Proteger aplicaciones de App Engine con IAP

En esta página se explica cómo desplegar una aplicación del entorno estándar o flexible de App Engine y protegerla con Identity-Aware Proxy (IAP). La guía de inicio rápido incluye código de ejemplo para una aplicación web del entorno estándar de App Engine que verifica el nombre de un usuario que ha iniciado sesión.

Si tienes previsto servir recursos desde una red de distribución de contenido (CDN), consulta la guía de prácticas recomendadas para obtener información importante.

Para proteger los recursos que no están en Google Cloud, consulta Proteger aplicaciones y recursos on-premise.

Antes de empezar

Para habilitar IAP para App Engine, necesitas lo siguiente:

  • Un proyecto de la consola de Google Cloud con la facturación habilitada. Google Cloud

Si aún no has configurado tu instancia de App Engine, consulta la guía completa para implementar App Engine.

IAP usa un cliente de OAuth gestionado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación con IAP. Si quieres permitir el acceso a usuarios ajenos a tu organización, consulta Habilitar las compras en aplicaciones para aplicaciones externas.

Habilitar IAP

Consola

El cliente de OAuth gestionado por Google no está disponible al habilitar IAP mediante la Google Cloud consola.

gcloud

API

Probar la autenticación de usuarios

  1. Accede a la URL de la aplicación desde una cuenta de Google que hayas añadido a IAP con el rol Usuario de aplicaciones web protegidas mediante IAP, tal como se ha descrito anteriormente. Deberías poder acceder a ella sin problemas.

  2. Usa una ventana de Incógnito en Chrome para acceder a la aplicación e inicia sesión cuando aparezca el mensaje correspondiente. Si intentas acceder a la aplicación con una cuenta que no tiene autorización con el rol Usuario de aplicación web protegida por IAP, verás un mensaje que indica que no tienes acceso.

Pasos siguientes