Aplikasi yang berjalan di platform yang dikelola Google Cloud, seperti App Engine, dapat menghindari pengelolaan autentikasi pengguna dan pengelolaan sesi karena menggunakan Identity-Aware Proxy (IAP) untuk mengontrol akses ke aplikasi tersebut. IAP tidak hanya dapat mengontrol akses ke aplikasi, tetapi juga memberikan informasi tentang pengguna yang diautentikasi, termasuk alamat email dan ID persisten untuk aplikasi dalam bentuk header HTTP baru.
Tujuan
Wajibkan pengguna aplikasi App Engine Anda untuk mengautentikasi diri mereka sendiri dengan menggunakan IAP.
Mengakses identitas pengguna di aplikasi untuk menampilkan alamat email yang diautentikasi milik pengguna saat ini.
Biaya
Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:
Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda,
gunakan kalkulator harga.
Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.
Sebelum memulai
- Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
- Menginstal Google Cloud CLI.
-
Untuk initialize gcloud CLI, jalankan perintah berikut:
gcloud init
-
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
- Menginstal Google Cloud CLI.
-
Untuk initialize gcloud CLI, jalankan perintah berikut:
gcloud init
- Menyiapkan lingkungan pengembangan Anda.
Menyiapkan project
Di jendela terminal, clone repositori aplikasi contoh ke mesin lokal Anda:
git clone https://github.com/GoogleCloudPlatform/golang-samples.git
Ubah ke direktori yang berisi kode contoh:
cd golang-samples/getting-started/authenticating-users
Latar belakang
Tutorial ini menggunakan IAP untuk mengautentikasi pengguna. Ini hanyalah salah satu dari beberapa kemungkinan pendekatan. Untuk mempelajari berbagai metode autentikasi pengguna lebih lanjut, lihat bagian Konsep autentikasi.
Aplikasi Hello user-email-address
Aplikasi untuk tutorial ini adalah aplikasi App Engine Halo dunia minimal,
dengan satu fitur non-standar: aplikasi menampilkan
"Hello user-email-address
", dengan
user-email-address
adalah alamat email pengguna
yang diautentikasi.
Fungsionalitas ini dapat dilakukan dengan memeriksa informasi terautentikasi yang ditambahkan IAP ke setiap permintaan web yang diteruskan ke aplikasi Anda. Ada tiga header permintaan baru yang ditambahkan ke setiap permintaan web yang menjangkau aplikasi Anda. Dua header pertama adalah string teks biasa yang bisa digunakan untuk mengidentifikasi pengguna. Header ketiga adalah objek yang ditandatangani secara kriptografis dengan informasi yang sama tersebut.
X-Goog-Authenticated-User-Email
: Alamat email pengguna akan mengidentifikasinya. Jangan simpan informasi pribadi jika aplikasi Anda dapat menghindarinya. Aplikasi ini tidak menyimpan data apa pun; tetapi hanya mengirimkan kembali data kepada pengguna.X-Goog-Authenticated-User-Id
: User-ID yang ditetapkan oleh Google ini tidak menampilkan informasi tentang pengguna, tetapi memungkinkan aplikasi mengetahui bahwa pengguna yang login sama dengan yang sebelumnya terlihat.X-Goog-Iap-Jwt-Assertion
: Anda dapat mengonfigurasi aplikasi Google Cloud untuk menerima permintaan web dari aplikasi cloud lain, dengan mengabaikan IAP, selain permintaan web internet. Jika aplikasi sudah dikonfigurasi, mungkin saja permintaan tersebut memiliki header palsu. Daripada menggunakan salah satu header teks biasa yang disebutkan sebelumnya, Anda dapat menggunakan dan memverifikasi header yang ditandatangani secara kriptografis ini untuk memeriksa apakah informasi telah diberikan oleh Google. Alamat email pengguna dan ID pengguna tetap tersedia sebagai bagian dari header yang ditandatangani ini.
Jika Anda yakin bahwa aplikasi telah dikonfigurasi sehingga hanya permintaan web internet yang dapat menjangkaunya, dan tidak ada yang dapat menonaktifkan layanan IAP untuk aplikasi, mengambil ID pengguna unik hanya memerlukan satu baris kode:
userID := r.Header.Get("X-Goog-Authenticated-User-ID")
Namun, aplikasi yang tangguh akan mendeteksi berbagai kesalahan, termasuk masalah konfigurasi atau lingkungan yang tidak terduga. Oleh karena itu, sebaiknya buat fungsi yang menggunakan dan memverifikasi header yang ditandatangani secara kriptografis. Tanda tangan header tersebut tidak dapat dipalsukan, dan jika diverifikasi, dapat digunakan untuk menampilkan identifikasi.
Memahami kode
Bagian ini menjelaskan cara kerja kode. Jika ingin menjalankan aplikasi, Anda dapat langsung membuka bagian Men-deploy aplikasi.
File
go.mod
menentukan modul Go dan modul yang menjadi tempatnya bergantung.File
app.yaml
memberi tahu App Engine lingkungan bahasa yang diperlukan kode Anda.Aplikasi dimulai dengan mengimpor paket dan menentukan fungsi
main
. Fungsimain
mendaftarkan pengendali indeks dan memulai server HTTP.Fungsi
index
mendapatkan nilai header pernyataan JWT yang ditambahkan IAP dari permintaan masuk dan memanggil fungsivalidateAssertion
untuk memvalidasi nilai yang ditandatangani secara kriptografis. Alamat email tersebut kemudian digunakan dalam respons web minimal.Fungsi
validateAssertion
memvalidasi bahwa pernyataan ditandatangani dengan benar dan menampilkan alamat email dan ID pengguna terkait.Untuk memvalidasi pernyataan JWT, Anda perlu mengetahui sertifikat kunci publik entity yang menandatangani pernyataan (dalam hal ini Google), dan audiens yang menjadi tujuan pernyataan tersebut. Untuk aplikasi App Engine, audience adalah string yang berisi informasi identifikasi project Google Cloud di dalamnya. Fungsi
validateAssertion
mendapatkan sertifikat tersebut dari fungsicerts
dan string audiens dari fungsiaudience
.Anda dapat mencari ID numerik dan nama project Google Cloud serta memasukkannya sendiri ke dalam kode sumber, tetapi fungsi
audience
melakukannya untuk Anda dengan membuat kueri layanan metadata standar yang tersedia untuk setiap aplikasi App Engine. Karena layanan metadata berada di luar kode aplikasi, hasil tersebut disimpan dalam variabel global yang ditampilkan tanpa harus mencari metadata dalam panggilan berikutnya.Layanan metadata App Engine (dan layanan metadata serupa untuk layanan Google Cloud computing lainnya) terlihat seperti situs web dan dikueri oleh kueri web standar. Namun, layanan metadata sebenarnya bukan situs eksternal, melainkan fitur internal yang menampilkan informasi yang diminta tentang aplikasi yang sedang berjalan, sehingga aman untuk menggunakan permintaan
http
, bukan permintaanhttps
. Layanan metadata digunakan untuk mendapatkan ID Google Cloud saat ini yang diperlukan untuk menentukan audiens yang dituju dalam pernyataan JWT.Verifikasi tanda tangan digital memerlukan sertifikat kunci publik dari penanda tangan. Google menyediakan situs yang menampilkan semua sertifikat kunci publik yang digunakan saat ini. Hasil ini akan disimpan dalam cache jika diperlukan lagi dalam instance aplikasi yang sama.
Men-deploy aplikasi
Sekarang Anda dapat men-deploy aplikasi, lalu mengaktifkan IAP untuk mewajibkan pengguna melakukan autentikasi sebelum mereka dapat mengakses aplikasi.
Di jendela terminal, buka direktori yang berisi file
app.yaml
, lalu deploy aplikasi ke App Engine:gcloud app deploy
Jika diminta, pilih wilayah di sekitar.
Ketika ditanya apakah Anda ingin melanjutkan operasi deployment, masukkan
Y
.Dalam beberapa menit, aplikasi Anda sudah tayang di internet.
Lihat aplikasi:
gcloud app browse
Di output, salin
web-site-url
, alamat web untuk aplikasi.Di jendela browser, tempel
web-site-url
untuk membuka aplikasi.Tidak ada email yang ditampilkan karena Anda belum menggunakan IAP, sehingga tidak ada informasi pengguna yang dikirim ke aplikasi.
Aktifkan IAP
Setelah instance App Engine ada, Anda dapat melindunginya dengan IAP:
Di konsol Google Cloud, buka halaman Identity-Aware Proxy.
Karena ini adalah pertama kalinya Anda mengaktifkan opsi autentikasi untuk project ini, Anda akan melihat pesan bahwa Anda harus mengonfigurasi layar izin OAuth sebelum dapat menggunakan IAP.
Klik Konfigurasi Layar Persetujuan.
Pada tab OAuth Consent Screen di halaman Credentials, lengkapi kolom berikut:
Jika akun Anda berada di organisasi Google Workspace, pilih External, lalu klik Create. Untuk memulai, aplikasi hanya akan tersedia untuk pengguna yang secara eksplisit Anda izinkan.
Di kolom Application name, masukkan
IAP Example
.Di kolom Email dukungan, masukkan alamat email Anda.
Di kolom Authorized domain, masukkan bagian nama host dari URL aplikasi, misalnya,
iap-example-999999.uc.r.appspot.com
. Tekan tombolEnter
setelah memasukkan nama host di kolom.Di kolom Link halaman beranda aplikasi, masukkan URL untuk aplikasi Anda, misalnya
https://iap-example-999999.uc.r.appspot.com/
.Di kolom Baris kebijakan privasi aplikasi, gunakan URL yang sama dengan link halaman beranda untuk tujuan pengujian.
Klik Save. Saat diminta membuat kredensial, Anda dapat menutup jendela.
Di konsol Google Cloud, buka halaman Identity-Aware Proxy.
Untuk memuat ulang halaman, klik Refresh refresh. Halaman ini menampilkan daftar resource yang dapat Anda lindungi.
Di kolom IAP, klik untuk mengaktifkan IAP untuk aplikasi.
Di browser Anda, buka
web-site-url
lagi.Sebagai ganti halaman web, terdapat layar login untuk mengautentikasi diri Anda sendiri. Saat login, akses Anda ditolak karena IAP tidak memiliki daftar pengguna yang diizinkan untuk masuk ke aplikasi.
Menambahkan pengguna yang diberi otorisasi ke aplikasi
Di konsol Google Cloud, buka halaman Identity-Aware Proxy.
Centang kotak untuk aplikasi App Engine, lalu klik Add Principal.
Masukkan
allAuthenticatedUsers
, lalu pilih peran Cloud IAP/IAP-Secured Web App User.Klik Save.
Kini, semua pengguna yang dapat diautentikasi oleh Google dapat mengakses aplikasi. Jika mau, Anda dapat membatasi akses lebih lanjut dengan hanya menambahkan satu atau beberapa orang atau grup sebagai akun utama:
Semua alamat email Gmail atau Google Workspace
Alamat email Google Grup
Nama domain Google Workspace
Mengakses aplikasi
Di browser, buka
web-site-url
.Untuk memuat ulang halaman, klik Refresh refresh.
Di layar login, login dengan kredensial Google Anda.
Halaman tersebut menampilkan halaman "Hello
user-email-address
" dengan alamat email Anda.Jika Anda masih melihat halaman yang sama seperti sebelumnya, mungkin ada masalah dengan browser tidak memperbarui permintaan baru sepenuhnya setelah Anda mengaktifkan IAP. Tutup semua jendela browser, buka kembali, dan coba lagi.
Konsep otentikasi
Ada beberapa cara agar aplikasi dapat mengautentikasi penggunanya dan membatasi akses hanya untuk pengguna yang diotorisasi. Metode autentikasi umum, dengan mengurangi tingkat upaya untuk aplikasi, tercantum di bagian berikut.
Opsi | Kelebihan | Kekurangan |
---|---|---|
Autentikasi aplikasi |
|
|
OAuth2 |
|
|
IAP |
|
|
Autentikasi yang dikelola aplikasi
Dengan metode ini, aplikasi akan mengelola sendiri setiap aspek autentikasi pengguna. Aplikasi harus mengelola database kredensial penggunanya sendiri dan mengelola sesi pengguna, serta harus menyediakan fungsi untuk mengelola akun dan sandi pengguna, memeriksa kredensial pengguna, serta mengeluarkan, memeriksa, dan memperbarui sesi pengguna dengan setiap login yang diautentikasi. Diagram berikut mengilustrasikan metode autentikasi yang dikelola aplikasi.
Seperti yang ditunjukkan dalam diagram, setelah pengguna login, aplikasi akan membuat dan menyimpan informasi tentang sesi pengguna. Saat pengguna membuat permintaan ke aplikasi, permintaan tersebut harus menyertakan informasi sesi yang harus diverifikasi oleh aplikasi.
Keuntungan utama dari pendekatan ini adalah bahwa pendekatan ini bersifat mandiri dan berada di bawah kontrol aplikasi. Aplikasi ini bahkan tidak harus tersedia di internet. Kelemahan utamanya adalah aplikasi kini bertanggung jawab untuk menyediakan semua fungsi pengelolaan akun dan melindungi semua data kredensial yang sensitif.
Autentikasi eksternal dengan OAuth2
Alternatif yang baik untuk menangani semua hal dalam aplikasi adalah dengan menggunakan layanan identitas eksternal, seperti Google, yang menangani semua informasi dan fungsi akun pengguna dan bertanggung jawab untuk mengamankan kredensial yang sensitif. Saat pengguna mencoba login ke aplikasi, permintaan akan dialihkan ke layanan identitas, yang mengautentikasi pengguna, lalu mengalihkan permintaan kembali ke aplikasi dengan menyediakan informasi autentikasi yang diperlukan. Untuk informasi selengkapnya, lihat Menggunakan OAuth 2.0 untuk Aplikasi Server Web.
Diagram berikut mengilustrasikan autentikasi eksternal dengan metode OAuth2.
Alur dalam diagram dimulai saat pengguna mengirim permintaan untuk mengakses aplikasi. Aplikasi tidak mengalihkan browser pengguna ke platform identitas Google yang menampilkan halaman untuk login ke Google. Setelah berhasil login, browser pengguna akan diarahkan kembali ke aplikasi. Permintaan ini mencakup informasi yang dapat digunakan aplikasi untuk mencari informasi tentang pengguna yang telah diautentikasi, dan aplikasi kini merespons pengguna.
Metode ini memiliki banyak manfaat bagi aplikasi. Metode ini mendelegasikan semua fungsi dan risiko pengelolaan akun ke layanan eksternal, yang dapat meningkatkan keamanan login dan akun tanpa harus mengubah aplikasi. Namun, seperti yang ditunjukkan dalam diagram sebelumnya, aplikasi harus memiliki akses ke internet untuk menggunakan metode ini. Aplikasi juga bertanggung jawab untuk mengelola sesi setelah pengguna diautentikasi.
Identity-Aware Proxy
Pendekatan ketiga, yang dibahas dalam tutorial ini, adalah menggunakan IAP untuk menangani semua autentikasi dan pengelolaan sesi dengan perubahan apa pun pada aplikasi. IAP mencegat semua permintaan web ke aplikasi Anda, memblokir permintaan apa pun yang belum diautentikasi, dan meneruskan permintaan lainnya dengan data identitas pengguna yang ditambahkan ke setiap permintaan.
Penanganan permintaan ditampilkan dalam diagram berikut.
Permintaan dari pengguna dicegat oleh IAP, yang memblokir permintaan yang tidak diautentikasi. Permintaan yang diautentikasi diteruskan ke aplikasi, asalkan pengguna yang diautentikasi tercantum dalam daftar pengguna yang diizinkan. Permintaan yang diteruskan melalui IAP memiliki header yang ditambahkan pada permintaan tersebut, yang mengidentifikasi pengguna yang membuat permintaan.
Aplikasi tidak perlu lagi menangani informasi akun atau sesi pengguna. Setiap operasi yang perlu mengetahui ID unik untuk pengguna bisa mendapatkannya secara langsung dari setiap permintaan web yang masuk. Namun, metode ini hanya dapat digunakan untuk layanan komputasi yang mendukung IAP, seperti App Engine dan load balancer. Anda tidak dapat menggunakan IAP di mesin pengembangan lokal.
Pembersihan
Agar akun Google Cloud Anda tidak ditagih atas resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus masing-masing resource.
- Di konsol Google Cloud, buka halaman Manage resource.
- Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
- Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.