Nutzer mit Google-Konten authentifizieren

Auf dieser Seite wird die Bereitstellung einer Anwendung für die App Engine-Standardumgebung oder für die flexible App Engine-Umgebung und deren Schutz mit Identity-Aware Proxy (IAP) erläutert. Die Kurzanleitung umfasst Beispielcode für eine Webanwendung in der App Engine-Standardumgebung, die den Namen eines angemeldeten Nutzers überprüft. Im Rahmen dieser Kurzanleitung wird mit Cloud Shell die Beispielanwendung geklont und bereitgestellt. Sie können diese Kurzanleitung dazu verwenden, um IAP für Ihre eigene App Engine-Standardumgebung oder die flexible App Engine-Umgebung zu aktivieren.

Wenn Sie Ressourcen aus einem Content Delivery Network (CDN) bereitstellen möchten, finden Sie wichtige Informationen dazu im Best-Practices-Leitfaden.

Wenn eine App Engine-Anwendung aus mehreren Diensten besteht, ist es möglich, verschiedene IAP-Berechtigungen für die verschiedenen Dienste zu konfigurieren, sodass nur einige der Dienste öffentlich zugänglich sind, während die anderen geschützt bleiben.

Klicken Sie auf Anleitung, um die Schritt-für-Schritt-Anleitung für diese Aufgabe direkt in der Google Cloud Console auszuführen:

Anleitung

Hinweise

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  5. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Hinweise

Zum Aktivieren von IAP für App Engine benötigen Sie Folgendes:

  • Ein Google Cloud Console-Projekt mit aktivierter Abrechnung.

Wenn Sie Ihre App Engine-Instanz noch nicht eingerichtet haben, finden Sie unter App Engine bereitstellen eine vollständige Schritt-für-Schritt-Anleitung.

IAP verwendet zum Authentifizieren von Nutzern einen von Google verwalteten OAuth-Client. Nur Nutzer innerhalb der Organisation können auf die IAP-fähige Anwendung zugreifen. Wenn Sie den Zugriff für Nutzer außerhalb Ihrer Organisation zulassen möchten, lesen Sie IAP für externe Anwendungen aktivieren.

IAP aktivieren

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn IAP über die Google Cloud Console aktiviert wird.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

  1. Go to the Identity-Aware Proxy page.
    Go to the Identity-Aware Proxy page
  2. Select the project you want to secure with IAP.
  3. Select the checkbox next to the resource you want to grant access to.
  4. On the right side panel, click Add principal.
  5. In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.

    The following kinds of principals can have this role:

    • Google Account: user@gmail.com
    • Google Group: admins@googlegroups.com
    • Service account: server@example.gserviceaccount.com
    • Google Workspace domain: example.com

    Make sure to add a Google Account that you have access to.

  6. Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
  7. Click Save.

Turning on IAP

  1. On the Identity-Aware Proxy page, under APPLICATIONS, find the application you want to restrict access to. To turn on IAP for a resource,
  2. In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only accounts with the IAP-Secured Web App User role on the project will be given access.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

  1. To authenticate, use the Google Cloud CLI and run the following command. 
    gcloud auth login
  2. Click the URL that appears and sign in.
  3. After you sign in, copy the verification code that appears and paste it in the command line.
  4. Run the following command to specify the project that contains the applications that you want to protect with IAP. 
    gcloud config set project PROJECT_ID
  5. To enable IAP, run the following command. 
    gcloud iap web enable --resource-type=app-engine --versions=version

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

  1. Run the following command to prepare a settings.json file. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Run the following command to enable IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Nutzerauthentifizierung testen

  1. Rufen Sie die App-URL über ein Google-Konto auf, das Sie IAP unter Einsatz der oben beschriebenen Rolle Nutzer von IAP-gesicherten Web-Apps hinzugefügt haben. Sie müssen dazu uneingeschränkten Zugriff auf die Anwendung haben.

  2. Für den Zugriff auf die Anwendung verwenden Sie ein Inkognitofenster in Chrome. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn Sie versuchen, mit einem Konto, das nicht mit der Rolle Nutzer von IAP-gesicherten Web-Apps autorisiert ist, auf die Anwendung zuzugreifen, werden Sie in einer Meldung darauf hingewiesen, dass Sie keinen Zugriff haben.

Nächste Schritte