Mengautentikasi pengguna dengan identitas eksternal
Panduan memulai ini menunjukkan cara mengamankan aplikasi menggunakan Identity-Aware Proxy (IAP) dan identitas eksternal. Dengan menggabungkan IAP dan Identity Platform, Anda dapat mengautentikasi pengguna dengan berbagai penyedia identitas, seperti OAuth, SAML, dan OIDC, selain Akun Google.
Dalam panduan memulai ini, Anda akan mengamankan contoh aplikasi App Engine menggunakan autentikasi Facebook.
Sebelum memulai
Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
Make sure that billing is enabled for your Google Cloud project.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Lakukan inisialisasi App Engine untuk project Anda:
gcloud app create --project=project-id
Instal Node.js versi terbaru.
Instal alat command line Firebase:
npm install -g firebase-tools
Mengaktifkan API
Pertama, aktifkan Identity Platform:
Buka halaman Identity Platform Marketplace di Konsol Google Cloud.
Klik Aktifkan Identity Platform. Halaman Identity Platform akan muncul di Google Cloud Console.
Kemudian, aktifkan IAP:
Buka halaman IAP di Konsol Google Cloud.
Pilih project yang sama dengan yang Anda gunakan untuk Identity Platform. Menggunakan project yang berbeda tidak didukung.
Klik Enable API.
Mendownload dan men-deploy kode contoh
Kode untuk panduan memulai ini memiliki dua komponen: aplikasi klien dan aplikasi autentikasi.
Aplikasi klien dilindungi oleh IAP. Saat menerima permintaan dari pengguna yang tidak diautentikasi, aplikasi akan mengalihkan permintaan tersebut ke aplikasi autentikasi untuk memverifikasi identitas pengguna. Jika pengguna berhasil login, aplikasi autentikasi akan merespons dengan Token Web JSON (JWT). Untuk tujuan demonstrasi, aplikasi klien menampilkan JWT.
Pertama, download kode dan deploy aplikasi klien:
Download kode contoh:
git clone https://github.com/GoogleCloudPlatform/iap-gcip-web-toolkit.git
Ubah ke direktori aplikasi klien:
cd iap-gcip-web-toolkit/sample/app
Instal dependensi:
npm install
Deploy aplikasi klien ke App Engine:
npm run deploy
Aplikasi klien diluncurkan di URL:
https://[PROJECT-ID].appspot.com
Berikutnya, deploy aplikasi autentikasi:
Ubah ke direktori untuk aplikasi autentikasi:
cd ../authui-firebaseui
Instal dependensi:
npm install
Mengonfigurasi aplikasi autentikasi untuk menggunakan Firebase Hosting. Tentukan project ID Google Cloud dari project Google Cloud yang berisi aplikasi klien yang dilindungi IAP:
firebase use project-id
Men-deploy aplikasi:
npm run deploy
Aplikasi autentikasi akan diluncurkan di URL:
https://[PROJECT-ID].firebaseapp.com
Anda telah men-deploy aplikasi klien dan autentikasi. Langkah selanjutnya adalah mengonfigurasi Identity Platform dan IAP.
Menyiapkan Identity Platform
IAP menggunakan Identity Platform untuk mengautentikasi identitas eksternal. Panduan memulai ini menggunakan Facebook sebagai contoh, tetapi Identity Platform mendukung berbagai penyedia identitas.
Membuat aplikasi Facebook
Untuk mengautentikasi pengguna dengan Facebook, Anda memerlukan App ID dan App Secret.
Login ke Facebook for Developers. Jika Anda belum memiliki akun Facebook, Anda perlu membuatnya.
Buka halaman Aplikasi Facebook.
Klik Add a New App.
Di menu kiri, pilih Setelan > Dasar.
Di kotak URL Kebijakan Privasi, masukkan URL yang valid. Jika nanti Anda men-deploy aplikasi ke produksi, Anda dapat memperbarui URL agar mengarah ke kebijakan privasi Anda.
Catat ID Aplikasi dan Rahasia Aplikasi Anda. Anda akan membutuhkannya di bagian berikutnya.
Menambahkan Facebook sebagai penyedia identitas
Konfigurasi Identity Platform agar dapat menggunakan Facebook untuk autentikasi:
Buka halaman Identity Provider di Konsol Google Cloud.
Klik Add a Provider.
Pilih Facebook dari daftar penyedia.
Masukkan ID Aplikasi dan Rahasia Aplikasi yang Anda peroleh di bagian sebelumnya.
Klik Simpan.
Mengonfigurasi URI pengalihan OAuth
Setelah selesai memproses permintaan dari aplikasi autentikasi, Facebook memerlukan URI untuk mengalihkannya.
Kembali ke halaman Apps Facebook dan pilih aplikasi Anda.
Di menu kiri, klik Produk.
Cari produk Facebook Login, lalu klik Set Up.
Di menu navigasi sebelah kiri, pilih Setelan (Anda tidak perlu menyelesaikan alur panduan memulai terpandu).
Di kotak Valid OAuth Redirect URI, masukkan URI pengalihan:
https://project-id.firebaseapp.com/__/auth/handler
Anda juga dapat menemukan URI ini di halaman konfigurasi penyedia Identity Platform.
Klik Simpan Perubahan.
Anda selesai menyiapkan Identity Platform. Sekarang Anda dapat mengonfigurasi IAP agar digunakan untuk autentikasi.
Mengaktifkan IAP untuk menggunakan identitas eksternal
Buka halaman IAP di konsol Google Cloud.
Klik tab APLIKASI.
Pilih contoh aplikasi App Engine yang Anda deploy sebelumnya. URL dalam kategori Dipublikasikan akan terlihat seperti ini:
https://project-id.appspot.com
Di kolom IAP, alihkan tombol ke Aktif.
Di panel samping, klik Start untuk Gunakan identitas eksternal untuk otorisasi.
Di bagian Halaman login, pilih Saya akan memberikan halaman login saya sendiri.
Di kolom Authentication URL, masukkan URL aplikasi autentikasi. URL-nya akan terlihat seperti ini:
https://project-id.firebaseapp.com/
Setelah Anda memasukkan URL, Google Cloud Console akan otomatis menambahkan kunci API Anda.
Centang kotak dengan nama project Anda. Facebook harus terdaftar sebagai penyedia identitas.
Klik Simpan.
Anda telah selesai menyiapkan IAP.
Menguji autentikasi pengguna
Untuk menguji apakah IAP melindungi aplikasi Anda dan mengautentikasi pengguna dengan Facebook:
Buka aplikasi App Engine klien di browser Anda:
https://project-id.appspot.com
Setelah layar pemuatan singkat, Anda akan dialihkan ke halaman login Identity Platform.
Ikuti petunjuk di layar untuk melakukan autentikasi dengan Facebook.
Anda akan dialihkan kembali ke aplikasi klien, yang akan menampilkan JWT yang ditampilkan oleh Identity Platform.
Untuk logout sepenuhnya, Anda harus logout dari aplikasi contoh yang Anda buat dan Facebook. Anda harus logout dari kedua aplikasi karena Firebase membuat sesi dengan Facebook yang berlaku selama satu jam. Untuk informasi lebih lanjut, lihat Mengelola Sesi Pengguna.
Selamat! Anda berhasil men-deploy aplikasi ke App Engine dan melindunginya dengan identitas eksternal dan IAP.
Pembersihan
Agar akun Google Cloud Anda tidak dikenakan biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.
- Di konsol Google Cloud, buka halaman Manage resource.
- Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
- Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.
Selain itu, Anda mungkin ingin menghapus aplikasi Facebook yang Anda buat.
Langkah selanjutnya
- Sesuaikan UI autentikasi Anda dengan FirebaseUI, atau build UI kustom dari awal.
- Pelajari lebih lanjut cara mengonfigurasi penyedia identitas dengan Identity Platform.
- Pelajari cara membuat silo pengguna dan konfigurasi yang unik dengan multi-tenancy Identity Platform.