Protege apps de App Engine con IAP

En esta página, se explica cómo implementar una aplicación de entorno flexible o estándar de App Engine y cómo protegerla con Identity-Aware Proxy (IAP). En la guía de inicio rápido, se incluye un código de muestra para una aplicación web de entorno estándar de App Engine que verifica el nombre de un usuario que accedió a ella.

Si tienes pensado publicar recursos desde una red de distribución de contenidos (CDN), consulta la guía de prácticas recomendadas para obtener información importante.

Para proteger los recursos que no están en Google Cloud, consulta Protege las apps y los recursos locales.

Antes de comenzar

Para habilitar IAP para App Engine, necesitas lo siguiente:

  • Un proyecto de Google Cloud console con facturación habilitada

Si aún no configuraste tu instancia de App Engine, consulta Cómo implementar App Engine para obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar a los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.

Habilita IAP

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilitan los IAP con la consola de Google Cloud .

gcloud

API

Cómo probar la autenticación de usuarios

  1. Accede a la URL de la app desde una Cuenta de Google que agregaste a IAP con la función de Usuario de aplicación web protegida con IAP, como se describió antes. Debes tener acceso ilimitado a la aplicación.

  2. Usa una ventana de incógnito en Chrome para acceder a la aplicación y cuando se te solicite. Si intentas acceder a la aplicación con una cuenta que no está autorizada con la función Usuario de aplicación web protegida con IAP, verás un mensaje que indica que no tienes acceso.

Próximos pasos