Questa pagina descrive come eseguire l'autenticazione a una risorsa protetta da Identity-Aware Proxy (IAP) da un account utente o di servizio.
Un account utente appartiene a un singolo utente. Autentichi un account utente quando la tua applicazione richiede l'accesso a risorse protette con IAP per conto di un utente. Per ulteriori informazioni, consulta Account utente.
Un account di servizio appartiene a un'applicazione anziché a un singolo utente. Autentichi un account di servizio quando vuoi consentire a un'applicazione di accedere alle tue risorse protette con IAP. Per ulteriori informazioni, consulta Account di servizio.
Prima di iniziare
Prima di iniziare, avrai bisogno di:
- Un'applicazione protetta da IAP a cui vuoi connetterti in modo programmatico utilizzando un account sviluppatore, un account di servizio o le credenziali dell'app mobile.
Autenticazione di un account utente
Puoi abilitare l'accesso degli utenti alla tua app da un'app desktop o mobile per consentire a un programma di interagire con una risorsa protetta da IAP.
Autenticazione da un'app mobile
- Crea o utilizza un ID client OAuth 2.0 esistente per la tua app mobile. Per utilizzare un ID client OAuth 2.0 esistente, segui la procedura descritta in Come condividere client OAuth.
- Inserisci l'ID client OAuth nella lista consentita per l'accesso programmatico dell'applicazione.
- Ottieni un token ID per l'ID client protetto con IAP.
- Android: utilizza l'API Google Sign-In per richiedere un token OpenID Connect (OIDC). Imposta l'ID client
requestIdToken
sull'ID client della risorsa a cui ti stai connettendo. - iOS: usa Accedi con Google per ricevere un token ID.
- Android: utilizza l'API Google Sign-In per richiedere un token OpenID Connect (OIDC). Imposta l'ID client
- Includi il token ID in un'intestazione
Authorization: Bearer
per effettuare la richiesta autenticata alla risorsa protetta da IAP.
Autenticazione da un'app desktop
Questa sezione descrive come autenticare un account utente dalla riga di comando di un desktop.
- Per consentire agli sviluppatori di accedere alla tua applicazione dalla riga di comando, crea un ID client OAuth 2.0 desktop o condividi un ID client OAuth desktop esistente.
- Inserisci l'ID client OAuth nella lista consentita per l'accesso programmatico dell'applicazione.
Accesso all'applicazione
Ogni sviluppatore che vuole accedere a un'app protetta da IAP dovrà prima eseguire l'accesso. Puoi pacchettizzare il processo in uno script, ad esempio utilizzando gcloud CLI. Di seguito è riportato un esempio in cui viene utilizzato curl per accedere e generare un token che possa essere usato per accedere all'applicazione:
- Accedi all'account che ha accesso alla risorsa Google Cloud.
-
Avvia un server locale in grado di eseguire l'echo delle richieste in entrata.
$ nc -k -l 4444
NOTA: il comando utilizza l'utilità NetCat. Puoi utilizzare l'utilità che preferisci. -
Vai al seguente URI, dove
DESKTOP_CLIENT_ID
è l'ID client dell'app desktop:https://accounts.google.com/o/oauth2/v2/auth?client_id=DESKTOP_CLIENT_ID&response_type=code&scope=openid%20email&access_type=offline&redirect_uri=http://localhost:4444&cred_ref=true
-
Cerca i parametri della richiesta nell'output del server locale. Dovresti vedere
qualcosa di simile al seguente:
GET /?code=$CODE&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email&hd=google.com&prompt=consent HTTP/1.1
copia il CODICE per sostituireAUTH_CODE
di seguito insieme all'ID client e al secret dell'app desktop:curl --verbose \ --data client_id=DESKTOP_CLIENT_ID \ --data client_secret=DESKTOP_CLIENT_SECRET \ --data code=AUTH_CODE \ --data redirect_uri=http://localhost:4444 \ --data grant_type=authorization_code \ https://oauth2.googleapis.com/token
Questo codice restituisce un oggetto JSON con un campo
id_token
che puoi utilizzare per accedere all'applicazione.
Accesso all'applicazione
Per accedere all'app, utilizza id_token
come segue:
curl --verbose --header 'Authorization: Bearer ID_TOKEN' URL
Aggiorna token
Puoi utilizzare il token di aggiornamento generato durante il flusso di accesso per ricevere nuovi token ID. Questo è utile quando il token ID originale scade. Ogni token ID è valido per circa un'ora, durante la quale puoi effettuare più richieste a un'app specifica.
Di seguito è riportato un esempio in cui viene utilizzato il token di aggiornamento per ottenere un nuovo token ID. Nell'esempio seguente, REFRESH_TOKEN
è il token del flusso di accesso.
DESKTOP_CLIENT_ID
e DESKTOP_CLIENT_SECRET
sono gli stessi utilizzati nel flusso di accesso:
curl --verbose \ --data client_id=DESKTOP_CLIENT_ID \ --data client_secret=DESKTOP_CLIENT_SECRET \ --data refresh_token=REFRESH_TOKEN \ --data grant_type=refresh_token \ https://oauth2.googleapis.com/token
Questo codice restituisce un oggetto JSON con un nuovo campo id_token
che puoi utilizzare per accedere all'app.
Autenticazione da un account di servizio
Utilizza un token OpenID Connect (OIDC) per autenticare un account di servizio in una risorsa protetta da IAP.
- Crea o utilizza un ID client OAuth 2.0 esistente. Per utilizzare un ID client OAuth 2.0 esistente, segui la procedura descritta in Come condividere i client OAuth.
- Inserisci l'ID client OAuth nella lista consentita per l'accesso programmatico dell'applicazione.
Devi inoltre aggiungere l'account di servizio all'elenco per gli accessi per il progetto protetto da IAP. I seguenti esempi di codice mostrano come ottenere un token OIDC. Devi includere il token in un'intestazione Authorization: Bearer
per effettuare la richiesta di autenticazione alla risorsa protetta da IAP.
Ottenere un token OIDC per l'account di servizio predefinito
Se vuoi ottenere un token OIDC per l'account di servizio predefinito per Compute Engine, App Engine o Cloud Run, puoi utilizzare il seguente esempio di codice per generare il token per accedere a una risorsa protetta da IAP:
C#
Go
Per eseguire l'autenticazione su IAP, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Node.js
PHP
Per eseguire l'autenticazione su IAP, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per eseguire l'autenticazione su IAP, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per eseguire l'autenticazione su IAP, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Recupero di un token OIDC da un file di chiavi dell'account di servizio locale
Se hai un file delle chiavi dell'account di servizio, puoi adattare gli esempi di codice precedenti per fornire il file delle chiavi dell'account di servizio.
Bash
#!/usr/bin/env bash
set -euo pipefail
get_token() {
# Get the bearer token in exchange for the service account credentials.
local service_account_key_file_path="${1}"
local iap_client_id="${2}"
local iam_scope="https://www.googleapis.com/auth/iam"
local oauth_token_uri="https://www.googleapis.com/oauth2/v4/token"
local private_key_id="$(cat "${service_account_key_file_path}" | jq -r '.private_key_id')"
local client_email="$(cat "${service_account_key_file_path}" | jq -r '.client_email')"
local private_key="$(cat "${service_account_key_file_path}" | jq -r '.private_key')"
local issued_at="$(date +%s)"
local expires_at="$((issued_at + 3600))"
local header="{'alg':'RS256','typ':'JWT','kid':'${private_key_id}'}"
local header_base64="$(echo "${header}" | base64)"
local payload="{'iss':'${client_email}','aud':'${oauth_token_uri}','exp':${expires_at},'iat':${issued_at},'sub':'${client_email}','target_audience':'${iap_client_id}'}"
local payload_base64="$(echo "${payload}" | base64)"
local signature_base64="$(printf %s "${header_base64}.${payload_base64}" | openssl dgst -binary -sha256 -sign <(printf '%s\n' "${private_key}") | base64)"
local assertion="${header_base64}.${payload_base64}.${signature_base64}"
local token_payload="$(curl -s \
--data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer" \
--data-urlencode "assertion=${assertion}" \
https://www.googleapis.com/oauth2/v4/token)"
local bearer_id_token="$(echo "${token_payload}" | jq -r '.id_token')"
echo "${bearer_id_token}"
}
main(){
# TODO: Replace the following variables:
SERVICE_ACCOUNT_KEY="service_account_key_file_path"
IAP_CLIENT_ID="iap_client_id"
URL="application_url"
# Obtain the ID token.
ID_TOKEN=$(get_token "${SERVICE_ACCOUNT_KEY}" "${IAP_CLIENT_ID}")
# Access the application with the ID token.
curl --header "Authorization: Bearer ${ID_TOKEN}" "${URL}"
}
main "$@"
Ottenere un token OIDC in tutti gli altri casi
In tutti gli altri casi, utilizza l'API IAM delle credenziali per generare un token OIDC impersonando un account di servizio di destinazione prima di accedere a una risorsa protetta da IAP. Questa procedura prevede i seguenti passaggi:
Fornisci l'account di servizio della chiamata (l'account di servizio associato al codice che riceve il token ID) con il ruolo Creatore token identità OpenID Connect dell'account di servizio (
roles/iam.serviceAccountOpenIdTokenCreator
).In questo modo l'account di servizio per le chiamate può impersonare l'account di servizio di destinazione.
Utilizza le credenziali fornite dall'account di servizio chiamante per chiamare il metodo generateIdToken nell'account di servizio di destinazione.
Imposta il campo
audience
sul tuo ID client.
Per istruzioni dettagliate, consulta Creare un token ID.
Autenticazione dall'intestazione Proxy-Authorization
Se l'applicazione utilizza l'intestazione della richiesta Authorization
, puoi includere il token ID in un'intestazione Proxy-Authorization: Bearer
. Se
in un'intestazione Proxy-Authorization
viene trovato un token ID valido,
IAP autorizza la richiesta con questo token. Dopo aver autorizzato la richiesta, IAP passa l'intestazione Authorization
alla tua applicazione senza elaborare i contenuti.
Se nell'intestazione Proxy-Authorization
non viene trovato alcun token ID valido, IAP continua a elaborare l'intestazione Authorization
e rimuove l'intestazione Proxy-Authorization
prima di passare la richiesta alla tua applicazione.
Passaggi successivi
- Scopri di più su Autorizzazione: token di connessione.
- Prova la funzionalità Accesso per Android o Accesso per iOS.