Nutzer mit Google-Konten authentifizieren

Auf dieser Seite wird die Bereitstellung einer Anwendung für die App Engine-Standardumgebung oder für die flexible App Engine-Umgebung und deren Schutz mit Identity-Aware Proxy (IAP) erläutert. Die Kurzanleitung umfasst Beispielcode für eine Webanwendung in der App Engine-Standardumgebung, die den Namen eines angemeldeten Nutzers überprüft. Im Rahmen dieser Kurzanleitung wird mit Cloud Shell die Beispielanwendung geklont und bereitgestellt. Sie können diese Kurzanleitung dazu verwenden, um IAP für Ihre eigene App Engine-Standardumgebung oder die flexible App Engine-Umgebung zu aktivieren.

Wenn Sie Ressourcen aus einem Content Delivery Network (CDN) bereitstellen möchten, finden Sie wichtige Informationen dazu im Best-Practices-Leitfaden.

Wenn eine App Engine-Anwendung aus mehreren Diensten besteht, ist es möglich, verschiedene IAP-Berechtigungen für die verschiedenen Dienste zu konfigurieren, sodass nur einige der Dienste öffentlich zugänglich sind, während die anderen geschützt bleiben.

Klicken Sie auf Anleitung, um die Schritt-für-Schritt-Anleitung für diese Aufgabe direkt in der Google Cloud Console auszuführen:

Anleitung

Hinweise

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  5. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Hinweise

Zum Aktivieren von IAP für App Engine benötigen Sie Folgendes:

  • Ein Google Cloud Console-Projekt mit aktivierter Abrechnung.

Wenn Sie Ihre App Engine-Instanz noch nicht eingerichtet haben, finden Sie unter App Engine bereitstellen eine vollständige Schritt-für-Schritt-Anleitung.

IAP verwendet zum Authentifizieren von Nutzern einen von Google verwalteten OAuth-Client. Nur Nutzer innerhalb der Organisation können auf die IAP-fähige Anwendung zugreifen. Wenn Sie den Zugriff für Nutzer außerhalb Ihrer Organisation zulassen möchten, lesen Sie IAP für externe Anwendungen aktivieren.

IAP aktivieren

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn IAP über die Google Cloud Console aktiviert wird.

Dynamische Include-Datei

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, werden Sie dazu aufgefordert. Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Zustimmungsbildschirm einrichten.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Klicken Sie das Kästchen neben der Ressource an, auf die Sie Zugriff gewähren möchten.
  4. Klicken Sie in der rechten Seitenleiste auf Hauptkonto hinzufügen.
  5. Geben Sie im angezeigten Dialogfeld Hauptkonten hinzufügen die E-Mail-Adressen von Gruppen oder Einzelpersonen ein, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten.

    Die folgenden Arten von Hauptkonten können diese Rolle haben:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite Identity-Aware Proxy unter ANWENDUNGEN nach der Anwendung, auf die Sie den Zugriff einschränken möchten.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

gcloud

Bevor Sie Ihr Projekt und IAP einrichten, benötigen Sie eine aktuelle Version der gcloud CLI. Eine Anleitung zum Installieren der gcloud CLI finden Sie unter gcloud CLI installieren.

  1. Verwenden Sie zur Authentifizierung die Google Cloud CLI und führen Sie den folgenden Befehl aus. 
    gcloud auth login
  2. Klicken Sie auf die angezeigte URL und melden Sie sich an.
  3. Kopieren Sie, nachdem Sie sich angemeldet haben, den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.
  4. Führen Sie den folgenden Befehl aus, um das Projekt anzugeben, das die Anwendungen enthält, die Sie mit IAP schützen möchten. 
    gcloud config set project PROJECT_ID
  5. Führen Sie den folgenden Befehl aus, um IAP zu aktivieren. 
    gcloud iap web enable --resource-type=app-engine --versions=version

Nachdem Sie IAP aktiviert haben, können Sie mit der gcloud CLI die IAP-Zugriffsrichtlinie mit der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

API

  1. Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Führen Sie den folgenden Befehl aus, um IAP zu aktivieren. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Nachdem Sie IAP aktiviert haben, können Sie die Google Cloud CLI verwenden, um die IAP-Zugriffsrichtlinie mit der IAM-Rolle roles/iap.httpsResourceAccessor zu ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Nutzerauthentifizierung testen

  1. Rufen Sie die App-URL über ein Google-Konto auf, das Sie IAP unter Einsatz der oben beschriebenen Rolle Nutzer von IAP-gesicherten Web-Apps hinzugefügt haben. Sie müssen dazu uneingeschränkten Zugriff auf die Anwendung haben.

  2. Für den Zugriff auf die Anwendung verwenden Sie ein Inkognitofenster in Chrome. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn Sie versuchen, mit einem Konto, das nicht mit der Rolle Nutzer von IAP-gesicherten Web-Apps autorisiert ist, auf die Anwendung zuzugreifen, werden Sie in einer Meldung darauf hingewiesen, dass Sie keinen Zugriff haben.

Nächste Schritte