Panoramica di Identity-Aware Proxy

In questa pagina vengono descritti i concetti di base di Identity-Aware Proxy (IAP), un servizio globale di Google Cloud.

IAP consente di stabilire un livello di autorizzazione centrale per le applicazioni accessibili tramite HTTPS, in modo da poter utilizzare un modello di controllo dell'accesso dell'accesso a livello di applicazione invece di affidarsi a firewall a livello di rete.

I criteri IAP sono scalabili in tutta l'organizzazione. Puoi definire centralmente i criteri di accesso e applicarli a tutte le applicazioni e risorse. Quando assegni un team dedicato alla creazione e all'applicazione dei criteri, proteggi il tuo progetto dall'errata definizione o dall'implementazione errata dei criteri in qualsiasi applicazione.

Quando utilizzare IAP

Utilizza IAP quando vuoi applicare criteri di controllo dell'accesso per applicazioni e risorse. IAP funziona con le intestazioni firmate o con l'API Users dell'ambiente standard di App Engine per proteggere la tua app. Con IAP puoi configurare l'accesso alle applicazioni basate sui gruppi: una risorsa potrebbe essere accessibile per i dipendenti e inaccessibile per i contrattisti oppure accessibile solo a un reparto specifico.

Come funziona IAP

Quando un'applicazione o una risorsa è protetta da IAP, è possibile accedervi tramite il proxy solo dalle entità, note anche come utenti, che dispongono del ruolo IAM (Identity and Access Management) corretto. Quando concedi a un utente l'accesso a un'applicazione o a una risorsa tramite IAP, l'utente è soggetto ai controlli di accesso granulari implementati dal prodotto in uso, senza richiedere una VPN. Quando un utente tenta di accedere a una risorsa protetta da IAP, IAP esegue i controlli di autenticazione e autorizzazione.

App Engine
diagramma del percorso della richiesta ad App Engine quando si utilizza Cloud IAP
Cloud Run
diagramma del percorso della richiesta a Cloud Run quando si utilizza Cloud IAP
Compute Engine
diagramma del percorso della richiesta a Compute Engine e Kubernetes Engine quando si utilizza Cloud IAP
GKE
diagramma del percorso della richiesta a Compute Engine e Kubernetes Engine quando si utilizza Cloud IAP
On-premise
diagramma del percorso di richiesta a un'app on-premise quando si utilizza Cloud IAP

Autenticazione

Le richieste alle tue risorse Google Cloud provengono da App Engine, Cloud Load Balancing (bilanciamento del carico HTTP(S) esterno e interno). Il codice dell'infrastruttura di gestione per questi prodotti controlla se IAP è abilitato per l'app o il servizio di backend. Se IAP è abilitato, le informazioni sulla risorsa protetta vengono inviate al server di autenticazione IAP. Ciò include informazioni come il numero di progetto Google Cloud, l'URL della richiesta e qualsiasi credenziale IAP nelle intestazioni o nei cookie delle richieste.

Successivamente, IAP controlla le credenziali del browser dell'utente. Se non ne esiste nessuno, l'utente viene reindirizzato a un flusso di accesso all'Account Google OAuth 2.0 che memorizza un token in un cookie del browser per gli accessi futuri. Se devi creare Account Google per gli utenti esistenti, puoi utilizzare Google Cloud Directory Sync per eseguire la sincronizzazione con il tuo server Active Directory o LDAP.

Se le credenziali della richiesta sono valide, il server di autenticazione utilizza tali credenziali per ottenere l'identità dell'utente (indirizzo email e ID utente). Il server di autenticazione utilizza quindi l'identità per verificare il ruolo IAM dell'utente e se l'utente è autorizzato ad accedere alla risorsa.

Se utilizzi Compute Engine o Google Kubernetes Engine, gli utenti che possono accedere alla porta per la gestione delle applicazioni della macchina virtuale (VM) possono bypassare l'autenticazione IAP. Le regole firewall di Compute Engine e GKE non possono proteggere dall'accesso dal codice in esecuzione sulla stessa VM dell'applicazione protetta con IAP. Le regole firewall possono proteggere dall'accesso da un'altra VM, ma solo se configurate correttamente. Scopri di più sulle responsabilità dell'utente per garantire la sicurezza.

Se utilizzi Cloud Run, gli utenti che possono accedere all'URL assegnato automaticamente possono bypassare l'autenticazione IAP. I controlli in entrata possono limitare l'accesso per utilizzare il bilanciamento del carico, ma solo se configurati correttamente. Scopri di più sulle responsabilità dell'utente per garantire la sicurezza.

Autorizzazione

Dopo l'autenticazione, IAP applica il criterio IAM pertinente per verificare se l'utente è autorizzato ad accedere alla risorsa richiesta. Se l'utente dispone del ruolo Utente applicazione web con protezione IAP nel progetto della console Google Cloud in cui si trova la risorsa, è autorizzato ad accedere all'applicazione. Per gestire l'elenco dei ruoli Utente applicazione web con protezione IAP, utilizza il riquadro IAP nella console Google Cloud.

Quando attivi IAP per una risorsa, viene creato automaticamente un ID client OAuth 2.0 e un secret. Se elimini le credenziali OAuth 2.0 generate automaticamente, IAP non funzionerà correttamente. Puoi visualizzare e gestire le credenziali OAuth 2.0 in API e servizi della console Google Cloud.

Responsabilità dell'utente

IAP protegge l'autenticazione e l'autorizzazione di tutte le richieste ad App Engine, Cloud Load Balancing (HTTPS) o al bilanciamento del carico HTTP interno. IAP non protegge dall'attività all'interno di un progetto, ad esempio un'altra VM all'interno del progetto.

Per garantire la sicurezza, devi prendere le seguenti precauzioni:

  • Configura il firewall e il bilanciatore del carico per proteggerti dal traffico che non passa attraverso l'infrastruttura di gestione.
    • In alternativa, se utilizzi Cloud Run, puoi limitare l'accesso utilizzando i controlli in entrata.
  • Utilizza le intestazioni firmate o l'API Users dell'ambiente standard di App Engine.

Passaggi successivi