Halaman ini menjelaskan cara mengautentikasi ke resource yang diamankan oleh Identity-Aware Proxy (IAP) dari akun pengguna atau akun layanan.
Akun pengguna adalah milik pengguna individual. Anda mengautentikasi akun pengguna saat aplikasi Anda memerlukan akses ke resource yang diamankan IAP atas nama pengguna. Untuk mengetahui informasi selengkapnya, lihat Akun pengguna.
Akun layanan adalah milik aplikasi, bukan pengguna perorangan. Anda mengautentikasi akun layanan saat ingin mengizinkan aplikasi untuk mengakses resource yang diamankan IAP. Untuk mengetahui informasi selengkapnya, lihat Akun layanan.
Sebelum memulai
Sebelum memulai, Anda memerlukan hal-hal berikut:
- Aplikasi yang diamankan IAP yang ingin Anda hubungkan secara terprogram menggunakan kredensial akun developer, akun layanan, atau aplikasi seluler.
Mengautentikasi akun pengguna
Anda dapat mengaktifkan akses pengguna ke aplikasi dari aplikasi desktop atau seluler untuk mengizinkan program berinteraksi dengan resource yang diamankan IAP.
Mengautentikasi dari aplikasi seluler
- Buat atau gunakan client ID OAuth 2.0 yang ada untuk aplikasi seluler Anda. Untuk menggunakan client ID OAuth 2.0 yang ada, ikuti langkah-langkah di Cara membagikan Klien OAuth.
- Izinkan client ID OAuth untuk akses terprogram untuk aplikasi.
- Mendapatkan token ID untuk client ID yang diamankan IAP.
- Android: Gunakan
Google Sign-In API untuk meminta
token
OpenID Connect
(OIDC). Tetapkan client ID
requestIdToken
ke client ID untuk resource yang Anda hubungkan. - iOS: Gunakan Login dengan Google untuk mendapatkan token ID.
- Android: Gunakan
Google Sign-In API untuk meminta
token
OpenID Connect
(OIDC). Tetapkan client ID
- Sertakan token ID di header
Authorization: Bearer
untuk membuat permintaan yang diautentikasi ke resource yang diamankan IAP.
Melakukan autentikasi dari aplikasi desktop
Bagian ini menjelaskan cara mengautentikasi akun pengguna dari command line desktop.
- Untuk mengizinkan developer mengakses aplikasi Anda dari command line, buat client ID OAuth 2.0 desktop atau bagikan client ID OAuth desktop yang ada.
- Izinkan client ID OAuth untuk akses terprogram untuk aplikasi.
Login ke aplikasi
Setiap developer yang ingin mengakses aplikasi yang diamankan IAP harus login terlebih dahulu. Anda dapat memaketkan proses ke dalam skrip, seperti dengan menggunakan gcloud CLI. Berikut adalah contoh penggunaan curl untuk login dan membuat token yang dapat digunakan untuk mengakses aplikasi:
- Login ke akun Anda yang memiliki akses ke resource Google Cloud.
-
Mulai server lokal yang dapat mengulang permintaan masuk.
CATATAN: Perintah ini menggunakan utilitas NetCat. Anda dapat menggunakan utilitas pilihan Anda.$ nc -k -l 4444
-
Buka URI berikut dengan
DESKTOP_CLIENT_ID
adalah client ID aplikasi Desktop:https://accounts.google.com/o/oauth2/v2/auth?client_id=DESKTOP_CLIENT_ID&response_type=code&scope=openid%20email&access_type=offline&redirect_uri=http://localhost:4444&cred_ref=true
-
Di output server lokal, cari parameter permintaan. Anda akan melihat
sesuatu seperti berikut:
GET /?code=$CODE&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email&hd=google.com&prompt=consent HTTP/1.1
salin KODE untuk menggantiAUTH_CODE
di bawah bersama dengan client ID dan secret Aplikasi desktop:curl --verbose \ --data client_id=DESKTOP_CLIENT_ID \ --data client_secret=DESKTOP_CLIENT_SECRET \ --data code=AUTH_CODE \ --data redirect_uri=http://localhost:4444 \ --data grant_type=authorization_code \ https://oauth2.googleapis.com/token
Kode ini menampilkan objek JSON dengan kolom
id_token
yang dapat Anda gunakan untuk mengakses aplikasi.
Mengakses aplikasi
Untuk mengakses aplikasi, gunakan
id_token
sebagai berikut:
curl --verbose --header 'Authorization: Bearer ID_TOKEN' URL
Token Refresh
Anda dapat menggunakan token refresh yang dibuat selama alur login untuk mendapatkan token ID baru. Hal ini berguna saat masa berlaku token ID asli berakhir. Setiap token ID valid selama sekitar satu jam, selama waktu tersebut Anda dapat membuat beberapa permintaan ke aplikasi tertentu.
Berikut adalah contoh penggunaan curl untuk menggunakan token refresh guna mendapatkan token ID
baru. Pada contoh berikut,
REFRESH_TOKEN
adalah token
dari alur login.
DESKTOP_CLIENT_ID
, dan
DESKTOP_CLIENT_SECRET
sama
dengan yang digunakan dalam alur login:
curl --verbose \ --data client_id=DESKTOP_CLIENT_ID \ --data client_secret=DESKTOP_CLIENT_SECRET \ --data refresh_token=REFRESH_TOKEN \ --data grant_type=refresh_token \ https://oauth2.googleapis.com/token
Kode ini menampilkan objek JSON dengan kolom
id_token
baru yang dapat Anda
gunakan untuk mengakses aplikasi.
Mengautentikasi akun layanan
Anda dapat menggunakan JWT akun layanan atau token OpenID Connect (OIDC) untuk mengautentikasi akun layanan dengan resource yang diamankan IAP. Tabel berikut menguraikan beberapa perbedaan antara berbagai token autentikasi dan fiturnya.
Fitur Authentication | JWT akun layanan | Token OpenID Connect |
---|---|---|
Dukungan akses kontekstual | ||
Persyaratan Client ID OAuth 2.0 | ||
Cakupan token | URL resource yang diamankan IAP | Client ID OAuth 2.0 |
Melakukan autentikasi dengan JWT akun layanan
Mengautentikasi akun layanan menggunakan JWT terdiri dari langkah-langkah utama berikut:
Berikan peran Service Account Token Creator (
roles/iam.serviceAccountTokenCreator
) ke akun layanan panggilan.Peran ini memberi akun utama izin untuk membuat kredensial jangka pendek, seperti JWT.
Buat JWT untuk resource yang diamankan IAP.
Tanda tangani JWT menggunakan kunci pribadi akun layanan.
Membuat JWT
JWT yang dibuat harus memiliki payload yang mirip dengan contoh berikut:
{ "iss": SERVICE_ACCOUNT_EMAIL_ADDRESS, "sub": SERVICE_ACCOUNT_EMAIL_ADDRESS, "aud": TARGET_URL, "iat": IAT, "exp": EXP, }
Untuk kolom
iss
dansub
, tentukan alamat email akun layanan. Ini ditemukan di kolomclient_email
file JSON akun layanan, atau diteruskan. Format standar:service-account@PROJECT_ID.iam.gserviceaccount.com
Untuk kolom
aud
, tentukan URL resource yang diamankan IAP.Untuk kolom
iat
, tentukan waktu epoch Unix saat ini, dan untuk kolomexp
, tentukan waktu dalam 3600 detik ke depan. Ini menentukan kapan JWT berakhir masa berlakunya.
Menandatangani JWT
Anda dapat menggunakan salah satu metode berikut untuk menandatangani JWT:
- Gunakan IAM credentials API untuk menandatangani JWT tanpa memerlukan akses langsung ke kunci pribadi.
- Gunakan file kunci kredensial lokal untuk menandatangani JWT secara lokal.
Menandatangani JWT menggunakan IAM Service Account Credentials API
Gunakan IAM Service Account Credentials API untuk menandatangani JWT akun layanan. Metode ini mengambil kunci pribadi yang terkait dengan akun layanan Anda dan menggunakannya untuk menandatangani payload JWT. Hal ini memungkinkan penandatanganan JWT tanpa akses langsung ke kunci pribadi.
Untuk melakukan autentikasi ke IAP, siapkan Kredensial Default Aplikasi. Untuk informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
gcloud
Jalankan perintah berikut untuk menyiapkan permintaan dengan payload JWT:
cat > claim.json << EOM { "iss": "SERVICE_ACCOUNT_EMAIL_ADDRESS", "sub": "SERVICE_ACCOUNT_EMAIL_ADDRESS", "aud": "TARGET_URL", "iat": $(date +%s), "exp": $((`date +%s` + 3600)) } EOM
Gunakan perintah Google Cloud CLI berikut untuk menandatangani payload di
request.json
:gcloud iam service-accounts sign-jwt --iam-account=SERVICE_ACCOUNT_EMAIL_ADDRESS claim.json output.jwt
Setelah permintaan berhasil,
output.jwt
akan berisi JWT yang ditandatangani.Gunakan JWT untuk mengakses resource yang diamankan IAP.
Python
import datetime
import json
import google.auth
from google.cloud import iam_credentials_v1
import jwt
def generate_jwt_payload(service_account_email: str, resource_url: str) -> str:
"""Generates JWT payload for service account.
The resource url provided must be the same as the url of the IAP secured resource.
Args:
service_account_email (str): Specifies service account JWT is created for.
resource_url (str): Specifies scope of the JWT, the URL that the JWT will be allowed to access.
Returns:
A signed-jwt that can be used to access IAP protected applications.
Access the application with the JWT in the Authorization Header.
curl --verbose --header 'Authorization: Bearer SIGNED_JWT' URL
"""
iat = datetime.datetime.now(tz=datetime.timezone.utc)
exp = iat + 3600
return json.dumps({
'iss': service_account_email,
'sub': service_account_email,
'aud': resource_url,
'iat': iat,
'exp': exp,
})
def sign_jwt(target_sa: str, resource_url: str) -> str:
"""Signs JWT payload using ADC and IAM credentials API.
Args:
target_sa (str): Service Account JWT is being created for.
iap.webServiceVersions.accessViaIap permission is required.
resource_url (str): Audience of the JWT, and scope of the JWT token.
This is the url of the IAP protected application.
Returns:
A signed-jwt that can be used to access IAP protected apps.
"""
source_credentials, _ = google.auth.default()
iam_client = iam_credentials_v1.IAMCredentialsClient(credentials=source_credentials)
return iam_client.sign_jwt(
name=iam_client.service_account_path('-', target_sa),
payload=generate_jwt_payload(target_sa, resource_url),
).signed_jwt
Setelah permintaan berhasil, skrip akan menampilkan JWT yang ditandatangani. Gunakan JWT untuk mengakses resource yang diamankan IAP.
curl
Jalankan perintah berikut untuk menyiapkan permintaan dengan payload JWT:
cat << EOF > request.json { "payload": JWT_PAYLOAD } EOF
Tanda tangani JWT menggunakan IAM Service Account Credentials API:
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ -d @request.json \ "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL_ADDRESS:signJwt"
Setelah permintaan berhasil, JWT yang ditandatangani akan ada dalam respons.
Gunakan JWT untuk mengakses resource yang diamankan IAP.
Menandatangani JWT dari file kunci kredensial lokal
JWT ditandatangani menggunakan kunci pribadi akun layanan.
Jika Anda memiliki file kunci akun layanan, JWT dapat ditandatangani secara lokal.
Skrip mengirim header JWT beserta payload. Untuk kolom kid
di header, gunakan ID kunci pribadi akun layanan, yang ada di
kolom private_key_id
dari file JSON kredensial akun layanan.
Kunci ini juga digunakan untuk menandatangani JWT.
Python
import time
import jwt
import json
def generate_jwt_payload(service_account_email, resource_url):
"""Generates JWT payload for service account.
The resource url provided must be the same as the url of the IAP secured resource.
Args:
service_account_email (str): Specifies service account JWT is created for.
resource_url (str): Specifies scope of the JWT, the URL that the JWT will be allowed to access.
Returns:
A signed-jwt that can be used to access IAP protected applications.
Access the application with the JWT in the Authorization Header.
curl --verbose --header 'Authorization: Bearer SIGNED_JWT' URL
"""
iat = datetime.datetime.now(tz=datetime.timezone.utc)
exp = iat + 3600
return json.dumps({
'iss': service_account_email,
'sub': service_account_email,
'aud': resource_url,
'iat': iat,
'exp': exp,
})
def sign_jwt_with_key_file(credential_key_file_path, resource_url):
"""Signs JWT payload using local service account credential key file.
Args:
credential_key_file_path (str): Path to the downloaded JSON credentials of the service
account the JWT is being created for.
resource_url (str): Scope of JWT token, This is the url of the IAP protected application.
Returns:
A service account JWT created with a downloaded private key.
"""
with open(credential_key_file_path, 'r') as credential_key_file:
key_data = json.load(credential_key_file)
PRIVATE_KEY_ID_FROM_JSON = key_data["private_key_id"]
PRIVATE_KEY_FROM_JSON = key_data["private_key"]
SERVICE_ACCOUNT_EMAIL = key_data["client_email"]
# Sign JWT with private key and store key id in the header
additional_headers = {'kid': PRIVATE_KEY_ID_FROM_JSON}
payload = generate_jwt_payload(service_account_email=SERVICE_ACCOUNT_EMAIL, resource_url=resource_url)
signed_jwt = jwt.encode(
payload,
PRIVATE_KEY_FROM_JSON,
headers=additional_headers,
algorithm='RS256',
)
return signed_jwt
Hasilnya adalah JWT yang ditandatangani.
Mengakses aplikasi
Dalam semua kasus, untuk mengakses aplikasi, gunakan
signed-jwt
sebagai berikut:
curl --verbose --header 'Authorization: Bearer SIGNED_JWT' URL
Mengautentikasi dengan token OIDC
- Buat atau gunakan client ID OAuth 2.0 yang ada. Untuk menggunakan client ID OAuth 2.0 yang ada, ikuti langkah-langkah di Cara membagikan Klien OAuth.
- Izinkan client ID OAuth untuk akses terprogram untuk aplikasi.
Anda juga perlu menambahkan akun layanan ke daftar akses
untuk project yang diamankan IAP. Contoh kode berikut menunjukkan
cara mendapatkan token OIDC. Anda harus menyertakan
token dalam header Authorization: Bearer
untuk membuat permintaan autentikasi
ke resource yang diamankan IAP.
Mendapatkan token OIDC untuk akun layanan default
Jika ingin mendapatkan token OIDC untuk akun layanan default untuk Compute Engine, App Engine, atau Cloud Run, Anda dapat menggunakan contoh kode berikut untuk membuat token guna mengakses resource yang diamankan IAP:
C#
Go
Untuk melakukan autentikasi ke IAP, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Java
Node.js
PHP
Untuk melakukan autentikasi ke IAP, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Python
Untuk melakukan autentikasi ke IAP, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Ruby
Untuk melakukan autentikasi ke IAP, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Mendapatkan token OIDC dari file kunci akun layanan lokal
Jika memiliki file kunci akun layanan, Anda dapat menyesuaikan contoh kode sebelumnya untuk memberikan file kunci akun layanan.
Bash
#!/usr/bin/env bash
set -euo pipefail
get_token() {
# Get the bearer token in exchange for the service account credentials.
local service_account_key_file_path="${1}"
local iap_client_id="${2}"
local iam_scope="https://www.googleapis.com/auth/iam"
local oauth_token_uri="https://www.googleapis.com/oauth2/v4/token"
local private_key_id="$(cat "${service_account_key_file_path}" | jq -r '.private_key_id')"
local client_email="$(cat "${service_account_key_file_path}" | jq -r '.client_email')"
local private_key="$(cat "${service_account_key_file_path}" | jq -r '.private_key')"
local issued_at="$(date +%s)"
local expires_at="$((issued_at + 600))"
local header="{'alg':'RS256','typ':'JWT','kid':'${private_key_id}'}"
local header_base64="$(echo "${header}" | base64)"
local payload="{'iss':'${client_email}','aud':'${oauth_token_uri}','exp':${expires_at},'iat':${issued_at},'sub':'${client_email}','target_audience':'${iap_client_id}'}"
local payload_base64="$(echo "${payload}" | base64)"
local signature_base64="$(printf %s "${header_base64}.${payload_base64}" | openssl dgst -binary -sha256 -sign <(printf '%s\n' "${private_key}") | base64)"
local assertion="${header_base64}.${payload_base64}.${signature_base64}"
local token_payload="$(curl -s \
--data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer" \
--data-urlencode "assertion=${assertion}" \
https://www.googleapis.com/oauth2/v4/token)"
local bearer_id_token="$(echo "${token_payload}" | jq -r '.id_token')"
echo "${bearer_id_token}"
}
main(){
# TODO: Replace the following variables:
SERVICE_ACCOUNT_KEY="service_account_key_file_path"
IAP_CLIENT_ID="iap_client_id"
URL="application_url"
# Obtain the ID token.
ID_TOKEN=$(get_token "${SERVICE_ACCOUNT_KEY}" "${IAP_CLIENT_ID}")
# Access the application with the ID token.
curl --header "Authorization: Bearer ${ID_TOKEN}" "${URL}"
}
main "$@"
Mendapatkan token OIDC dalam semua kasus lainnya
Dalam semua kasus lainnya, gunakan IAM credentials API untuk membuat token OIDC dengan meniru akun layanan target tepat sebelum mengakses resource yang diamankan IAP. Proses ini melibatkan langkah-langkah berikut:
Berikan akun layanan panggilan (akun layanan yang terkait dengan kode yang mendapatkan token ID) dengan peran Pembuat Token Identitas OpenID Connect Akun Layanan (
roles/iam.serviceAccountOpenIdTokenCreator
).Hal ini memberi akun layanan panggilan kemampuan untuk meniru identitas akun layanan target.
Gunakan kredensial yang disediakan oleh akun layanan panggilan untuk memanggil metode generateIdToken di akun layanan target.
Tetapkan kolom
audience
ke client ID Anda.
Untuk petunjuk langkah demi langkah, lihat Membuat token ID.
Mengautentikasi dari Header Proxy-Authorization
Jika aplikasi Anda menggunakan header permintaan Authorization
, Anda dapat menyertakan token ID dalam header Proxy-Authorization: Bearer
. Jika
token ID yang valid ditemukan di header Proxy-Authorization
,
IAP akan memberikan otorisasi permintaan dengan token tersebut. Setelah memberikan otorisasi
pada permintaan, IAP akan meneruskan header Authorization
ke
aplikasi Anda tanpa memproses konten.
Jika tidak ada token ID yang valid yang ditemukan di header Proxy-Authorization
,
IAP akan terus memproses header Authorization
dan
menghapus header Proxy-Authorization
sebelum meneruskan permintaan ke
aplikasi Anda.
Langkah selanjutnya
- Pelajari Otorisasi: Token Pembawa lebih lanjut.
- Coba Sign-In untuk Android atau Sign-In untuk iOS.