Authentifier les utilisateurs avec un compte Google

Cette page explique comment déployer une application d'environnement standard ou flexible App Engine et la sécuriser avec Identity-Aware Proxy (IAP). Ce guide de démarrage rapide inclut un exemple de code pour une application Web d'environnement standard App Engine qui permet de valider le nom d'un utilisateur connecté. Dans ce guide, nous faisons appel à Cloud Shell pour cloner et déployer l'exemple d'application. Vous pouvez suivre ce guide de démarrage rapide afin d'activer IAP pour votre propre application d'environnement standard ou flexible App Engine.

Si vous prévoyez de diffuser des ressources à partir d'un réseau de diffusion de contenu (CDN), consultez le guide des bonnes pratiques pour obtenir des informations importantes.

Lorsqu'une application App Engine se compose de plusieurs services, il est possible de configurer différentes autorisations IAP sur les différents services, y compris en ne rendant que certains services accessibles publiquement tout en assurant la protection des autres.

Pour obtenir des instructions détaillées sur cette tâche directement dans la console Google Cloud, cliquez sur Visite guidée :

Visite guidée

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  4. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  5. Vérifiez que la facturation est activée pour votre projet Google Cloud.

Avant de commencer

Pour activer IAP pour App Engine, vous avez besoin des éléments suivants:

  • Un projet de la console Google Cloud avec la facturation activée

Si votre instance App Engine n'est pas encore configurée, consultez la page Déployer App Engine pour obtenir une présentation complète.

IAP authentifie les utilisateurs à l'aide d'un client OAuth géré par Google. Seuls les utilisateurs de l'organisation peuvent accéder à l'application compatible avec IAP. Si vous souhaitez autoriser l'accès à des utilisateurs externes à votre organisation, consultez Activer IAP pour les applications externes.

Activer IAP

Console

Le client OAuth géré par Google n'est pas disponible lorsque vous activez IAP à l'aide de la console Google Cloud.

Fichier d'inclusion dynamique

Si vous n'avez pas configuré l'écran de consentement OAuth de votre projet, vous êtes invité à le faire. Pour configurer votre écran de consentement OAuth, consultez la section Configurer votre écran de consentement OAuth.

Configurer l'accès à IAP

  1. Accédez à la page Identity-Aware Proxy.
    Accéder à la page "Identity-Aware Proxy"
  2. Sélectionnez le projet que vous souhaitez sécuriser avec IAP.
  3. Cochez la case à côté de la ressource à laquelle vous souhaitez accorder l'accès.
  4. Dans le panneau de droite, cliquez sur Ajouter un compte principal.
  5. Dans la boîte de dialogue Ajouter des comptes principaux qui s'affiche, saisissez les adresses e-mail des groupes ou des personnes auxquels vous souhaitez accorder le rôle Utilisateur de l'application Web sécurisée par IAP pour le projet.

    Les types de comptes principaux suivants peuvent disposer de ce rôle:

    • Compte Google : user@gmail.com
    • Groupe Google : admins@googlegroups.com
    • Compte de service : server@example.gserviceaccount.com
    • Domaine Google Workspace : example.com

    Veillez à ajouter un compte Google auquel vous avez accès.

  6. Sélectionnez Cloud IAP > Utilisateur de l'application Web sécurisée par IAP dans la liste déroulante Rôles.
  7. Cliquez sur Enregistrer.

Activer IAP

  1. Sur la page Identity-Aware Proxy, sous APPLICATIONS, recherchez l'application à laquelle vous souhaitez restreindre l'accès. Pour activer IAP pour une ressource,
  2. Dans la fenêtre Activer IAP qui s'affiche, cliquez sur Activer pour confirmer que vous souhaitez qu'IAP sécurise votre ressource. Une fois IAP activé, des identifiants de connexion sont requis pour toutes les connexions à votre équilibreur de charge. Seuls les comptes disposant du rôle Utilisateur de l'application Web sécurisée par IAP sur le projet y ont accès.

gcloud

Avant de configurer votre projet et IAP, vous avez besoin d'une version à jour de gcloud CLI. Pour savoir comment installer gcloud CLI, consultez Installer gcloud CLI.

  1. Pour vous authentifier, utilisez Google Cloud CLI et exécutez la commande suivante. 
    gcloud auth login
  2. Cliquez sur l'URL qui s'affiche et connectez-vous.
  3. Une fois la connexion effectuée, copiez le code de validation qui s'affiche et collez-le dans la ligne de commande.
  4. Exécutez la commande suivante pour spécifier le projet qui contient les applications que vous souhaitez protéger avec IAP. 
    gcloud config set project PROJECT_ID
  5. Pour activer IAP, exécutez la commande suivante. 
    gcloud iap web enable --resource-type=app-engine --versions=version

Après avoir activé IAP, vous pouvez utiliser gcloud CLI pour modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor. Découvrez comment gérer les rôles et les autorisations.

API

  1. Exécutez la commande suivante pour préparer un fichier settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Exécutez la commande suivante pour activer IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Après avoir activé IAP, vous pouvez utiliser Google Cloud CLI pour modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor. Découvrez comment gérer les rôles et les autorisations.

Tester l'authentification des utilisateurs

  1. Accédez à l'URL de l'application à partir d'un compte Google que vous avez ajouté à IAP avec le rôle Utilisateur de l'application Web sécurisée par IAP, comme décrit ci-dessus. Vous devez disposer d'un accès illimité à l'application.

  2. Ouvrez une fenêtre de navigation privée dans Chrome pour accéder à l'application, puis connectez-vous lorsque vous y êtes invité. Si vous tentez d'accéder à l'application au moyen d'un compte non autorisé avec le rôle Utilisateur de l'application Web sécurisée par IAP, un message s'affiche indiquant que vous ne disposeez pas de l'accès.

Étapes suivantes