Questa pagina è stata tradotta dall'API Cloud Translation.

Protezione delle app di App Engine con IAP

Questa pagina illustra la procedura per eseguire il deployment di un'applicazione per l'ambiente standard o flessibile di App Engine e proteggerla con Identity-Aware Proxy (IAP). La guida rapida include codice di esempio per un'app web per l'ambiente standard di App Engine che verifica il nome di un utente che ha eseguito l'accesso.

Se prevedi di pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.

Per proteggere le risorse non su Google Cloud, consulta Protezione di app e risorse on-premise.

Prima di iniziare

Per abilitare IAP per App Engine, devi disporre di quanto segue:

Un Google Cloud progetto della console con la fatturazione abilitata.

Se non hai ancora configurato l'istanza App Engine, consulta Eseguire il deployment di App Engine per una procedura dettagliata completa.

IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all'applicazione con abilitazione IAP. Se vuoi consentire l'accesso a utenti esterni all'organizzazione, consulta Attivare l'IAP per le applicazioni esterne.

Attivazione di IAP

Console

Il client OAuth gestito da Google non è disponibile quando attivi l'IAP utilizzando la Google Cloud console.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under APPLICATIONS, find the application you want to restrict access to. To turn on IAP for a resource,
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only accounts with the IAP-Secured Web App User role on the project will be given access.

gcloud

Prima di configurare il progetto e gli acquisti in-app, devi disporre di una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.

Per l'autenticazione, utilizza Google Cloud CLI ed esegui il comando seguente.
```
gcloud auth login
```
Fai clic sull'URL visualizzato e accedi.
Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
Esegui il seguente comando per specificare il progetto contenente le applicazioni che vuoi proteggere con IAP.
```
gcloud config set project PROJECT_ID
```

Per abilitare gli acquisti in-app, esegui il seguente comando.

gcloud iap web enable --resource-type=app-engine --versions=version

Aggiungi al progetto le entità che devono avere il ruolo Utente applicazione web con protezione IAP.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Sostituisci PROJECT_ID con l'ID progetto.
- Sostituisci PRINCIPAL_IDENTIFIER con i principali necessari. Può trattarsi di un tipo di dominio, gruppo, account di servizio o utente. Ad esempio, user:myemail@example.com.

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando gcloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

API

Esegui il comando seguente per preparare un file settings.json.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Esegui il comando seguente per attivare l'IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando Google Cloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

Testa l'autenticazione utente

Accedi all'URL dell'app da un Account Google che hai aggiunto a IAP con il ruolo Utente applicazione web con protezione IAP come descritto sopra. Dovresti avere accesso senza limitazioni all'app.
Utilizza una finestra in modalità incognito su Chrome per accedere all'app e accedere quando richiesto. Se provi ad accedere all'app con un account non autorizzato con il ruolo Utente dell'app web protetta da IAP, viene visualizzato un messaggio che ti informa che non disponi dei diritti di accesso.

Passaggi successivi

Imposta regole di contesto più avanzate applicando i livelli di accesso.
Visualizza le richieste di accesso abilitando gli audit log di Cloud.
Scopri di più su IAP.
Scopri come recuperare l'identità dell'utente e sviluppa la tua app App Engine.