Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document explique comment Fleet Engine sécurise l'échange d'informations entre les trois principaux environnements de votre système Fleet Engine : votre serveur backend, votre serveur Fleet Engine, et vos applications et sites Web clients.
Fleet Engine gère la sécurité de deux manières fondamentales, en utilisant le principe du moindre privilège :
Identifiants par défaut de l'application (ADC) : pour les environnements à privilèges élevés, tels que les communications de serveur à serveur. Utilisé lorsque votre serveur de backend crée et gère des véhicules et des trajets dans Fleet Engine. Pour en savoir plus, consultez Identifiants par défaut de l'application.
Jetons Web JSON (JWT) : pour les environnements à faible niveau de confiance, comme les applications clientes exécutées sur des smartphones et des navigateurs. Utilisé pour effectuer des opérations à privilèges inférieurs, comme la mise à jour de la position du véhicule dans Fleet Engine.
Les jetons JWT requis par les environnements à faible niveau de confiance sont générés et émis par votre serveur backend pour protéger les clés secrètes des comptes de service. Ils incluent des revendications supplémentaires spécifiques à Fleet Engine. Pour en savoir plus, consultez Jetons Web JSON.
Par exemple, si vous disposez d'une application pour les conducteurs, ceux-ci accèdent aux données de Fleet Engine via l'application. L'application est authentifiée à l'aide des jetons JWT qu'elle reçoit de votre serveur backend. Les revendications JWT incluses, ainsi que le rôle du compte de service, déterminent les parties de votre système auxquelles l'application du chauffeur a accès et ce qu'elle peut faire. Cette approche limite l'accès aux seules données nécessaires pour effectuer les missions de conduite.
Fleet Engine utilise ces approches de sécurité pour fournir les éléments suivants :
L'authentification vérifie l'identité de l'entité à l'origine de la demande.
Fleet Engine utilise ADC pour les environnements à haut niveau de confiance et JWT pour les environnements à faible niveau de confiance.
L'autorisation spécifie les ressources auxquelles une entité authentifiée a accès. Fleet Engine utilise des comptes de service avec des rôles Google Cloud IAM, ainsi que des revendications JWT qui garantissent que les entités authentifiées sont autorisées à consulter ou à modifier les données qu'elles demandent.
Configuration de la sécurité du serveur et du client
Pour activer la sécurité avec Fleet Engine, configurez les comptes et la sécurité requis sur votre serveur backend, ainsi que sur vos applications et sites Web clients.
Le schéma suivant présente les étapes à suivre pour configurer la sécurité sur votre serveur de backend et vos applications clientes.
Pour en savoir plus, consultez les sections suivantes.
Configurer la sécurité du serveur de backend
Un administrateur de flotte doit procéder comme suit :
Créer et configurer des comptes de service :
Dans la console Google Cloud, créez des comptes de service.
Attribuez des rôles IAM spécifiques aux comptes de service.
Configurez votre serveur de backend avec les comptes de service créés. Pour en savoir plus, consultez Rôles des comptes de service.
Configurer une communication sécurisée avec Fleet Engine (ADC) : configurez votre backend pour qu'il communique avec votre instance Fleet Engine à l'aide des identifiants par défaut de l'application avec le compte de service *Admin approprié. Pour en savoir plus, consultez Identifiants par défaut de l'application.
Configurer une communication sécurisée avec les applications clientes (JWT) : créez un générateur de jetons Web JSON pour créer des JWT avec les revendications appropriées pour les applications clientes et les sites Web de surveillance. Pour en savoir plus, consultez Émettre des jetons Web JSON.
Configuration de la sécurité des applications
Les développeurs d'applications doivent inclure un moyen d'extraire les jetons Web JSON générés par votre serveur backend dans vos applications ou sites Web clients, et les utiliser pour communiquer de manière sécurisée avec Fleet Engine. Pour en savoir plus, consultez les instructions de configuration dans la documentation sur l'expérience du conducteur ou l'expérience du consommateur pour les applications dont vous avez besoin.
Flux de sécurité de l'application serveur et cliente
Le schéma séquentiel suivant illustre le flux d'authentification et d'autorisation des applications serveur et client avec Fleet Engine à l'aide des identifiants par défaut de l'application avec le serveur backend et des jetons JWT avec les applications et sites Web clients.
Votre serveur backend crée des véhicules, des trajets ou des tâches dans Fleet Engine.
Votre serveur backend attribue un trajet ou une tâche à un véhicule. :
L'application du chauffeur, lorsqu'elle est active, récupère l'attribution.
Votre serveur backend : signe et émet un jeton JWT pour le compte de service concerné, avec le rôle IAM approprié pour la tâche ou le trajet attribué.
L'application cliente : l'application cliente utilise le jeton JWT reçu pour envoyer des informations sur la position du véhicule à Fleet Engine.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/31 (UTC).
[null,null,["Dernière mise à jour le 2025/08/31 (UTC)."],[[["\u003cp\u003eFleet Engine secures communication between your backend server, the Fleet Engine server, and your client applications using Application Default Credentials (ADC) and JSON Web Tokens (JWT).\u003c/p\u003e\n"],["\u003cp\u003eADC is used for high-privilege communication between your backend server and Fleet Engine, while JWT is used for low-trust environments like client applications.\u003c/p\u003e\n"],["\u003cp\u003eYour backend server generates and issues JWTs to client applications, limiting access based on JWT claims and service account roles for enhanced security.\u003c/p\u003e\n"],["\u003cp\u003eFleet Engine employs authentication to verify the identity of the requesting entity and authorization to control access to specific resources based on defined roles and claims.\u003c/p\u003e\n"],["\u003cp\u003eTo ensure security, you need to configure service accounts, set up ADC for backend communication, implement JWT generation on your server, and enable client applications to fetch and use JWTs for secure interaction with Fleet Engine.\u003c/p\u003e\n"]]],[],null,["# Security overview\n\nThis document explains how Fleet engine secures information exchange between the\nthree primary environments of your Fleet Engine system: your backend server,\nyour Fleet Engine server, and your client applications and websites.\n\nFleet Engine manages security in two fundamental ways, using the principle of\nleast privilege:\n\n- **Application Default Credentials (ADC)** : For high-privileged environments\n such as server to server communications. Used when your backend server is\n creating vehicles and trips and managing them in Fleet Engine. For details,\n see [Application Default Credentials](https://cloud.google.com/docs/authentication/provide-credentials-adc).\n\n | **Note:** While you can use JWTs for server-to-server communication, Google recommends you use ADC.\n- **JSON Web Tokens (JWT)**: For low-trust environments like client\n applications running on smartphones and browsers. Used to accomplish\n lower-privileged operations, such as updating\n vehicle location in Fleet Engine.\n\n The JWTs required by low-trust environments are generated and issued by your\n backend server to safeguard service account secret keys, and include\n additional claims specific to Fleet Engine. For details, see [JSON Web\n Tokens](/maps/documentation/mobility/fleet-engine/essentials/set-up-fleet/jwt).\n\n For example, if you have a driver app, drivers access data from Fleet Engine\n through the app. The app is authenticated using JWTs it gets from your\n backend server. The included JWT claims, along with the service account\n role, determine what parts of your system the driver app has access to and\n what it can do. This approach limits access to only the data required\n to complete their driving assignments.\n\nFleet Engine uses these security approaches to provide the following:\n\n- *Authentication* verifies the identity of the entity making the request.\n Fleet Engine uses ADC for high-trust environments and JWT for low-trust\n environments.\n\n- *Authorization* specifies which resources an authenticated entity has access\n to. Fleet Engine uses service accounts with Google Cloud IAM roles, plus JWT\n claims that ensure authenticated entities have permissions to see or change\n the data they're requesting.\n\nServer and client security setup\n--------------------------------\n\nTo enable security with Fleet Engine, set up the required accounts\nand security on your backend server and on your client applications and\nwebsites.\n\nThe following diagram shows an overview of the steps to set up security on your\nbackend server and client applications.\n\nFor more details, see the following sections.\n\n### Backend server security setup\n\nA fleet administrator needs to follow these steps:\n\n1. **Create and configure service accounts**:\n\n 1. In the Google Cloud Console, create service accounts.\n\n 2. Assign specific IAM roles to the service accounts.\n\n 3. Configure your backend server with the created service accounts. For\n details, see [Service account roles](/maps/documentation/mobility/fleet-engine/essentials/set-up-fleet/service-accounts).\n\n2. **Configure secure communication with Fleet Engine (ADC)** : Configure your\n backend to communicate with your Fleet Engine instance using Application\n Default Credentials with the appropriate \\*Admin service account. For\n details, See\n [Application Default Credentials](https://cloud.google.com/docs/authentication/provide-credentials-adc).\n\n3. **Configure secure communication with client apps (JWT)** : Create a JSON Web\n Token generator to create JWTs with appropriate claims for client\n applications and monitoring websites. For details, see\n [Issue JSON Web Tokens](/maps/documentation/mobility/fleet-engine/essentials/set-up-fleet/issue-jwt).\n\n### Application security setup\n\nApplication developers need to include a way to fetch JSON Web Tokens generated\nby your backend server in your client apps or websites, and use them to securely\ncommunicate with Fleet Engine. For details, see the setup instructions in the\n[Driver Experience](/maps/documentation/mobility/driver-sdk) or [Consumer\nExperience](/maps/documentation/mobility/journey-sharing) documentation for the\napplications you need.\n\nServer and client app security flow\n-----------------------------------\n\nThe following sequence diagram demonstrates the server and client app\nauthentication and authorization flow with Fleet Engine using ADC with the\nbackend server and JWTs with the client applications and websites.\n\n- **Your backend server creates vehicles and trips or tasks in Fleet Engine**.\n\n- **Your backend server a trip or task to a vehicle**:\n The driver app, when active, retrieves the assignment.\n\n- **Your backend server**: Signs and issues a JWT for the respective service\n account with the appropriate IAM role for the assigned task or trip.\n\n- **The client app**: The client app uses the received JWT to send vehicle\n location updates to Fleet Engine.\n\nWhat's next\n-----------\n\n- Create your [Fleet Engine project](/maps/documentation/mobility/fleet-engine/essentials/set-up-fleet/create-project).\n- Learn how to [Issue JSON Web Tokens](/maps/documentation/mobility/fleet-engine/essentials/set-up-fleet/issue-jwt) from your server.\n- Learn more about [Service account roles](/maps/documentation/mobility/fleet-engine/essentials/set-up-fleet/service-accounts).\n- Learn more about [JWTs](/maps/documentation/mobility/fleet-engine/essentials/set-up-fleet/jwt)."]]
