Authentification automatisée

Cette page explique comment s'authentifier auprès d'une ressource sécurisée par Identity-Aware Proxy (IAP) avec un compte utilisateur ou un compte de service.

Un compte utilisateur appartient à un utilisateur individuel. Vous authentifiez un compte utilisateur lorsque votre application doit accéder à des ressources sécurisées par IAP au nom d'un utilisateur. Pour en savoir plus, consultez la page Comptes utilisateur.
Un compte de service appartient à une application et non à un utilisateur individuel. Vous authentifiez un compte de service lorsque vous souhaitez autoriser une application à accéder à vos ressources sécurisées par IAP. Pour en savoir plus, consultez la section Comptes de service.

Avant de commencer

Avant de commencer, vous aurez besoin des éléments suivants :

Une application sécurisée par IAP à laquelle vous souhaitez vous connecter de manière automatisée à l'aide d'un compte de développeur, d'un compte de service ou d'identifiants d'application mobile.

Authentifier un compte utilisateur

Vous pouvez autoriser l'accès des utilisateurs à votre application à partir d'une application de bureau ou mobile pour permettre à un programme d'interagir avec une ressource sécurisée par IAP.

Authentification à partir d'une application mobile

Créez ou utilisez un ID client OAuth 2.0 pour votre application mobile. Pour utiliser un ID client OAuth 2.0 existant, suivez la procédure décrite dans Partager des clients OAuth.
Ajoutez l'ID client OAuth à la liste d'autorisation pour l'accès programmatique de l'application.
Obtenez un jeton d'ID pour l'ID client sécurisé par IAP.
- Android : demandez un jeton OpenID Connect (OIDC) à l'aide de l'API Google Sign-In. Définissez l'ID client requestIdToken sur celui de la ressource à laquelle vous vous connectez.
- iOS : utilisez Google Sign-In pour obtenir un jeton d'ID.
Incluez le jeton d'ID dans un en-tête Authorization: Bearer pour envoyer la requête authentifiée à la ressource sécurisée par IAP.

Authentification à partir d'une application de bureau

Cette section décrit comment authentifier un compte utilisateur à partir d'une ligne de commande d'ordinateur de bureau.

Pour permettre aux développeurs d'accéder à votre application à partir de la ligne de commande, créez un ID client OAuth 2.0 pour ordinateur ou partagez un ID client OAuth de bureau existant.
Ajoutez l'ID client OAuth à la liste d'autorisation pour l'accès programmatique de l'application.

Se connecter à l'application

Chaque développeur qui souhaite accéder à une application sécurisée par IAP doit d'abord se connecter. Vous pouvez empaqueter le processus dans un script, par exemple à l'aide de gcloud CLI. Voici un exemple montrant comment se connecter et générer un jeton pour accéder à l'application avec curl :

Connectez-vous à votre compte ayant accès à la ressource Google Cloud.
Démarrez un serveur local capable d'envoyer un écho des requêtes entrantes.
```
    $ nc -k -l 4444
    
```
REMARQUE: La commande utilise l'utilitaire NetCat. Vous pouvez utiliser l'utilitaire de votre choix.

Accédez à l'URI suivant, où DESKTOP_CLIENT_ID est l'ID client de l'application de bureau:

https://accounts.google.com/o/oauth2/v2/auth?client_id=DESKTOP_CLIENT_ID&response_type=code&scope=openid%20email&access_type=offline&redirect_uri=http://localhost:4444&cred_ref=true

Dans la sortie du serveur local, recherchez les paramètres de requête. Le résultat doit ressembler à ce qui suit : GET /?code=$CODE&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email&hd=google.com&prompt=consent HTTP/1.1 Copiez le CODE pour remplacer AUTH_CODE ci-dessous avec l'ID client et le code secret de l'application de bureau:
```
curl --verbose \
      --data client_id=DESKTOP_CLIENT_ID \
      --data client_secret=DESKTOP_CLIENT_SECRET \
      --data code=AUTH_CODE \
      --data redirect_uri=http://localhost:4444 \
      --data grant_type=authorization_code \
      https://oauth2.googleapis.com/token
```
Ce code renvoie un objet JSON avec un champ id_token que vous pouvez utiliser pour accéder à l'application.

Accéder à l'application

Pour accéder à l'application, utilisez id_token comme suit:

curl --verbose --header 'Authorization: Bearer ID_TOKEN' URL

Jeton d'actualisation

Vous pouvez utiliser le jeton d'actualisation généré lors du flux de connexion pour obtenir de nouveaux jetons d'ID. Cela s'avère utile lorsque le jeton d'ID d'origine expire. Chaque jeton d'ID est valide pendant environ une heure, au cours de laquelle vous pouvez envoyer plusieurs requêtes à une application spécifique.

Voici un exemple où la commande curl se sert du jeton d'actualisation pour obtenir un nouveau jeton d'ID. Dans l'exemple suivant, REFRESH_TOKEN est le jeton du flux de connexion. DESKTOP_CLIENT_ID et DESKTOP_CLIENT_SECRET sont identiques à celles utilisées dans le flux de connexion:

curl --verbose \
--data client_id=DESKTOP_CLIENT_ID \
--data client_secret=DESKTOP_CLIENT_SECRET \
--data refresh_token=REFRESH_TOKEN \
--data grant_type=refresh_token \
https://oauth2.googleapis.com/token

Ce code renvoie un objet JSON avec un nouveau champ id_token que vous pouvez utiliser pour accéder à l'application.

Authentifier un compte de service

Utilisez un jeton OpenID Connect (OIDC) pour authentifier un compte de service auprès d'une ressource sécurisée par IAP.

Créez ou utilisez un ID client OAuth 2.0 existant. Pour utiliser un ID client OAuth 2.0 existant, suivez la procédure décrite dans Partager des clients OAuth.
Ajoutez l'ID client OAuth à la liste d'autorisation pour l'accès programmatique de l'application.

Vous devez également ajouter le compte de service à la liste d'accès du projet sécurisé par IAP. Les exemples de code suivants montrent comment obtenir un jeton OIDC. Vous devez inclure le jeton dans un en-tête Authorization: Bearer pour envoyer la requête d'authentification à la ressource sécurisée par IAP.

Obtenir un jeton OIDC pour le compte de service par défaut

Si vous souhaitez obtenir un jeton OIDC pour le compte de service par défaut pour Compute Engine, App Engine ou Cloud Run, vous pouvez utiliser l'exemple de code suivant pour générer le jeton permettant d'accéder à une ressource sécurisée par IAP:

C#


using Google.Apis.Auth.OAuth2;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Threading;
using System.Threading.Tasks;

public class IAPClient
{
    /// <summary>
    /// Makes a request to a IAP secured application by first obtaining
    /// an OIDC token.
    /// </summary>
    /// <param name="iapClientId">The client ID observed on
    /// https://console.cloud.google.com/apis/credentials. </param>
    /// <param name="uri">HTTP URI to fetch.</param>
    /// <param name="cancellationToken">The token to propagate operation cancel notifications.</param>
    /// <returns>The HTTP response message.</returns>
    public async Task<HttpResponseMessage> InvokeRequestAsync(
        string iapClientId, string uri, CancellationToken cancellationToken = default)
    {
        // Get the OidcToken.
        // You only need to do this once in your application
        // as long as you can keep a reference to the returned OidcToken.
        OidcToken oidcToken = await GetOidcTokenAsync(iapClientId, cancellationToken);

        // Before making an HTTP request, always obtain the string token from the OIDC token,
        // the OIDC token will refresh the string token if it expires.
        string token = await oidcToken.GetAccessTokenAsync(cancellationToken);

        // Include the OIDC token in an Authorization: Bearer header to
        // IAP-secured resource
        // Note: Normally you would use an HttpClientFactory to build the httpClient.
        // For simplicity we are building the HttpClient directly.
        using HttpClient httpClient = new HttpClient();
        httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", token);
        return await httpClient.GetAsync(uri, cancellationToken);
    }

    /// <summary>
    /// Obtains an OIDC token for authentication an IAP request.
    /// </summary>
    /// <param name="iapClientId">The client ID observed on
    /// https://console.cloud.google.com/apis/credentials. </param>
    /// <param name="cancellationToken">The token to propagate operation cancel notifications.</param>
    /// <returns>The HTTP response message.</returns>
    public async Task<OidcToken> GetOidcTokenAsync(string iapClientId, CancellationToken cancellationToken)
    {
        // Obtain the application default credentials.
        GoogleCredential credential = await GoogleCredential.GetApplicationDefaultAsync(cancellationToken);

        // Request an OIDC token for the Cloud IAP-secured client ID.
       return await credential.GetOidcTokenAsync(OidcTokenOptions.FromTargetAudience(iapClientId), cancellationToken);
    }
}

Go

Pour vous authentifier auprès d'IAP, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.

import (
	"context"
	"fmt"
	"io"
	"net/http"

	"google.golang.org/api/idtoken"
)

// makeIAPRequest makes a request to an application protected by Identity-Aware
// Proxy with the given audience.
func makeIAPRequest(w io.Writer, request *http.Request, audience string) error {
	// request, err := http.NewRequest("GET", "http://example.com", nil)
	// audience := "IAP_CLIENT_ID.apps.googleusercontent.com"
	ctx := context.Background()

	// client is a http.Client that automatically adds an "Authorization" header
	// to any requests made.
	client, err := idtoken.NewClient(ctx, audience)
	if err != nil {
		return fmt.Errorf("idtoken.NewClient: %w", err)
	}

	response, err := client.Do(request)
	if err != nil {
		return fmt.Errorf("client.Do: %w", err)
	}
	defer response.Body.Close()
	if _, err := io.Copy(w, response.Body); err != nil {
		return fmt.Errorf("io.Copy: %w", err)
	}

	return nil
}

Java


import com.google.api.client.http.HttpRequest;
import com.google.api.client.http.HttpRequestInitializer;
import com.google.api.client.http.HttpTransport;
import com.google.api.client.http.javanet.NetHttpTransport;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import com.google.auth.oauth2.IdTokenCredentials;
import com.google.auth.oauth2.IdTokenProvider;
import com.google.common.base.Preconditions;
import java.io.IOException;
import java.util.Collections;

public class BuildIapRequest {
  private static final String IAM_SCOPE = "https://www.googleapis.com/auth/iam";

  private static final HttpTransport httpTransport = new NetHttpTransport();

  private BuildIapRequest() {}

  private static IdTokenProvider getIdTokenProvider() throws IOException {
    GoogleCredentials credentials =
        GoogleCredentials.getApplicationDefault().createScoped(Collections.singleton(IAM_SCOPE));

    Preconditions.checkNotNull(credentials, "Expected to load credentials");
    Preconditions.checkState(
        credentials instanceof IdTokenProvider,
        String.format(
            "Expected credentials that can provide id tokens, got %s instead",
            credentials.getClass().getName()));

    return (IdTokenProvider) credentials;
  }

  /**
   * Clone request and add an IAP Bearer Authorization header with ID Token.
   *
   * @param request Request to add authorization header
   * @param iapClientId OAuth 2.0 client ID for IAP protected resource
   * @return Clone of request with Bearer style authorization header with ID Token.
   * @throws IOException exception creating ID Token
   */
  public static HttpRequest buildIapRequest(HttpRequest request, String iapClientId)
      throws IOException {

    IdTokenProvider idTokenProvider = getIdTokenProvider();
    IdTokenCredentials credentials =
        IdTokenCredentials.newBuilder()
            .setIdTokenProvider(idTokenProvider)
            .setTargetAudience(iapClientId)
            .build();

    HttpRequestInitializer httpRequestInitializer = new HttpCredentialsAdapter(credentials);

    return httpTransport
        .createRequestFactory(httpRequestInitializer)
        .buildRequest(request.getRequestMethod(), request.getUrl(), request.getContent());
  }
}

Node.js

/**
 * TODO(developer): Uncomment these variables before running the sample.
 */
// const url = 'https://some.iap.url';
// const targetAudience = 'IAP_CLIENT_ID.apps.googleusercontent.com';

const {GoogleAuth} = require('google-auth-library');
const auth = new GoogleAuth();

async function request() {
  console.info(`request IAP ${url} with target audience ${targetAudience}`);
  const client = await auth.getIdTokenClient(targetAudience);
  const res = await client.request({url});
  console.info(res.data);
}

request().catch(err => {
  console.error(err.message);
  process.exitCode = 1;
});

PHP

namespace Google\Cloud\Samples\Iap;

# Imports Auth libraries and Guzzle HTTP libraries.
use Google\Auth\ApplicationDefaultCredentials;
use GuzzleHttp\Client;
use GuzzleHttp\HandlerStack;

/**
 * Make a request to an application protected by Identity-Aware Proxy.
 *
 * @param string $url The Identity-Aware Proxy-protected URL to fetch.
 * @param string $clientId The client ID used by Identity-Aware Proxy.
 */
function make_iap_request($url, $clientId)
{
    // create middleware, using the client ID as the target audience for IAP
    $middleware = ApplicationDefaultCredentials::getIdTokenMiddleware($clientId);
    $stack = HandlerStack::create();
    $stack->push($middleware);

    // create the HTTP client
    $client = new Client([
        'handler' => $stack,
        'auth' => 'google_auth'
    ]);

    // make the request
    $response = $client->get($url);
    print('Printing out response body:');
    print($response->getBody());
}

Python

from google.auth.transport.requests import Request
from google.oauth2 import id_token
import requests

def make_iap_request(url, client_id, method="GET", **kwargs):
    """Makes a request to an application protected by Identity-Aware Proxy.

    Args:
      url: The Identity-Aware Proxy-protected URL to fetch.
      client_id: The client ID used by Identity-Aware Proxy.
      method: The request method to use
              ('GET', 'OPTIONS', 'HEAD', 'POST', 'PUT', 'PATCH', 'DELETE')
      **kwargs: Any of the parameters defined for the request function:
                https://github.com/requests/requests/blob/master/requests/api.py
                If no timeout is provided, it is set to 90 by default.

    Returns:
      The page body, or raises an exception if the page couldn't be retrieved.
    """
    # Set the default timeout, if missing
    if "timeout" not in kwargs:
        kwargs["timeout"] = 90

    # Obtain an OpenID Connect (OIDC) token from metadata server or using service
    # account.
    open_id_connect_token = id_token.fetch_id_token(Request(), client_id)

    # Fetch the Identity-Aware Proxy-protected URL, including an
    # Authorization header containing "Bearer " followed by a
    # Google-issued OpenID Connect token for the service account.
    resp = requests.request(
        method,
        url,
        headers={"Authorization": "Bearer {}".format(open_id_connect_token)},
        **kwargs
    )
    if resp.status_code == 403:
        raise Exception(
            "Service account does not have permission to "
            "access the IAP-protected application."
        )
    elif resp.status_code != 200:
        raise Exception(
            "Bad response from application: {!r} / {!r} / {!r}".format(
                resp.status_code, resp.headers, resp.text
            )
        )
    else:
        return resp.text

Ruby

# url = "The Identity-Aware Proxy-protected URL to fetch"
# client_id = "The client ID used by Identity-Aware Proxy"
require "googleauth"
require "faraday"

# The client ID as the target audience for IAP
id_token_creds = Google::Auth::Credentials.default target_audience: client_id

headers = {}
id_token_creds.client.apply! headers

resp = Faraday.get url, nil, headers

if resp.status == 200
  puts "X-Goog-Iap-Jwt-Assertion:"
  puts resp.body
else
  puts "Error requesting IAP"
  puts resp.status
  puts resp.headers
end

Obtenir un jeton OIDC à partir d'un fichier de clé de compte de service local

Si vous disposez d'un fichier de clé de compte de service, vous pouvez adapter les exemples de code précédents pour fournir le fichier de clé.

Bash

  #!/usr/bin/env bash
  set -euo pipefail

  get_token() {
    # Get the bearer token in exchange for the service account credentials.
    local service_account_key_file_path="${1}"
    local iap_client_id="${2}"

    local iam_scope="https://www.googleapis.com/auth/iam"
    local oauth_token_uri="https://www.googleapis.com/oauth2/v4/token"

    local private_key_id="$(cat "${service_account_key_file_path}" | jq -r '.private_key_id')"
    local client_email="$(cat "${service_account_key_file_path}" | jq -r '.client_email')"
    local private_key="$(cat "${service_account_key_file_path}" | jq -r '.private_key')"
    local issued_at="$(date +%s)"
    local expires_at="$((issued_at + 600))"
    local header="{'alg':'RS256','typ':'JWT','kid':'${private_key_id}'}"
    local header_base64="$(echo "${header}" | base64)"
    local payload="{'iss':'${client_email}','aud':'${oauth_token_uri}','exp':${expires_at},'iat':${issued_at},'sub':'${client_email}','target_audience':'${iap_client_id}'}"
    local payload_base64="$(echo "${payload}" | base64)"
    local signature_base64="$(printf %s "${header_base64}.${payload_base64}" | openssl dgst -binary -sha256 -sign <(printf '%s\n' "${private_key}")  | base64)"
    local assertion="${header_base64}.${payload_base64}.${signature_base64}"
    local token_payload="$(curl -s \
      --data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer" \
      --data-urlencode "assertion=${assertion}" \
      https://www.googleapis.com/oauth2/v4/token)"
    local bearer_id_token="$(echo "${token_payload}" | jq -r '.id_token')"
    echo "${bearer_id_token}"
  }

  main(){
    # TODO: Replace the following variables:
    SERVICE_ACCOUNT_KEY="service_account_key_file_path"
    IAP_CLIENT_ID="iap_client_id"
    URL="application_url"

    # Obtain the ID token.
    ID_TOKEN=$(get_token "${SERVICE_ACCOUNT_KEY}" "${IAP_CLIENT_ID}")
    # Access the application with the ID token.
    curl --header "Authorization: Bearer ${ID_TOKEN}" "${URL}"
  }

  main "$@"

Obtenir un jeton OIDC dans tous les autres cas

Dans tous les autres cas, utilisez l'API IAM Credentials pour générer un jeton OIDC en usurpant l'identité d'un compte de service cible juste avant d'accéder à une ressource sécurisée par IAP. Ce processus comprend les étapes suivantes:

Indiquez au compte de service appelant (le compte de service associé au code qui obtient le jeton d'ID) le rôle Créateur de jetons d'identité OpenID Connect du compte de service (roles/iam.serviceAccountOpenIdTokenCreator).

Cela permet au compte de service appelant d'emprunter l'identité du compte de service cible.
Utilisez les identifiants fournis par le compte de service appelant pour appeler la méthode generateIdToken sur le compte de service cible.

Définissez le champ audience sur votre ID client.

Pour obtenir des instructions détaillées, consultez la section Créer un jeton d'ID.

Authentification à partir de l'en-tête Proxy-Authorization

Si votre application utilise l'en-tête de requête Authorization, vous pouvez inclure le jeton d'ID dans un en-tête Proxy-Authorization: Bearer à la place. Si un jeton d'ID valide est trouvé dans un en-tête Proxy-Authorization, IAP autorise la requête avec cet en-tête. Après avoir autorisé la requête, IAP transmet l'en-tête Authorization à votre application sans traiter le contenu.

Si aucun jeton d'ID valide n'est trouvé dans l'en-tête Proxy-Authorization, IAP continue de traiter l'en-tête Authorization et supprime l'en-tête Proxy-Authorization avant de transmettre la requête à votre application.

Étapes suivantes

Obtenez plus d'informations sur l'autorisation avec les jetons de support.
Essayez Sign-In pour Android ou Sign-In pour iOS.