Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Autenticare gli utenti con Account Google

Questa pagina illustra il deployment di un'applicazione per l'ambiente flessibile o standard App Engine e la sua protezione con Identity-Aware Proxy (IAP). La guida rapida include codice di esempio per un'app web standard di App Engine che verifica il nome di un utente che ha eseguito l'accesso. Questa guida rapida utilizza Cloud Shell per eseguire la clonazione e il deployment dell'applicazione di esempio. Puoi utilizzare questa guida rapida per abilitare IAP per il tuo ambiente standard di App Engine o per l'app per l'ambiente flessibile di App Engine.

Se hai intenzione di pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.

Quando un'applicazione App Engine è composta da più servizi, è possibile configurare diverse autorizzazioni IAP per i servizi diversi, tra cui rendere solo alcuni dei servizi accessibili pubblicamente mantenendo gli altri protetti.

Per seguire le istruzioni dettagliate per questa attività direttamente nella console Google Cloud, fai clic su Procedura guidata:

Procedura guidata

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  4. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  5. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

Avviare Cloud Shell

  1. Fai clic su Attiva Cloud Shell nella parte superiore della finestra della console.

    Viene aperta una sessione di Cloud Shell all'interno di un nuovo frame nella parte inferiore della console e mostra un prompt della riga di comando. L'inizializzazione della sessione shell può richiedere alcuni secondi.

    Frame di sessione Cloud Shell
  2. Inserisci quanto segue in Cloud Shell per visualizzare gli ID progetto per i tuoi progetti: 
    gcloud projects list
  3. Esegui questo comando per impostare il progetto predefinito, dove YOUR-PROJECT-ID è l'ID progetto che vuoi utilizzare per questa guida rapida: 
    gcloud config set project YOUR-PROJECT-ID

Recupera il codice di esempio

  1. Inserisci il seguente comando in Cloud Shell per ottenere l'applicazione di esempio:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git

  2. Passa alla directory che contiene il codice di esempio:

    cd python-docs-samples/appengine/standard_python3/hello_world/

Implementazione dell'applicazione

  1. Utilizza gcloud per eseguire il deployment dell'applicazione in App Engine: 
    gcloud app deploy
  2. target url: viene visualizzato nel formato https://YOUR_PROJECT_ID.appspot.com. Per accedere alla tua applicazione, vai all'URL nel browser web.

Abilitazione di IAP

Selezione di un progetto

  1. Vai alla pagina Identity-Aware Proxy.
    Vai alla pagina Identity-Aware Proxy
  2. Se non hai ancora un progetto attivo, ti verrà chiesto di selezionare quello da proteggere con IAP. Seleziona il progetto in cui hai eseguito il deployment dell'applicazione di esempio.

Configurare la schermata per il consenso OAuth

Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà richiesto di farlo. Sono necessari un indirizzo email e un nome di prodotto per la schermata per il consenso OAuth.

  1. Vai alla schermata di consenso OAuth.
    Configurare la schermata per il consenso
  2. In Email di assistenza, seleziona l'indirizzo email che vuoi visualizzare come contatto pubblico. L'indirizzo email deve appartenere all'account utente attualmente connesso o a un gruppo Google di cui fa parte l'utente che ha eseguito l'accesso.
  3. Inserisci il Nome applicazione che vuoi visualizzare.
  4. Aggiungi eventuali dettagli facoltativi.
  5. Fai clic su Salva.

Per modificare in seguito le informazioni sulla schermata di consenso OAuth, ad esempio il nome del prodotto o l'indirizzo email, ripeti i passaggi precedenti per configurare la schermata di consenso.

Configurazione dell'accesso IAP

  1. Vai alla pagina Identity-Aware Proxy.
    Vai alla pagina Identity-Aware Proxy
  2. Scegli la risorsa che vuoi modificare selezionando la casella a sinistra. Nel riquadro laterale a destra, fai clic su Aggiungi membro.
  3. Nella finestra di dialogo Aggiungi membri, aggiungi gli indirizzi email dei gruppi o delle persone a cui vuoi concedere il ruolo Utente applicazione web con protezione IAP per il progetto.

    I seguenti tipi di account possono essere membri:

    • Account Google: user@gmail.com
    • Gruppo Google: admins@googlegroups.com
    • Account di servizio: server@example.gserviceaccount.com
    • Dominio G Suite: example.com

    Assicurati di aggiungere un Account Google a cui hai accesso.

    Per rendere una risorsa accessibile pubblicamente (mentre le risorse di pari livello sono limitate), concedi il ruolo Utente applicazione web con protezione IAP a "allUsers" o "allAuthenticatedUsers". La differenza tra questi due è spiegata nella sezione Accesso pubblico.

  4. Quando hai finito di aggiungere i membri, fai clic su Aggiungi.

Attivazione di IAP

  1. Nella pagina Identity-Aware Proxy, in Risorse HTTPS, trova l'app App Engine a cui vuoi limitare l'accesso. La colonna Pubblicata mostra l'URL dell'app. Per attivare IAP per l'app,
    • Per abilitare IAP, devi disporre delle autorizzazioni appengine.applications.update, clientauthconfig.clients.create e clientauthconfig.clients.getWithSecret. Queste autorizzazioni sono concesse da ruoli, ad esempio il ruolo di Editor di progetto. Per saperne di più, vedi Gestione dell'accesso alle risorse protette da IAP.
  2. Per confermare che IAP protegge l'applicazione, fai clic su Attiva nella finestra Attiva IAP che viene visualizzata. Dopo l'attivazione, IAP richiede le credenziali di accesso per tutte le connessioni alla tua applicazione.

Verificare l'autenticazione degli utenti

  1. Accedi all'URL dell'app da un Account Google che hai aggiunto a IAP con il ruolo Utente applicazione web con protezione IAP, come descritto sopra. Devi avere accesso illimitato all'app.

  2. Utilizza una finestra di navigazione in incognito in Chrome per accedere all'app e accedere quando richiesto. Se provi ad accedere all'app con un account non autorizzato con il ruolo Utente applicazione web con protezione IAP, viene visualizzato un messaggio che indica che non hai accesso.

Passaggi successivi