Autentica usuarios con Cuentas de Google

En esta página, se explica cómo implementar una aplicación de entorno flexible o estándar de App Engine y cómo protegerla con Identity-Aware Proxy (IAP). En la guía de inicio rápido, se incluye un código de muestra para una aplicación web de entorno estándar de App Engine que verifica el nombre de un usuario que accedió a ella. En esta guía de inicio rápido, se usa Cloud Shell para clonar y también implementar la aplicación de muestra. Puedes usarla a fin de habilitar IAP para tu aplicación en el entorno estándar o flexible de App Engine.

Si tienes pensado publicar recursos desde una red de distribución de contenidos (CDN), consulta la guía de prácticas recomendadas para obtener información importante.

Cuando una aplicación de App Engine consta de varios servicios, es posible configurar diferentes permisos de IAP en los distintos servicios, lo que incluye hacer que solo algunos de ellos sean accesibles de forma pública y, al mismo tiempo, mantener los otros protegidos.

Para seguir la guía paso a paso sobre esta tarea de forma directa en la consola de Google Cloud, haz clic en Guiarme:

Guiarme

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  5. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

Antes de comenzar

Si quieres habilitar IAP para App Engine, necesitas lo siguiente:

  • Un proyecto de la consola de Google Cloud con facturación habilitada

Si todavía no configuraste tu instancia de App Engine, consulta Implementa App Engine para obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si quieres permitir el acceso a usuarios fuera de tu organización, consulta Habilita IAP para aplicaciones externas.

Habilita IAP

Consola

El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la consola de Google Cloud.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

  1. Go to the Identity-Aware Proxy page.
    Go to the Identity-Aware Proxy page
  2. Select the project you want to secure with IAP.
  3. Select the checkbox next to the resource you want to grant access to.
  4. On the right side panel, click Add principal.
  5. In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.

    The following kinds of principals can have this role:

    • Google Account: user@gmail.com
    • Google Group: admins@googlegroups.com
    • Service account: server@example.gserviceaccount.com
    • Google Workspace domain: example.com

    Make sure to add a Google Account that you have access to.

  6. Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
  7. Click Save.

Turning on IAP

  1. On the Identity-Aware Proxy page, under APPLICATIONS, find the application you want to restrict access to. To turn on IAP for a resource,
  2. In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only accounts with the IAP-Secured Web App User role on the project will be given access.

gcloud

Antes de configurar tu IAP y tu proyecto, necesitas una versión actualizada de la gcloud CLI. A fin de obtener instrucciones para instalar gcloud CLI, consulta Instala la CLI de gcloud.

  1. Para autenticarte, usa Google Cloud CLI y ejecuta el siguiente comando. 
    gcloud auth login
  2. Haz clic en la URL que aparece y accede a tu cuenta.
  3. Después de ingresar, copia el código de verificación que aparece y pégalo en la línea de comandos.
  4. Ejecute el siguiente comando para especificar el proyecto que contiene las aplicaciones que quiere proteger con IAP. 
    gcloud config set project PROJECT_ID
  5. Para habilitar IAP, ejecuta el siguiente comando. 
    gcloud iap web enable --resource-type=app-engine --versions=version

Después de habilitar IAP, puedes usar gcloud CLI para modificar la política de acceso de IAP con la función de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.

API

  1. Run the following command to prepare a settings.json file. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Run the following command to enable IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Cómo probar la autenticación de usuarios

  1. Accede a la URL de la app desde una Cuenta de Google que agregaste a IAP con la función de Usuario de aplicación web protegida con IAP, como se describió antes. Debes tener acceso ilimitado a la aplicación.

  2. Usa una ventana de incógnito en Chrome para acceder a la aplicación y cuando se te solicite. Si intentas acceder a la aplicación con una cuenta que no está autorizada con la función Usuario de aplicación web protegida con IAP, verás un mensaje que indica que no tienes acceso.

¿Qué sigue?