Programmatische Authentifizierung

Auf dieser Seite wird beschrieben, wie Sie sich über ein Nutzerkonto oder ein Dienstkonto bei einer mit Identity-Aware Proxy (IAP) gesicherten Ressource authentifizieren können.

Ein Nutzerkonto gehört zu einem einzelnen Nutzer. Ein Nutzerkonto muss authentifiziert werden, wenn Ihre Anwendung im Namen eines Nutzers auf Ressourcen zugreifen soll, die mit IAP gesichert sind. Weitere Informationen finden Sie unter Nutzerkonten.
Ein Dienstkonto ist keinem einzelnen Nutzer, sondern einer Anwendung zugeordnet. Ein Dienstkonto muss authentifiziert werden, wenn Sie einer Anwendung Zugriff auf Ihre mit IAP gesicherten Ressourcen gewähren möchten. Weitere Informationen finden Sie unter Dienstkonten.

Hinweise

Für den Start ist Folgendes erforderlich:

Eine mit IAP gesicherte Anwendung, zu der Sie mithilfe der Anmeldedaten eines Entwicklerkontos, eines Dienstkontos oder einer mobilen App programmatisch eine Verbindung herstellen möchten.

Nutzerkonto authentifizieren

Sie können den Nutzerzugriff auf Ihre Anwendung von einer Desktop- oder mobilen App aus aktivieren, damit ein Programm mit einer mit IAP gesicherten Ressource interagieren kann.

Von einer mobilen App aus authentifizieren

Erstellen Sie eine OAuth 2.0-Client-ID oder verwenden Sie eine bereits vorhandene für Ihre mobile App. Wenn Sie eine vorhandene OAuth 2.0-Client-ID verwenden möchten, folgen Sie der Anleitung unter OAuth-Clients freigeben.
Setzen Sie die OAuth-Client-ID für den programmatischen Zugriff der Anwendung auf die Zulassungsliste.
Rufen Sie ein ID-Token für die mit IAP gesicherte Client-ID ab.
- Android: Fordern Sie mit der Google Sign-In API ein OpenID Connect-Token (OIDC) an. Geben Sie für die Client-ID von requestIdToken die Client-ID für die Ressource an, zu der Sie eine Verbindung herstellen möchten.
- iOS: Fordern Sie mit Google Log-in ein ID-Token an.
Fügen Sie das ID-Token in einen Authorization: Bearer-Header ein, um die authentifizierte Anfrage an die mit IAP gesicherte Ressource zu senden.

Von einer Desktopanwendung aus authentifizieren

In diesem Abschnitt wird beschrieben, wie Sie ein Nutzerkonto von einer Desktop-Befehlszeile aus authentifizieren können.

Damit Entwickler über die Befehlszeile auf Ihre Anwendung zugreifen können, erstellen Sie eine OAuth-2.0-Client-ID für den Desktop oder teilen Sie eine vorhandene OAuth-Client-ID für den Desktop.
Setzen Sie die OAuth-Client-ID für den programmatischen Zugriff der Anwendung auf die Zulassungsliste.

Bei der Anwendung anmelden

Jeder Entwickler, der auf eine IAP-gesicherte Anwendung zugreifen möchte, muss sich zuerst anmelden. Sie können den Prozess in einem Skript bündeln, z. B. mithilfe der gcloud CLI. Im Folgenden finden Sie ein Beispiel mit curl, mit dem Sie sich anmelden und ein Token generieren können, um damit auf die Anwendung zuzugreifen:

Melden Sie sich in Ihrem Konto an, das Zugriff auf die Google Cloud-Ressource hat.
Starten Sie einen lokalen Server, der die eingehenden Anfragen wiedergeben kann.
```
    $ nc -k -l 4444
    
```
HINWEIS: Der Befehl verwendet das Dienstprogramm NetCat. Sie können dazu ein Dienstprogramm Ihrer Wahl verwenden.

Rufen Sie den folgenden URI auf, wobei DESKTOP_CLIENT_ID die Client-ID der Desktop-App ist:

https://accounts.google.com/o/oauth2/v2/auth?client_id=DESKTOP_CLIENT_ID&response_type=code&scope=openid%20email&access_type=offline&redirect_uri=http://localhost:4444&cred_ref=true

Suchen Sie in der Ausgabe des lokalen Servers nach den Anfrageparametern. Sie sollten in etwa Folgendes sehen: GET /?code=$CODE&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email&hd=google.com&prompt=consent HTTP/1.1 Kopieren Sie den CODE, um AUTH_CODE unten zusammen mit der Client-ID und dem Secret der Desktop-App zu ersetzen:
```
curl --verbose \
      --data client_id=DESKTOP_CLIENT_ID \
      --data client_secret=DESKTOP_CLIENT_SECRET \
      --data code=AUTH_CODE \
      --data redirect_uri=http://localhost:4444 \
      --data grant_type=authorization_code \
      https://oauth2.googleapis.com/token
```
Dieser Code gibt ein JSON-Objekt mit dem Feld id_token zurück, über das Sie auf die Anwendung zugreifen können.

Auf die Anwendung zugreifen

So greifen Sie mit dem id_token auf die Anwendung zu:

curl --verbose --header 'Authorization: Bearer ID_TOKEN' URL

Aktualisierungstoken

Sie können das während der Anmeldung generierte Aktualisierungstoken verwenden, um neue ID-Tokens abzurufen. Dies ist nützlich, wenn das ursprüngliche ID-Token abläuft. Jedes ID-Token ist etwa eine Stunde lang gültig. In dieser Zeit können Sie mehrere Anfragen an eine bestimmte Anwendung stellen.

Im folgenden Beispiel wird mit curl ein Aktualisierungstoken zum Abrufen eines neuen ID-Tokens verwendet. Im folgenden Beispiel ist REFRESH_TOKEN das Token aus dem Anmeldevorgang. DESKTOP_CLIENT_ID und DESKTOP_CLIENT_SECRET sind mit denen bei der Anmeldung identisch:

curl --verbose \
--data client_id=DESKTOP_CLIENT_ID \
--data client_secret=DESKTOP_CLIENT_SECRET \
--data refresh_token=REFRESH_TOKEN \
--data grant_type=refresh_token \
https://oauth2.googleapis.com/token

Dieser Code gibt ein JSON-Objekt mit einem neuen Feld id_token zurück, mit dem Sie auf die Anwendung zugreifen können.

Authentifizierung über ein Dienstkonto

Authentifizieren Sie ein Dienstkonto mit einem OpenID Connect-Token (OIDC) bei einer mit IAP gesicherten Ressource.

Erstellen Sie eine OAuth 2.0-Client-ID oder verwenden Sie eine vorhandene. Um eine vorhandene OAuth-2.0-Client-ID zu verwenden, folge der Anleitung unter OAuth-Clients freigeben.
Setzen Sie die OAuth-Client-ID für den programmatischen Zugriff der Anwendung auf die Zulassungsliste.

Außerdem müssen Sie das Dienstkonto der Zugriffsliste für das mit IAP gesicherte Projekt hinzufügen. Die folgenden Codebeispiele zeigen, wie Sie ein OIDC-Token erhalten. Sie müssen das Token in einen Authorization: Bearer-Header aufnehmen, um die Authentifizierungsanfrage an die mit IAP gesicherte Ressource zu senden.

OIDC-Token für das Standarddienstkonto abrufen

Wenn Sie ein OIDC-Token für das Standarddienstkonto für Compute Engine, App Engine oder Cloud Run abrufen möchten, können Sie das folgende Codebeispiel verwenden, um das Token für den Zugriff auf eine mit IAP gesicherte Ressource zu generieren:

C#


using Google.Apis.Auth.OAuth2;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Threading;
using System.Threading.Tasks;

public class IAPClient
{
    /// <summary>
    /// Makes a request to a IAP secured application by first obtaining
    /// an OIDC token.
    /// </summary>
    /// <param name="iapClientId">The client ID observed on
    /// https://console.cloud.google.com/apis/credentials. </param>
    /// <param name="uri">HTTP URI to fetch.</param>
    /// <param name="cancellationToken">The token to propagate operation cancel notifications.</param>
    /// <returns>The HTTP response message.</returns>
    public async Task<HttpResponseMessage> InvokeRequestAsync(
        string iapClientId, string uri, CancellationToken cancellationToken = default)
    {
        // Get the OidcToken.
        // You only need to do this once in your application
        // as long as you can keep a reference to the returned OidcToken.
        OidcToken oidcToken = await GetOidcTokenAsync(iapClientId, cancellationToken);

        // Before making an HTTP request, always obtain the string token from the OIDC token,
        // the OIDC token will refresh the string token if it expires.
        string token = await oidcToken.GetAccessTokenAsync(cancellationToken);

        // Include the OIDC token in an Authorization: Bearer header to
        // IAP-secured resource
        // Note: Normally you would use an HttpClientFactory to build the httpClient.
        // For simplicity we are building the HttpClient directly.
        using HttpClient httpClient = new HttpClient();
        httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", token);
        return await httpClient.GetAsync(uri, cancellationToken);
    }

    /// <summary>
    /// Obtains an OIDC token for authentication an IAP request.
    /// </summary>
    /// <param name="iapClientId">The client ID observed on
    /// https://console.cloud.google.com/apis/credentials. </param>
    /// <param name="cancellationToken">The token to propagate operation cancel notifications.</param>
    /// <returns>The HTTP response message.</returns>
    public async Task<OidcToken> GetOidcTokenAsync(string iapClientId, CancellationToken cancellationToken)
    {
        // Obtain the application default credentials.
        GoogleCredential credential = await GoogleCredential.GetApplicationDefaultAsync(cancellationToken);

        // Request an OIDC token for the Cloud IAP-secured client ID.
       return await credential.GetOidcTokenAsync(OidcTokenOptions.FromTargetAudience(iapClientId), cancellationToken);
    }
}

Go

Richten Sie für die Authentifizierung bei IAP Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

import (
	"context"
	"fmt"
	"io"
	"net/http"

	"google.golang.org/api/idtoken"
)

// makeIAPRequest makes a request to an application protected by Identity-Aware
// Proxy with the given audience.
func makeIAPRequest(w io.Writer, request *http.Request, audience string) error {
	// request, err := http.NewRequest("GET", "http://example.com", nil)
	// audience := "IAP_CLIENT_ID.apps.googleusercontent.com"
	ctx := context.Background()

	// client is a http.Client that automatically adds an "Authorization" header
	// to any requests made.
	client, err := idtoken.NewClient(ctx, audience)
	if err != nil {
		return fmt.Errorf("idtoken.NewClient: %w", err)
	}

	response, err := client.Do(request)
	if err != nil {
		return fmt.Errorf("client.Do: %w", err)
	}
	defer response.Body.Close()
	if _, err := io.Copy(w, response.Body); err != nil {
		return fmt.Errorf("io.Copy: %w", err)
	}

	return nil
}

Java


import com.google.api.client.http.HttpRequest;
import com.google.api.client.http.HttpRequestInitializer;
import com.google.api.client.http.HttpTransport;
import com.google.api.client.http.javanet.NetHttpTransport;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import com.google.auth.oauth2.IdTokenCredentials;
import com.google.auth.oauth2.IdTokenProvider;
import com.google.common.base.Preconditions;
import java.io.IOException;
import java.util.Collections;

public class BuildIapRequest {
  private static final String IAM_SCOPE = "https://www.googleapis.com/auth/iam";

  private static final HttpTransport httpTransport = new NetHttpTransport();

  private BuildIapRequest() {}

  private static IdTokenProvider getIdTokenProvider() throws IOException {
    GoogleCredentials credentials =
        GoogleCredentials.getApplicationDefault().createScoped(Collections.singleton(IAM_SCOPE));

    Preconditions.checkNotNull(credentials, "Expected to load credentials");
    Preconditions.checkState(
        credentials instanceof IdTokenProvider,
        String.format(
            "Expected credentials that can provide id tokens, got %s instead",
            credentials.getClass().getName()));

    return (IdTokenProvider) credentials;
  }

  /**
   * Clone request and add an IAP Bearer Authorization header with ID Token.
   *
   * @param request Request to add authorization header
   * @param iapClientId OAuth 2.0 client ID for IAP protected resource
   * @return Clone of request with Bearer style authorization header with ID Token.
   * @throws IOException exception creating ID Token
   */
  public static HttpRequest buildIapRequest(HttpRequest request, String iapClientId)
      throws IOException {

    IdTokenProvider idTokenProvider = getIdTokenProvider();
    IdTokenCredentials credentials =
        IdTokenCredentials.newBuilder()
            .setIdTokenProvider(idTokenProvider)
            .setTargetAudience(iapClientId)
            .build();

    HttpRequestInitializer httpRequestInitializer = new HttpCredentialsAdapter(credentials);

    return httpTransport
        .createRequestFactory(httpRequestInitializer)
        .buildRequest(request.getRequestMethod(), request.getUrl(), request.getContent());
  }
}

Node.js

/**
 * TODO(developer): Uncomment these variables before running the sample.
 */
// const url = 'https://some.iap.url';
// const targetAudience = 'IAP_CLIENT_ID.apps.googleusercontent.com';

const {GoogleAuth} = require('google-auth-library');
const auth = new GoogleAuth();

async function request() {
  console.info(`request IAP ${url} with target audience ${targetAudience}`);
  const client = await auth.getIdTokenClient(targetAudience);
  const res = await client.request({url});
  console.info(res.data);
}

request().catch(err => {
  console.error(err.message);
  process.exitCode = 1;
});

PHP

Richten Sie für die Authentifizierung bei IAP Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

namespace Google\Cloud\Samples\Iap;

# Imports Auth libraries and Guzzle HTTP libraries.
use Google\Auth\ApplicationDefaultCredentials;
use GuzzleHttp\Client;
use GuzzleHttp\HandlerStack;

/**
 * Make a request to an application protected by Identity-Aware Proxy.
 *
 * @param string $url The Identity-Aware Proxy-protected URL to fetch.
 * @param string $clientId The client ID used by Identity-Aware Proxy.
 */
function make_iap_request($url, $clientId)
{
    // create middleware, using the client ID as the target audience for IAP
    $middleware = ApplicationDefaultCredentials::getIdTokenMiddleware($clientId);
    $stack = HandlerStack::create();
    $stack->push($middleware);

    // create the HTTP client
    $client = new Client([
        'handler' => $stack,
        'auth' => 'google_auth'
    ]);

    // make the request
    $response = $client->get($url);
    print('Printing out response body:');
    print($response->getBody());
}

Python

Richten Sie für die Authentifizierung bei IAP Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

from google.auth.transport.requests import Request
from google.oauth2 import id_token
import requests

def make_iap_request(url, client_id, method="GET", **kwargs):
    """Makes a request to an application protected by Identity-Aware Proxy.

    Args:
      url: The Identity-Aware Proxy-protected URL to fetch.
      client_id: The client ID used by Identity-Aware Proxy.
      method: The request method to use
              ('GET', 'OPTIONS', 'HEAD', 'POST', 'PUT', 'PATCH', 'DELETE')
      **kwargs: Any of the parameters defined for the request function:
                https://github.com/requests/requests/blob/master/requests/api.py
                If no timeout is provided, it is set to 90 by default.

    Returns:
      The page body, or raises an exception if the page couldn't be retrieved.
    """
    # Set the default timeout, if missing
    if "timeout" not in kwargs:
        kwargs["timeout"] = 90

    # Obtain an OpenID Connect (OIDC) token from metadata server or using service
    # account.
    open_id_connect_token = id_token.fetch_id_token(Request(), client_id)

    # Fetch the Identity-Aware Proxy-protected URL, including an
    # Authorization header containing "Bearer " followed by a
    # Google-issued OpenID Connect token for the service account.
    resp = requests.request(
        method,
        url,
        headers={"Authorization": "Bearer {}".format(open_id_connect_token)},
        **kwargs
    )
    if resp.status_code == 403:
        raise Exception(
            "Service account does not have permission to "
            "access the IAP-protected application."
        )
    elif resp.status_code != 200:
        raise Exception(
            "Bad response from application: {!r} / {!r} / {!r}".format(
                resp.status_code, resp.headers, resp.text
            )
        )
    else:
        return resp.text

Ruby

Richten Sie für die Authentifizierung bei IAP Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

# url = "The Identity-Aware Proxy-protected URL to fetch"
# client_id = "The client ID used by Identity-Aware Proxy"
require "googleauth"
require "faraday"

# The client ID as the target audience for IAP
id_token_creds = Google::Auth::Credentials.default target_audience: client_id

headers = {}
id_token_creds.client.apply! headers

resp = Faraday.get url, nil, headers

if resp.status == 200
  puts "X-Goog-Iap-Jwt-Assertion:"
  puts resp.body
else
  puts "Error requesting IAP"
  puts resp.status
  puts resp.headers
end

OIDC-Token aus einer lokalen Dienstkonto-Schlüsseldatei abrufen

Wenn Sie eine Dienstkonto-Schlüsseldatei haben, können Sie die vorherigen Codebeispiele anpassen, um die Dienstkonto-Schlüsseldatei bereitzustellen.

Bash

  #!/usr/bin/env bash
  set -euo pipefail

  get_token() {
    # Get the bearer token in exchange for the service account credentials.
    local service_account_key_file_path="${1}"
    local iap_client_id="${2}"

    local iam_scope="https://www.googleapis.com/auth/iam"
    local oauth_token_uri="https://www.googleapis.com/oauth2/v4/token"

    local private_key_id="$(cat "${service_account_key_file_path}" | jq -r '.private_key_id')"
    local client_email="$(cat "${service_account_key_file_path}" | jq -r '.client_email')"
    local private_key="$(cat "${service_account_key_file_path}" | jq -r '.private_key')"
    local issued_at="$(date +%s)"
    local expires_at="$((issued_at + 600))"
    local header="{'alg':'RS256','typ':'JWT','kid':'${private_key_id}'}"
    local header_base64="$(echo "${header}" | base64)"
    local payload="{'iss':'${client_email}','aud':'${oauth_token_uri}','exp':${expires_at},'iat':${issued_at},'sub':'${client_email}','target_audience':'${iap_client_id}'}"
    local payload_base64="$(echo "${payload}" | base64)"
    local signature_base64="$(printf %s "${header_base64}.${payload_base64}" | openssl dgst -binary -sha256 -sign <(printf '%s\n' "${private_key}")  | base64)"
    local assertion="${header_base64}.${payload_base64}.${signature_base64}"
    local token_payload="$(curl -s \
      --data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer" \
      --data-urlencode "assertion=${assertion}" \
      https://www.googleapis.com/oauth2/v4/token)"
    local bearer_id_token="$(echo "${token_payload}" | jq -r '.id_token')"
    echo "${bearer_id_token}"
  }

  main(){
    # TODO: Replace the following variables:
    SERVICE_ACCOUNT_KEY="service_account_key_file_path"
    IAP_CLIENT_ID="iap_client_id"
    URL="application_url"

    # Obtain the ID token.
    ID_TOKEN=$(get_token "${SERVICE_ACCOUNT_KEY}" "${IAP_CLIENT_ID}")
    # Access the application with the ID token.
    curl --header "Authorization: Bearer ${ID_TOKEN}" "${URL}"
  }

  main "$@"

In allen anderen Fällen ein OIDC-Token abrufen

Verwenden Sie in allen anderen Fällen die IAM Credentials API, um ein OIDC-Token zu generieren. Geben Sie dazu direkt vor dem Zugriff auf eine mit IAP gesicherte Ressource die Identität eines Zieldienstkontos an. Dieser Prozess umfasst die folgenden Schritte:

Geben Sie dem aufrufenden Dienstkonto (das Dienstkonto, das mit dem Code verknüpft ist, der das ID-Token abruft) die Rolle „Dienstkonto-OpenID Connect Identity-Token-Ersteller“ (roles/iam.serviceAccountOpenIdTokenCreator) an.

Dadurch kann das aufrufende Dienstkonto die Identität des Zieldienstkontos übernehmen.
Verwenden Sie die vom aufrufenden Dienstkonto bereitgestellten Anmeldedaten, um die Methode generateIdToken für das Zieldienstkonto aufzurufen.

Geben Sie im Feld audience Ihre Client-ID ein.

Eine detaillierte Anleitung finden Sie unter ID-Token erstellen.

Authentifizierung über Proxy-Autorisierungs-Header

Wenn die Anwendung den Anfrageheader Authorization verwendet, können Sie das ID-Token stattdessen in einen Proxy-Authorization: Bearer-Header einfügen. Wenn in einem Proxy-Authorization-Header ein gültiges ID-Token gefunden wird, autorisiert IAP damit die Anfrage. Nach der Autorisierung der Anfrage übergibt IAP den Authorization-Header an Ihre Anwendung, ohne den Inhalt zu verarbeiten.

Wenn im Proxy-Authorization-Header kein gültiges ID-Token gefunden wird, verarbeitet IAP weiter den Authorization-Header und entfernt den Proxy-Authorization-Header, bevor die Anfrage an die Anwendung übergeben wird.

Nächste Schritte

Autorisierung: Inhabertoken
Log-in für Android oder Log-in für iOS testen