Halaman ini diterjemahkan oleh Cloud Translation API.

Desain keamanan Fleet Engine

Setelah membaca dasar-dasar tentang peran akun dan JWT di Fleet Engine, Anda dapat meninjau bagian ini untuk memahami alur dasar otentikasi dan otorisasi di Fleet Engine.

Desain keamanan

Desain keamanan Fleet Engine terdiri dari elemen-elemen berikut:

Peran:
- Peran IAM menentukan cakupan aktivitas yang diizinkan untuk penelepon. Misalnya, peran ondemandAdmin atau deliveryAdmin diizinkan untuk melakukan semuanya, sedangkan driverSdkUser atau Peran deliveryUntrustedDriver hanya dapat menjalankan update lokasi minimal.
- Peran IAM dikaitkan dengan akun layanan.
Permintaan
- Klaim JWT membatasi lebih lanjut entity yang dapat digunakan pemanggil untuk beroperasi. Tugas ini bisa berupa tugas atau kendaraan pengiriman.
- Permintaan yang dikirim ke Fleet Engine selalu berisi JWT.
- Karena JWT dikaitkan dengan akun layanan, permintaan dikirim ke Fleet Engine secara implisit terhubung dengan akun layanan yang terkait dengan JWT.
- Untuk meminta JWT yang sesuai yang dapat Anda teruskan ke Fleet Google Cloud, kode Anda yang berjalan di lingkungan low-trust harus terlebih dahulu memanggil kode Anda berjalan di lingkungan yang sepenuhnya tepercaya.
Pemeriksaan keamanan oleh Fleet Engine
- Peran IAM yang terkait dengan akun layanan memberikan otorisasi untuk pemanggil agar dapat melakukan panggilan API.
- Klaim JWT yang diteruskan dalam permintaan memberikan otorisasi yang benar untuk pemanggil untuk beroperasi pada entitas itu.

Alur autentikasi aplikasi klien

Diagram urutan berikut menunjukkan alur autentikasi aplikasi klien ini spesifikasi pendukung.

Administrator perangkat menyiapkan akun sebagai berikut:
- Membuat akun layanan
- Menetapkan peran IAM tertentu ke akun layanan
- Mengonfigurasi backend-nya dengan akun layanan
Aplikasi klien meminta JWT dari server Anda. Pemohon bisa jadi aplikasi Driver, aplikasi Konsumen, atau aplikasi pemantauan.
Fleet Engine menerbitkan JWT untuk akun layanan masing-masing.
Aplikasi klien akan melakukan hal berikut:
- Menerima JWT
- Menggunakan JWT untuk terhubung ke Fleet Engine untuk membaca atau mengubah data, tergantung pada peran IAM yang ditetapkan untuknya selama fase penyiapan.

Diagram alur keamanan selama penyiapan untuk autentikasi aplikasi klien

Langkah berikutnya

Buat project Fleet Engine Anda.
Pelajari cara Menerbitkan Token Web JSON dari server Anda.