Nesta página, você verá como implantar um aplicativo do ambiente padrão ou flexível do App Engine e protegê-lo com o Identity-Aware Proxy (IAP). O guia de início rápido inclui o código de amostra de um app da Web do ambiente padrão do App Engine que verifica o nome de um usuário conectado.
Se você planeja disponibilizar recursos de uma rede de fornecimento de conteúdo (CDN, na sigla em inglês), consulte o guia de práticas recomendadas para informações importantes.
Para proteger recursos que não estão no Google Cloud, consulte Como proteger apps e recursos no local.
Antes de começar
Para ativar o IAP para o App Engine, você precisará destes elementos:
- Um Google Cloud projeto do console com faturamento ativado.
Se você ainda não configurou a instância do App Engine, consulte Como implantar o App Engine para um tutorial completo.
O IAP usa um cliente OAuth gerenciado pelo Google para autenticar usuários. Somente os usuários da organização podem acessar o aplicativo com IAP ativado. Se você quiser permitir o acesso de usuários de fora da sua organização, consulte Ativar o IAP para aplicativos externos.
Como ativar o IAP
Console
O cliente OAuth gerenciado pelo Google não está disponível ao ativar o IAP usando o console Google Cloud .
gcloud
API
Testar a autenticação do usuário
Acesse o URL do app usando uma conta do Google que você adicionou ao IAP com o papel Usuário do app da Web protegido pelo IAP, conforme descrito acima. Você precisa ter acesso irrestrito a ele.
Use uma janela anônima no Chrome para acessar o app e faça login quando solicitado. Se você tentar acessar o app com uma conta que não está autorizada com o papel Usuário do app da Web protegido pelo IAP, será exibida uma mensagem informando que você não têm acesso.
Próximas etapas
- Defina regras de contexto mais avançadas aplicando níveis de acesso.
- Para as solicitações de acesso, ative os registros de auditoria do Cloud.
- Saiba mais sobre o IAP.
- Saiba mais sobre Como conseguir a identidade do usuário e desenvolver seu próprio aplicativo do App Engine.