Esta página se ha traducido con Cloud Translation API.

Autenticar usuarios con identidades externas

En esta guía de inicio rápido se muestra cómo proteger una aplicación con Identity-Aware Proxy (IAP) e identidades externas. Si combinas IAP con Identity Platform, puedes autenticar a los usuarios con una amplia gama de proveedores de identidades, como OAuth, SAML y OIDC, además de con cuentas de Google.

En esta guía de inicio rápido, protegerás una aplicación de App Engine de ejemplo mediante la autenticación de Facebook.

Antes de empezar

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
- Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.
Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Google Cloud project.
Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
```
gcloud init
```
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
Inicializa App Engine en tu proyecto:
```
gcloud app create --project=project-id
```
Instala Git.
Instala una versión actual de Node.js.
Instala la herramienta de línea de comandos de Firebase:
```
npm install -g firebase-tools
```

Habilitar las APIs

Primero, habilita Identity Platform:

Ve a la página Marketplace de Identity Platform en laGoogle Cloud consola.

Ir a la página de Identity Platform Marketplace
Haz clic en Habilitar Identity Platform. Aparecerá la página Identity Platform en la Google Cloud consola.

A continuación, habilita IAP:

Ve a la página IAP de la consola de Google Cloud .

Ir a la página de IAP
Selecciona el mismo proyecto que usaste para Identity Platform. No se admite el uso de proyectos diferentes.
Haz clic en Habilitar API.

Descargar e implementar el código de ejemplo

El código de esta guía de inicio rápido tiene dos componentes: una aplicación cliente y una aplicación de autenticación.

La aplicación cliente está protegida por compras en la aplicación. Cuando recibe una solicitud de un usuario no autenticado, la redirige a la aplicación de autenticación para verificar la identidad del usuario. Si el usuario inicia sesión correctamente, la aplicación de autenticación responde con un JSON Web Token (JWT). Para hacer una demostración, la aplicación cliente muestra el JWT.

Primero, descarga el código e implementa la aplicación cliente:

Descarga el código de ejemplo:

git clone https://github.com/GoogleCloudPlatform/iap-gcip-web-toolkit.git

Cambia al directorio de la aplicación cliente:
```
cd iap-gcip-web-toolkit/sample/app
```
Instala las dependencias:
```
npm install
```
Despliega la aplicación cliente en App Engine:
```
npm run deploy
```
La aplicación cliente se inicia en la URL:
```
https://[PROJECT-ID].appspot.com
```

A continuación, despliega la aplicación de autenticación:

Cambia al directorio de la aplicación de autenticación:
```
cd ../authui-firebaseui
```

Instala las dependencias:

npm install
export NODE_OPTIONS=--openssl-legacy-provider

Configura la aplicación de autenticación para que use Firebase Hosting. Especifica el Google Cloud ID del proyecto Google Cloud que contiene la aplicación cliente protegida por IAP:
```
firebase use project-id
```
Despliega la aplicación:
```
npm run deploy
```
La aplicación de autenticación se inicia en la URL:
```
https://[PROJECT-ID].firebaseapp.com
```

Has implementado las aplicaciones de cliente y autenticación. El siguiente paso es configurar Identity Platform e IAP.

Configurar Identity Platform

IAP usa Identity Platform para autenticar identidades externas. En esta guía de inicio rápido se usa Facebook como ejemplo, pero Identity Platform admite una amplia gama de proveedores de identidad.

Crear una aplicación de Facebook

Para autenticar a los usuarios con Facebook, necesitas un ID de aplicación y un secreto de aplicación.

Inicia sesión en Facebook for Developers. Si aún no tienes una cuenta de Facebook, tendrás que crear una.
Ve a la página Aplicaciones de Facebook.
Haz clic en Añadir una aplicación.
En el menú de la izquierda, selecciona Configuración > Básica.
En el cuadro URL de la política de privacidad, introduzca cualquier URL válida. Si implementas la aplicación en producción más adelante, puedes actualizar la URL para que dirija a tu política de privacidad.
Anota el ID y el secreto de la aplicación. Los necesitarás en la siguiente sección.

Añadir Facebook como proveedor de identidades

Configura Identity Platform para usar Facebook en la autenticación:

Ve a la página Proveedores de identidades de la consola de Google Cloud .

Ir a la página Proveedores de identidades
Haz clic en Añadir un proveedor.
Seleccione Facebook en la lista de proveedores.
Introduce el ID de aplicación y el secreto de aplicación que has obtenido en la sección anterior.
Haz clic en Guardar.

Configurar el URI de redirección de OAuth

Cuando Facebook termina de procesar una solicitud de la aplicación de autenticación, necesita un URI al que redirigir.

Vuelve a la página Aplicaciones de Facebook y selecciona tu aplicación.
En el menú de la izquierda, haga clic en Productos.
Busca el producto Inicio de sesión con Facebook y haz clic en Configurar.
En el menú de navegación de la izquierda, selecciona Configuración (no es necesario que completes el flujo de inicio rápido guiado).
En el cuadro URIs de redirección de OAuth válidos, introduce el URI de redirección:
```
https://project-id.firebaseapp.com/__/auth/handler
```
También puedes encontrar este URI en la página de configuración del proveedor de Identity Platform.
Haz clic en Guardar cambios.

Has terminado de configurar Identity Platform. Ahora puedes configurar IAP para usarlo en la autenticación.

Habilitar IAP para usar identidades externas

Ve a la página IAP de la Google Cloud consola.

Ir a la página de IAP
Haz clic en la pestaña APLICACIONES.
Selecciona la aplicación de App Engine de ejemplo que has desplegado anteriormente. La URL de la categoría Publicado debe tener un aspecto similar a este:
```
https://project-id.appspot.com
```
En la columna IAP, activa el interruptor.
En el panel lateral, haz clic en Iniciar para Usar identidades externas para realizar la autorización.
En Página de inicio de sesión, selecciona Proporcionaré la mía.

Nota: IAP también puede crear una página de inicio de sesión por ti. En esta guía de inicio rápido se proporcionan aplicaciones de cliente y de autenticación de ejemplo, pero si vas a crear tus aplicaciones desde cero, dejar que IAP cree la página de inicio de sesión puede ayudarte a empezar más rápido.
En el campo Authentication URL (URL de autenticación), introduce la URL de la aplicación de autenticación. Debería tener un aspecto similar al siguiente:
```
https://project-id.firebaseapp.com/
```
Después de introducir la URL, la Google Cloud consola añade automáticamente tu clave de API.
Marca la casilla con el nombre de tu proyecto. Debe tener a Facebook como proveedor de identidades.
Haz clic en Guardar.

Has terminado de configurar las compras en la aplicación.

Probar la autenticación de usuarios

Para comprobar que IAP protege tu aplicación y autentica a los usuarios con Facebook, haz lo siguiente:

Ve a la aplicación cliente de App Engine en tu navegador:
```
https://project-id.appspot.com
```
Después de una breve pantalla de carga, se te redirigirá a la página de inicio de sesión de Identity Platform.
Sigue las indicaciones que aparecen en pantalla para autenticarte con Facebook.
Se te redirigirá a la aplicación cliente, que mostrará el JWT devuelto por Identity Platform.

Para cerrar sesión por completo, debes cerrar sesión en la aplicación de ejemplo que has creado y en Facebook. Debes cerrar la sesión en ambas aplicaciones, ya que Firebase establece una sesión con Facebook que tiene una validez de una hora. Para obtener más información, consulta Gestionar sesiones de usuario.

¡Enhorabuena! Has desplegado correctamente una aplicación en App Engine y la has protegido con IAP e identidades externas.

Limpieza

Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en esta página, sigue estos pasos.

Precaución: Eliminar un proyecto tiene los siguientes efectos:

Se elimina todo el contenido del proyecto. Si has usado un proyecto que ya existía para las tareas de este documento, cuando lo elimines, también se eliminará cualquier otro trabajo que hayas realizado en él.
Se pierden los IDs de proyecto personalizados. Cuando creaste este proyecto, es posible que hayas creado un ID de proyecto personalizado que quieras usar en el futuro. Para conservar las URLs que usan el ID del proyecto, como una URL appspot.com, elimina los recursos seleccionados dentro del proyecto en lugar de eliminar todo el proyecto.

Si tienes previsto consultar varias arquitecturas, tutoriales o guías de inicio rápido, reutilizar los proyectos puede ayudarte a no superar los límites de cuota de proyectos.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Además, puede que quieras eliminar la aplicación de Facebook que has creado.

Siguientes pasos

Personaliza la interfaz de autenticación con FirebaseUI o crea una interfaz personalizada desde cero.
Más información sobre cómo configurar proveedores de identidades con Identity Platform
Consulta cómo crear silos únicos de usuarios y configuraciones con la arquitectura multicliente de Identity Platform.