外部 ID を使用してユーザーを認証する

このクイックスタートでは、Identity-Aware Proxy（IAP）と外部 ID でアプリを保護する方法について説明します。IAP と Identity Platform を組み合わせることで、Google アカウントだけでなく、OAuth、SAML、OIDC など、さまざまな ID プロバイダを使用してユーザーの認証を行うことができます。

このクイックスタートでは、Facebook 認証を使用して App Engine のサンプルアプリを保護します。

始める前に

Google Cloud Console の [プロジェクトセレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

注: この手順で作成するリソースをそのまま保持する予定でない場合、既存のプロジェクトを選択するのではなく、新しいプロジェクトを作成してください。チュートリアルの終了後にそのプロジェクトを削除すれば、プロジェクトに関連するすべてのリソースを削除できます。

プロジェクトセレクタに移動
Google Cloud プロジェクトで課金が有効になっていることを確認します。
Google Cloud CLI をインストールし、次のコマンドを実行して初期化します。
```
gcloud init
```
プロジェクト用に App Engine を初期化します。
```
gcloud app create --project=project-id
```
Git をインストールします。
Node.js の最新バージョンをインストールします。
Firebase コマンドラインツールをインストールします。
```
npm install -g firebase-tools
```

API を有効にする

まず、Identity Platform を有効にします。

Google Cloud コンソールで Identity Platform の Marketplace ページに移動します。

Identity Platform の Marketplace ページに移動
[Identity Platform を有効化] をクリックします。Google Cloud コンソールに ID プラットフォームのページが表示されます。

次に、IAP を有効にします。

Google Cloud コンソールで [IAP] ページに移動します。

IAP ページに移動
Identity Platform で使用したものと同じプロジェクトを選択します。別のプロジェクトを使用することはできません。
[API を有効にする] をクリックします。

サンプルコードをダウンロードしてデプロイする

このクイックスタートのコードには、クライアントアプリと認証アプリの 2 つのコンポーネントがあります。

クライアントアプリは IAP で保護されています。認証されていないユーザーからリクエストを受信すると、認証アプリにリクエストをリダイレクトし、ユーザーの本人確認を行います。ユーザーがログインに成功すると、認証アプリが JSON Web Token（JWT）を返します。デモ用のため、ここではクライアントアプリに JWT が表示されます。

まず、コードをダウンロードして、クライアントアプリをデプロイします。

サンプルコードをダウンロードします。

git clone https://github.com/GoogleCloudPlatform/iap-gcip-web-toolkit.git

クライアントアプリのディレクトリに移動します。
```
cd iap-gcip-web-toolkit/sample/app
```
依存関係をインストールします。
```
npm install
```
クライアントアプリを App Engine にデプロイします。
```
npm run deploy
```
クライアントアプリが次の URL で起動します。
```
https://[PROJECT-ID].appspot.com
```

次に、認証アプリをデプロイします。

認証アプリのディレクトリに移動します。
```
cd ../authui-firebaseui
```
依存関係をインストールします。
```
npm install
```
Firebase Hosting を使用するように認証アプリを構成します。IAP で保護されたクライアントアプリを含む Google Cloud プロジェクトの Google Cloud プロジェクト ID を指定します。
```
firebase use project-id
```
アプリをデプロイします。
```
npm run deploy
```
認証アプリが次の URL で起動します。
```
https://[PROJECT-ID].firebaseapp.com
```

これで、クライアントアプリと認証アプリがデプロイされました。次に、Identity Platform と IAP を構成します。

Identity Platform を設定する

IAP は Identity Platform を使用して外部 ID の認証を行います。このクイックスタートでは Facebook を例にしていますが、Identity Platform はさまざまな ID プロバイダに対応しています。

Facebook アプリを作成する

Facebook の認証情報でユーザーの認証を行うには、アプリ ID とアプリのシークレットが必要です。

Facebook for Developers にログインします。Facebook アカウントがない場合は、アカウントを作成します。
Facebook の Apps ページに移動します。
[Add a New App] をクリックします。
左側のメニューで、[Settings] > [Basic] の順に選択します。
[Privacy Policy URL] ボックスに、有効な URL を入力します。アプリをあとで本番環境にデプロイする場合は、独自のプライバシーポリシーを参照するように URL を更新できます。
アプリ ID とアプリシークレットをメモします。これらは次のセクションで必要になります。

Facebook を ID プロバイダとして追加する

認証に Facebook を使用するように Identity Platform を構成します。

Google Cloud コンソールで [ID プロバイダ] ページに移動します。

[ID プロバイダ] ページに移動
[プロバイダを追加] をクリックします。
プロバイダのリストから Facebook を選択します。
前のセクションで取得したアプリ ID とアプリシークレットを入力します。
[保存] をクリックします。

OAuth リダイレクト URI を構成する

Facebook が認証アプリからのリクエストの処理を完了したときに、リダイレクト先の URI が必要になります。

Facebook の Apps ページに戻り、アプリを選択します。
左側のメニューで [Products] をクリックします。
Facebook Login を選択して、[Set Up] をクリックします。
左側のナビゲーションメニューで [Settings] を選択します（ガイド付きのクイックスタートフローを完了する必要はありません）。
[Valid OAuth Redirect URIs] ボックスに、リダイレクト先の URI を入力します。
```
https://project-id.firebaseapp.com/__/auth/handler
```
この URI は、Identity Platform プロバイダの構成ページでも確認できます。
[Save Change] をクリックします。

これで、Identity Platform の設定が完了しました。認証に IAP を使用するように構成されました。

IAP を有効にして外部 ID を使用する

Google Cloud コンソールで [IAP] ページに移動します。

IAP ページに移動
[アプリケーション] タブをクリックします。
以前にデプロイした App Engine サンプルアプリを選択します。[公開済み] カテゴリに、次のような URL が表示されます。
```
https://project-id.appspot.com
```
[IAP] 列で、スイッチをオンに切り替えます。
サイドパネルで、[承認には外部 ID を使用します] の [開始] をクリックします。
[ログインページ] で、[自分で提供する] を選択します。

注: IAP でログインページを作成することもできます。このクイックスタートでは、サンプルクライアントと認証アプリを提供していますが、アプリをゼロから作成する場合は、IAP でログインページを作成すると、作業をより迅速に開始できます。
次のように、[認証 URL] フィールドに認証アプリの URL を入力します。
```
https://project-id.firebaseapp.com/
```
URL を入力すると、Google Cloud コンソールに API キーが自動的に追加されます。
プロジェクト名のチェックボックスをオンにします。ID プロバイダとして Facebook が表示されるはずです。
[保存] をクリックします。

これで IAP の設定が完了しました。

ユーザー認証をテストする

IAP がアプリを保護し、Facebook でユーザーを認証していることをテストするには:

ブラウザで、App Engine クライアントアプリに移動します。
```
https://project-id.appspot.com
```
読み込み画面が表示された後、Identity Platform のログインページにリダイレクトされます。
画面の手順に従って Facebook で認証を行います。
クライアントアプリにリダイレクトされ、Identity Platform から返された JWT が表示されます。

完全にログアウトするには、作成したサンプルアプリと Facebook からログアウトする必要があります。Firebase は 1 時間有効な Facebook とのセッションを確立するため、両方のアプリからログアウトする必要があります。詳細については、ユーザーセッションを管理するをご覧ください。

これで完了です。App Engine にアプリがデプロイされ、IAP と外部 ID で保護されました。

クリーンアップ

このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順を行います。

注意: プロジェクトを削除すると、次のような影響があります。

プロジェクト内のすべてのものが削除されます。このドキュメントのタスクで既存のプロジェクトを使用した場合、それを削除すると、そのプロジェクトで行った他の作業もすべて削除されます。
カスタムプロジェクト ID が失われます。このプロジェクトを作成したときに、将来使用するカスタムプロジェクト ID を作成した可能性があります。そのプロジェクト ID を使用した URL（たとえば、appspot.com）を保持するには、プロジェクト全体ではなくプロジェクト内の選択したリソースだけを削除します。

複数のアーキテクチャ、チュートリアル、クイックスタートを実施する予定がある場合は、プロジェクトを再利用すると、プロジェクトの割り当て上限を超えないようにすることができます。

Google Cloud コンソールで、[リソースの管理] ページに移動します。
[リソースの管理] に移動
プロジェクトリストで、削除するプロジェクトを選択し、[削除] をクリックします。
ダイアログでプロジェクト ID を入力し、[シャットダウン] をクリックしてプロジェクトを削除します。

作成した Facebook アプリを削除することもできます。

次のステップ

FirebaseUI で認証 UI をカスタマイズするか、カスタム UI をゼロから作成する。
Identity Platform で ID プロバイダを構成する方法を学習する。
Identity Platform マルチテナンシーを使用して、ユーザーと構成からなる独自のサイロの作成方法を学習する。