el resultado. (Esto debe hacerse con un inicio de sesión independiente al que se utiliza para administrar Vinyl).

2. Si se informan errores, revise toda la configuración y confirme que los elementos que deben coincidir sean correctos, en particular, confirme que el secreto del cliente y la identificación del cliente se copiaron correctamente de Google a Vinyl.

3. Si todas las configuraciones están presentes y parecen correctas, pero la autenticación externa aún no funciona, comuníquese con Soporte de Vinyl.