Autenticare gli utenti con Account Google

Prima di iniziare

Questa pagina illustra il deployment di un'applicazione dell'ambiente flessibile o dell'ambiente flessibile di App Engine e la relativa protezione con Identity-Aware Proxy (IAP). La guida rapida include il codice di esempio per un'applicazione web dell'ambiente standard di App Engine che verifica il nome di un utente che ha eseguito l'accesso. Questa guida rapida utilizza Cloud Shell per clonare ed eseguire il deployment dell'applicazione di esempio. Puoi utilizzare questa guida rapida per abilitare IAP per il tuo ambiente standard di App Engine o per l'app per l'ambiente flessibile di App Engine.

Se intendi pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.

Quando un'applicazione App Engine è composta da più servizi, è possibile configurare autorizzazioni IAP diverse per i vari servizi, tra cui rendere accessibili solo alcuni dei servizi accessibili pubblicamente mantenendo al contempo protetti gli altri.


Per indicazioni dettagliate su questa attività direttamente in Google Cloud Console, fai clic su Guida:

Procedura guidata


Nelle sezioni seguenti puoi seguire la stessa procedura utilizzata per fare clic su Procedura guidata.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  4. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  5. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

Avviare Cloud Shell

  1. Fai clic su Attiva Cloud Shell nella parte superiore della finestra della console.

    Una sessione di Cloud Shell si apre all'interno di un nuovo frame nella parte inferiore della console e mostra un prompt della riga di comando. L'inizializzazione della sessione della shell può richiedere alcuni secondi.

    Frame della sessione di Cloud Shell
  2. Inserisci quanto segue in Cloud Shell per visualizzare gli ID progetto per i tuoi progetti:
    gcloud projects list
  3. Esegui questo comando per impostare il progetto predefinito, dove YOUR-PROJECT-ID è l'ID progetto che vuoi utilizzare per questa guida rapida:
    gcloud config set project YOUR-PROJECT-ID

Recupera il codice di esempio

  1. Inserisci il seguente comando in Cloud Shell per ottenere l'applicazione di esempio:

    git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
    
  2. Passa alla directory che contiene il codice di esempio:

    cd python-docs-samples/appengine/standard_python3/hello_world/
    

Implementazione dell'applicazione

  1. Utilizza gcloud per eseguire il deployment dell'applicazione in App Engine:
    gcloud app deploy
  2. target url: viene visualizzato nel formato https://YOUR_PROJECT_ID.appspot.com. Per accedere all'applicazione, apri l'URL nel browser web.

Abilitazione di IAP

Seleziona un progetto

  1. Vai alla pagina Identity Identity Proxy.
    Vai alla pagina Identity-Aware Proxy
  2. Se non hai già un progetto attivo, ti verrà chiesto di selezionare il progetto che vuoi proteggere con IAP. Seleziona il progetto in cui hai eseguito il deployment dell'applicazione di esempio.

Configurare la schermata per il consenso OAuth

Se non hai configurato la schermata di consenso OAuth del tuo progetto, ti verrà chiesto di farlo. Sono necessari un indirizzo email e un nome del prodotto per la schermata di consenso OAuth.

  1. Vai alla schermata di consenso OAuth.
    Configurare la schermata per il consenso
  2. In Email di assistenza, seleziona l'indirizzo email che vuoi visualizzare come contatto pubblico. L'indirizzo email deve appartenere all'account utente attualmente connesso o a un gruppo Google di cui fa parte l'utente che ha eseguito l'accesso.
  3. Inserisci il Nome applicazione che vuoi visualizzare.
  4. Aggiungi eventuali dettagli facoltativi.
  5. Fai clic su Salva.

Per modificare in seguito le informazioni sulla schermata di consenso OAuth, ad esempio il nome del prodotto o l'indirizzo email, ripeti i passaggi precedenti per configurare la schermata di consenso.

Configurazione dell'accesso IAP

  1. Vai alla pagina Identity Identity Proxy.
    Vai alla pagina Identity-Aware Proxy
  2. Scegli la risorsa che vuoi modificare selezionando la casella alla sua sinistra. Nel riquadro laterale a destra, fai clic su Aggiungi membro.
  3. Nella finestra di dialogo Aggiungi membri, aggiungi gli indirizzi email dei gruppi o delle persone a cui vuoi concedere il ruolo Utente app web con protezione IAP per il progetto.

    I seguenti tipi di account possono essere membri:

    • Account Google: user@gmail.com
    • Gruppo Google: admins@googlegroups.com
    • Account di servizio: server@example.gserviceaccount.com
    • Dominio G Suite: example.com

    Assicurati di aggiungere un Account Google a cui hai accesso.

    Per rendere una risorsa accessibile pubblicamente (quando le risorse correlate sono limitate), concedi il ruolo Utente app web con protezione IAP a "allUsers" o "allAuthenticatedUsers". La differenza tra i due è spiegata nella sezione Accesso pubblico.

  4. Quando hai finito di aggiungere i membri, fai clic su Aggiungi.

Attivazione di IAP

  1. Nella pagina Identity-Aware Proxy, in Risorse HTTPS, trova l'applicazione App Engine di cui vuoi limitare l'accesso. La colonna Pubblicati mostra l'URL dell'app. Per attivare IAP per l'app, .
    • Per abilitare IAP, devi avere le autorizzazioni appengine.applications.update, clientauthconfig.clients.create e clientauthconfig.clients.getWithSecret. Queste autorizzazioni vengono concesse da ruoli come il ruolo Editor di progetto. Per ulteriori informazioni, vedi Gestire l'accesso alle risorse protette da IAP.
  2. Per confermare che vuoi IAP per proteggere l'applicazione, fai clic su Attiva nella finestra Attiva IAP visualizzata. Dopo l'attivazione, IAP richiede le credenziali di accesso per tutte le connessioni alla tua applicazione.

Accesso di prova

  1. Accedi all'URL dell'app da un Account Google che hai aggiunto ad IAP con il ruolo Utente app web protetto da IAP, come descritto sopra. Dovresti avere accesso illimitato all'app.

  2. Utilizza una finestra di navigazione in incognito in Chrome per accedere all'app e per accedere quando richiesto. Se tenti di accedere all'app con un account non autorizzato con il ruolo Utente app web con protezione IAP, verrà visualizzato un messaggio che ti informa che non hai accesso.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

Passaggi successivi