Nutzer mit Google-Konten authentifizieren

Auf dieser Seite wird die Bereitstellung einer Anwendung für die App Engine-Standardumgebung oder für die flexible App Engine-Umgebung und deren Schutz mit Identity-Aware Proxy (IAP) erläutert. Die Kurzanleitung umfasst Beispielcode für eine Webanwendung in der App Engine-Standardumgebung, die den Namen eines angemeldeten Nutzers überprüft. Im Rahmen dieser Kurzanleitung wird mit Cloud Shell die Beispielanwendung geklont und bereitgestellt. Sie können diese Kurzanleitung dazu verwenden, um IAP für Ihre eigene App Engine-Standardumgebung oder die flexible App Engine-Umgebung zu aktivieren.

Wenn Sie Ressourcen aus einem Content Delivery Network (CDN) bereitstellen möchten, finden Sie wichtige Informationen dazu im Best-Practices-Leitfaden.

Besteht eine App Engine-Anwendung aus mehreren Diensten, IAP-Berechtigungen auf dem unterschiedliche Dienste anbieten, u. a. öffentlich zugänglich sind und die anderen geschützt bleiben.

Klicken Sie auf Anleitung, um eine detaillierte Anleitung für diese Aufgabe direkt in der Google Cloud Console aufzurufen.

Anleitung

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

Hinweise

Um IAP für App Engine zu aktivieren, benötigen Sie die Folgendes:

  • Ein Google Cloud Console-Projekt mit aktivierter Abrechnung.

Wenn Sie Ihre App Engine-Instanz noch nicht eingerichtet haben, lesen Sie App Engine bereitstellen finden Sie eine vollständige Schritt-für-Schritt-Anleitung.

IAP verwendet zur Authentifizierung von Nutzern einen von Google verwalteten OAuth-Client. Nur Nutzer innerhalb der Organisation können auf die IAP-fähige Anwendung zugreifen. Wenn Sie den Zugriff für Nutzer außerhalb Ihrer Organisation zulassen möchten, lesen Sie IAP für externe Anwendungen aktivieren.

IAP aktivieren

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn IAP über die Google Cloud Console aktiviert wird.

Dynamische Include-Datei

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, dazu aufgefordert werden. Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Zustimmungsbildschirm einrichten

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Klicken Sie auf das Kästchen neben der Ressource, auf die Sie Zugriff gewähren möchten.
  4. Klicken Sie im rechten Bereich auf Hauptkonto hinzufügen.
  5. Geben Sie im Dialogfeld Hauptkonten hinzufügen die E-Mail-Adressen von Gruppen oder Personen, die die Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt haben sollten

    Diese Rolle können die folgenden Arten von Hauptkonten haben:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@beispiel.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite Identity-Aware Proxy unter ANwendungen nach der Anwendung, für die der Zugriff beschränkt werden soll.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

  1. To authenticate, use the Google Cloud CLI and run the following command. 
    gcloud auth login
  2. Click the URL that appears and sign in.
  3. After you sign in, copy the verification code that appears and paste it in the command line.
  4. Run the following command to specify the project that contains the applications that you want to protect with IAP. 
    gcloud config set project PROJECT_ID
  5. To enable IAP, run the following command. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Add principals who should have the IAP-secured Web App user role to the project. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Replace PROJECT_ID with your project ID.
    • Replace PRINCIPAL_IDENTIFIER with the necessary principals. This can be a type of domain, group, serviceAccount, or user. For example, user:myemail@example.com.

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

  1. Run the following command to prepare a settings.json file. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Run the following command to enable IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Nutzerauthentifizierung testen

  1. Rufen Sie die App-URL über ein Google-Konto auf, das Sie IAP unter Einsatz der oben beschriebenen Rolle Nutzer von IAP-gesicherten Web-Apps hinzugefügt haben. Sie müssen dazu uneingeschränkten Zugriff auf die Anwendung haben.

  2. Für den Zugriff auf die Anwendung verwenden Sie ein Inkognitofenster in Chrome. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Wenn Sie versuchen, mit einem Konto, das nicht mit der Rolle Nutzer von IAP-gesicherten Web-Apps autorisiert ist, auf die Anwendung zuzugreifen, werden Sie in einer Meldung darauf hingewiesen, dass Sie keinen Zugriff haben.

Nächste Schritte