Autenticare gli utenti con Account Google
Questa pagina illustra come eseguire il deployment di uno standard App Engine o dell'ambiente di sviluppo e sicurezza con Identity-Aware Proxy (IAP). La guida rapida include codice campione per un'app web dell'ambiente standard di App Engine verifica la password di un utente che ha eseguito l'accesso nome. Questa guida rapida utilizza Cloud Shell per clonare ed eseguire il deployment dell'esempio un'applicazione. Puoi utilizzare questa guida rapida per abilitare IAP per il tuo ambiente standard di App Engine dell'ambiente flessibile di App Engine.
Se prevedi di pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.
Quando un'applicazione App Engine include più servizi, è possibile configurare autorizzazioni IAP diverse da diversi servizi, inclusa la fornitura solo ad alcuni dei servizi accessibili al pubblico pur proteggendo gli altri.
Per seguire le indicazioni dettagliate per questa attività direttamente nella console Google Cloud, fai clic su Procedura guidata:
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
Prima di iniziare
Per abilitare IAP per App Engine, è necessario seguenti:
- Un progetto della console Google Cloud con fatturazione abilitata.
Se non hai ancora configurato l'istanza App Engine, consulta Eseguire il deployment di App Engine per una procedura dettagliata completa.
IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all'applicazione abilitata per IAP. Se vuoi consentire l'accesso a utenti esterni all'organizzazione, vedi Attivare IAP per le applicazioni esterne.
Attivazione di IAP
Console
Il client OAuth gestito da Google non è disponibile quando si abilita IAP utilizzando la console Google Cloud.
Se non hai configurato la schermata per il consenso OAuth del progetto, dovrai viene richiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configura la schermata per il consenso OAuth.
Configurazione dell'accesso IAP
-
Vai alla
pagina Identity-Aware Proxy.
Vai alla pagina Identity-Aware Proxy - Seleziona il progetto che vuoi proteggere con IAP.
- Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
- Nel riquadro laterale a destra, fai clic su Aggiungi entità.
-
Nella finestra di dialogo Aggiungi entità visualizzata, inserisci gli indirizzi email dei gruppi oppure
utenti che dovrebbero avere il ruolo Utente applicazione web con protezione IAP per il progetto.
I seguenti tipi di entità possono avere questo ruolo:
- Account Google: user@gmail.com
- Gruppo Google: admins@googlegroups.com
- Account di servizio: server@example.gserviceaccount.com
- Dominio Google Workspace: example.com
Assicurati di aggiungere un Account Google a cui hai accesso.
- Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
- Fai clic su Salva.
Attivazione di IAP
-
Nella pagina Identity-Aware Proxy, in APPLICATIONS,
individua l'applicazione che desideri limitare
a cui accedono. Per attivare IAP per una risorsa,
- Nella finestra Attiva IAP visualizzata, fai clic su Attiva per confermare che vuoi che la risorsa venga protetta da IAP. Dopo l'attivazione IAP richiede le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo gli account con il ruolo Utente applicazione web con protezione IAP nel progetto saranno a cui è stato concesso l'accesso.
gcloud
Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.
-
To authenticate, use the Google Cloud CLI and run the following command.
gcloud auth login
- Click the URL that appears and sign in.
- After you sign in, copy the verification code that appears and paste it in the command line.
-
Run the following command to specify the project that contains the applications that you want to protect with IAP.
gcloud config set project PROJECT_ID
-
To enable IAP, run the following command.
gcloud iap web enable --resource-type=app-engine --versions=version
-
Add principals who should have the IAP-secured Web App user role to the project.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL_IDENTIFIER \ --role=roles/iap.httpsResourceAccessor
- Replace PROJECT_ID with your project ID.
- Replace PRINCIPAL_IDENTIFIER with the necessary principals. This can be a
type of domain, group, serviceAccount, or user. For example,
user:myemail@example.com
.
After you enable IAP, you can use the gcloud CLI to modify the
IAP access policy using the IAM role
roles/iap.httpsResourceAccessor
. Learn more about
managing roles and permissions.
API
Run the following command to prepare a
settings.json
file.cat << EOF > settings.json { "iap": { "enabled":true } } EOF
Run the following command to enable IAP.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
After you enable IAP, you can use the Google Cloud CLI to modify the
IAP access policy using the IAM role
roles/iap.httpsResourceAccessor
. Learn more about
managing roles and permissions.
Testare l'autenticazione utente
Accedere all'URL dell'app da un Account Google che hai aggiunto a IAP con il ruolo Utente applicazione web con protezione IAP come descritto sopra. Devi avere accesso illimitato all'app.
Usa una finestra di navigazione in incognito in Chrome per accedere all'app richiesto. Se provi ad accedere all'app con un account non autorizzato con il ruolo Utente applicazione web con protezione IAP, verrà visualizzato un messaggio che non hai accesso.
Passaggi successivi
- Scopri come ottenere l'identità dell'utente e sviluppare dell'app di App Engine.