In questa pagina viene descritto come eseguire l'autenticazione su una risorsa protetta da Identity-Aware Proxy (IAP) da un account utente o da un account di servizio.
- Un account utente appartiene a un singolo utente. Autentichi un account utente quando la tua applicazione richiede l'accesso a risorse protette da IAP per conto di un utente. Scopri di più sulle credenziali per l'account utente.
- Un account di servizio appartiene a un'applicazione anziché a un singolo utente. Autentichi un account di servizio quando vuoi consentire a un'applicazione di accedere alle risorse protette da IAP. Scopri come comprendere gli account di servizio.
Prima di iniziare
Prima di iniziare ti serviranno:
- Un'applicazione protetta da IAP a cui vuoi connetterti in modo programmatico utilizzando un account sviluppatore, un account di servizio o le credenziali di app per dispositivi mobili.
Autenticazione di un account utente
Puoi abilitare l'accesso degli utenti alla tua app da un'app desktop o mobile per consentire a un programma di interagire con una risorsa protetta da IAP.
Autenticazione da un'app mobile
- Crea un ID client OAuth 2.0 per la tua app per dispositivi mobili nello stesso progetto della risorsa protetta da IAP:
- Vai alla pagina Credenziali.
Vai alla pagina Credenziali - Seleziona il progetto con la risorsa protetta da IAP.
- Fai clic su Crea credenziali, quindi seleziona ID client OAuth.
- Seleziona il tipo di applicazione per il quale vuoi creare credenziali.
- Aggiungi un Nome e delle Restrizioni, se opportuno, poi fai clic su Crea.
- Vai alla pagina Credenziali.
- Nella finestra Client OAuth visualizzata, prendi nota dell'ID client della risorsa protetta da IAP a cui vuoi connetterti.
- Recupera un token ID per l'ID client con protezione IAP:
- Android: utilizza l'API Accedi con Google per richiedere un token OpenID Connect (OIDC). Imposta l'ID client
requestIdToken
sull'ID client della risorsa a cui ti stai collegando. - iOS: utilizza
Accedi con Google
per ricevere un token ID. Imposta
serverClientID
sull'ID client della risorsa a cui ti stai collegando.
- Android: utilizza l'API Accedi con Google per richiedere un token OpenID Connect (OIDC). Imposta l'ID client
- Includi il token ID in un'intestazione
Authorization: Bearer
per effettuare la richiesta autenticata alla risorsa protetta da IAP.
Autenticazione da un'app desktop
Questa sezione descrive come autenticare un account utente da una riga di comando desktop.
Impostazione dell'ID client
Per consentire agli sviluppatori di accedere all'applicazione dalla riga di comando, devi prima creare le credenziali ID client OAuth di tipo App desktop:
- Vai alla pagina Credenziali.
Vai alla pagina Credenziali - Seleziona il progetto con la risorsa protetta da IAP.
- Fai clic su Crea credenziali, quindi seleziona ID client OAuth.
- In Tipo di applicazione, seleziona App desktop, aggiungi un Nome, quindi fai clic su Crea.
- Nella finestra Client OAuth visualizzata, prendi nota dell'ID client e del client secret. Dovrai utilizzarle in uno script per gestire le credenziali o condividerle con i tuoi sviluppatori.
- Nella finestra Credenziali, vengono visualizzate le nuove credenziali dell'app desktop e l'ID client principale utilizzato per accedere all'applicazione.
Accesso all'applicazione
Ogni sviluppatore che vuole accedere a un'app protetta da IAP dovrà prima accedere. Puoi pacchettizzare il processo in uno script, ad esempio utilizzando gcloud CLI. Di seguito è riportato un esempio di curl per accedere e generare un token da utilizzare per accedere all'applicazione:
- Accedi al tuo account che ha accesso alla risorsa Google Cloud.
-
Avvia un server locale che possa eseguire l'eco delle richieste in arrivo.
$ nc -k -l 4444
NOTA: il comando utilizza l'utilità NetCat. Puoi utilizzare l'utilità che preferisci. -
Vai al URI seguente in cui
DESKTOP_CLIENT_ID
è l'ID client dell'app desktop che hai creato in precedenza:https://accounts.google.com/o/oauth2/v2/auth?client_id=DESKTOP_CLIENT_ID&response_type=code&scope=openid%20email&access_type=offline&redirect_uri=http://localhost:4444&cred_ref=true
-
Nell'output del server locale, cerca i parametri della richiesta. Il risultato dovrebbe essere simile al seguente:
GET /?code=$CODE&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email&hd=google.com&prompt=consent HTTP/1.1
copia il CODE per sostituireAUTH_CODE
di seguito insieme all'ID client e al secret app desktop che hai creato sopra.IAP_CLIENT_ID
è l'ID client principale utilizzato per accedere all'applicazione:curl --verbose \ --data client_id=DESKTOP_CLIENT_ID \ --data client_secret=DESKTOP_CLIENT_SECRET \ --data code=AUTH_CODE \ --data audience=IAP_CLIENT_ID \ --data redirect_uri=http://localhost:4444 \ --data grant_type=authorization_code \ https://oauth2.googleapis.com/token
Questo codice restituisce un oggetto JSON con un campo
id_token
che puoi utilizzare per accedere all'applicazione.
Accesso all'applicazione
Per accedere all'app, utilizza id_token
come segue:
curl --verbose --header 'Authorization: Bearer ID_TOKEN' URL
Aggiorna token
Puoi utilizzare il token di aggiornamento generato durante il flusso di accesso per ottenere nuovi token ID. Questa operazione è utile alla scadenza del token ID originale. Ogni token ID è valido per circa un'ora, durante il quale puoi effettuare più richieste a un'app specifica.
Di seguito è riportato un esempio di utilizzo di curl per utilizzare il token di aggiornamento per ottenere un nuovo token ID. Nell'esempio seguente, REFRESH_TOKEN
è il token del flusso di accesso.
IAP_CLIENT_ID
,
DESKTOP_CLIENT_ID
e
DESKTOP_CLIENT_SECRET
sono gli stessi
utilizzati nel flusso di accesso:
curl --verbose \ --data client_id=DESKTOP_CLIENT_ID \ --data client_secret=DESKTOP_CLIENT_SECRET \ --data refresh_token=REFRESH_TOKEN \ --data grant_type=refresh_token \ --data audience=IAP_CLIENT_ID \ https://oauth2.googleapis.com/token
Questo codice restituisce un oggetto JSON con un nuovo campo id_token
che puoi utilizzare per accedere all'app.
Autenticazione da un account di servizio
Utilizza un token OpenID Connect (OIDC) per autenticare un account di servizio in una risorsa protetta da IAP. Per trovare l'ID client:
- Vai alla pagina IAP.
Trova la risorsa a cui vuoi accedere, quindi fai clic su > Vai a Configurazione OAuth.
Nella pagina visualizzata, prendi nota dell'ID client.
Devi inoltre aggiungere l'account di servizio all'elenco di accesso per il progetto protetto da IAP. I seguenti esempi di codice mostrano come ottenere un token OIDC. Indipendentemente dalla scelta, devi includere il token in un'intestazione Authorization: Bearer
per effettuare la richiesta autenticata alla risorsa protetta da IAP.
Ottenere un token OIDC per l'account di servizio predefinito
Se vuoi ottenere un token OIDC per l'account di servizio predefinito per Compute Engine, App Engine o Cloud Run, puoi utilizzare il seguente esempio di codice per generare il token per accedere a una risorsa protetta da IAP:
C#
Go
Java
Node.js
PHP
Python
Ruby
Ottenere un token OIDC da un file della chiave dell'account di servizio locale
Se hai un file chiave dell'account di servizio, puoi adattare gli esempi di codice precedenti per fornire il file della chiave dell'account di servizio.
Bash
#!/usr/bin/env bash
set -euo pipefail
get_token() {
# Get the bearer token in exchange for the service account credentials.
local service_account_key_file_path="${1}"
local iap_client_id="${2}"
local iam_scope="https://www.googleapis.com/auth/iam"
local oauth_token_uri="https://www.googleapis.com/oauth2/v4/token"
local private_key_id="$(cat "${service_account_key_file_path}" | jq -r '.private_key_id')"
local client_email="$(cat "${service_account_key_file_path}" | jq -r '.client_email')"
local private_key="$(cat "${service_account_key_file_path}" | jq -r '.private_key')"
local issued_at="$(date +%s)"
local expires_at="$((issued_at + 3600))"
local header="{'alg':'RS256','typ':'JWT','kid':'${private_key_id}'}"
local header_base64="$(echo "${header}" | base64)"
local payload="{'iss':'${client_email}','aud':'${oauth_token_uri}','exp':${expires_at},'iat':${issued_at},'sub':'${client_email}','target_audience':'${iap_client_id}'}"
local payload_base64="$(echo "${payload}" | base64)"
local signature_base64="$(printf %s "${header_base64}.${payload_base64}" | openssl dgst -binary -sha256 -sign <(printf '%s\n' "${private_key}") | base64)"
local assertion="${header_base64}.${payload_base64}.${signature_base64}"
local token_payload="$(curl -s \
--data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer" \
--data-urlencode "assertion=${assertion}" \
https://www.googleapis.com/oauth2/v4/token)"
local bearer_id_token="$(echo "${token_payload}" | jq -r '.id_token')"
echo "${bearer_id_token}"
}
main(){
# TODO: Replace the following variables:
SERVICE_ACCOUNT_KEY="service_account_key_file_path"
IAP_CLIENT_ID="iap_client_id"
URL="application_url"
# Obtain the Bearer ID token.
ID_TOKEN=$(get_token "${SERVICE_ACCOUNT_KEY}" "${IAP_CLIENT_ID}")
# Access the application with the Bearer ID token.
curl --header "Authorization: Bearer ${ID_TOKEN}" "${URL}"
}
main "$@"
Ottenere un token OIDC in tutti gli altri casi
In tutti gli altri casi, utilizza l'API delle credenziali IAM per generare un token OIDC in base a un token di accesso per un altro account di servizio appena prima di accedere a una risorsa protetta da IAP:
- Aggiungi l'account nel token di accesso con il ruolo
service account token creator
all'account di destinazione. Questo garantisce che abbia l'autorizzazione IAM richiesta per creare un token OIDC per l'account di servizio di destinazione. - Chiama generateIdToken nell'account di servizio di destinazione con il token di accesso.
Presta particolare attenzione a impostare il campo
audience
sull'ID client,
Autenticazione dall'intestazione Proxy-Permission
Se la tua applicazione occupa l'intestazione della richiesta Authorization
, puoi
includere il token ID in un'intestazione Proxy-Authorization: Bearer
. Se viene trovato un token ID valido in un'intestazione Proxy-Authorization
, IAP autorizza la richiesta con quel token. Dopo aver autorizzato la richiesta, IAP trasmette l'intestazione Authorization
alla tua applicazione senza elaborare i contenuti.
Se non viene trovato alcun token ID valido nell'intestazione Proxy-Authorization
, IAP continua a elaborare l'intestazione Authorization
e ritaglia l'intestazione Proxy-Authorization
prima di passare la richiesta alla tua applicazione.
Passaggi successivi
- Scopri di più su Autorizzazione: token di connessione.
- Prova Accedi per Android o Accedi per iOS.