Visão geral do Cloud Identity-Aware Proxy

Esta página descreve os conceitos básicos do Cloud Identity-Aware Proxy (Cloud IAP).

O Cloud IAP permite estabelecer uma camada de autorização central para aplicativos acessados pelo HTTPS, para que seja possível usar um modelo de controle de acesso no nível do aplicativo em vez de confiar em firewalls de rede.

As políticas do Cloud IAP aparecem em toda a organização. Você pode definir políticas de acesso de maneira central e aplicá-las a todos os aplicativos e recursos. Ao atribuir uma equipe dedicada para criar e aplicar políticas, você protege seu projeto contra definição ou implementação de políticas incorretas em qualquer aplicativo.

Quando usar o Cloud IAP

Use o Cloud IAP quando quiser aplicar políticas de controle de acesso para aplicativos e recursos. Para proteger seu aplicativo, o Cloud IAP funciona com cabeçalhos assinados ou com a API Users do ambiente padrão do App Engine. Com o Cloud IAP, é possível configurar o acesso ao aplicativo com base em grupos: um recurso pode ficar acessível para funcionários e inacessível para colaboradores terceirizados, ou apenas acessível a um departamento específico.

Como o Cloud IAP funciona

Quando um aplicativo ou recurso é protegido pelo Cloud IAP, ele só pode ser acessado por meio do proxy por membros, também conhecidos como usuários, que têm o papel correto do Cloud Identity and Access Management (Cloud IAM). Quando você concede acesso de usuário a um aplicativo ou recurso pelo Cloud IAP, eles ficam sujeitos aos controles de acesso minuciosos implementados pelo produto em uso sem exigir uma VPN. Quando um usuário tenta acessar um recurso protegido pelo Cloud IAP, o Cloud IAP realiza verificações de autenticação e autorização.

App Engine
diagrama do caminho de solicitação para o App Engine ao usar o Cloud IAP
Compute Engine
diagrama do caminho de solicitação para o Compute Engine e o Kubernetes Engine ao usar o Cloud IAP
GKE
diagrama do caminho de solicitação para o Compute Engine e o Kubernetes Engine ao usar o Cloud IAP
No local
diagrama do caminho de solicitação para um aplicativo local ao usar o Cloud IAP

Autenticação

As solicitações aos recursos do Google Cloud Platform (GCP) vêm por meio do App Engine ou do Cloud Load Balancing (HTTPS). O código de infraestrutura de disponibilização desses produtos verifica se o Cloud IAP está ativado para o aplicativo ou o serviço de back-end. Se o Cloud IAP está ativado, as informações sobre o recurso protegido são enviadas ao servidor de autenticação do Cloud IAP. Isso inclui informações como o número do projeto do GCP, o URL da solicitação e todas as credenciais do Cloud IAP nos cabeçalhos ou cookies da solicitação.

Em seguida, o Cloud IAP verifica as credenciais do navegador do usuário. Se não houver, o usuário será redirecionado para um fluxo de login da Conta do Google no OAuth 2.0 que armazena um token em um cookie do navegador para logins futuros. Se for necessário criar uma Conta do Google para usuários existentes, é possível usar o Google Cloud Directory Sync para sincronizar com o Active Directory ou o servidor LDAP.

Se as credenciais da solicitação forem válidas, o servidor de autenticação usará essas credenciais para conseguir a identidade do usuário (endereço de e-mail e ID do usuário). O servidor de autenticação usa a identidade para conferir o papel do Cloud IAM do usuário e verificar se ele está autorizado a acessar o recurso.

Se você usa o Compute Engine ou o Google Kubernetes Engine, os usuários com acesso à porta de disponibilização de aplicativos da máquina virtual (VM, na sigla em inglês) podem ignorar a autenticação do Cloud IAP. As regras de firewall do Compute Engine e do GKE não podem proteger contra o acesso de códigos em execução na mesma VM que o aplicativo protegido pelo Cloud IAP. Elas podem proteger contra o acesso de outra VM, mas somente se estiverem configuradas corretamente. Saiba mais sobre suas responsabilidades para garantir a segurança.

Autorização

Após a autenticação, o Cloud IAP aplica a política relevante do Cloud IAM para verificar se o usuário está autorizado a acessar o recurso solicitado. Se o usuário tiver o papel Usuário do app da Web protegido pelo IAP no projeto do Console do GCP em que o recurso existe, ele estará autorizado a acessar o aplicativo. Para gerenciar a lista de papéis do Usuário do app da Web protegido pelo IAP, use o painel do Cloud IAP no Console do GCP.

Quando você ativa o Cloud IAP para um recurso, ele cria automaticamente um ID do cliente OAuth 2.0 e uma chave secreta. Se você excluir as credenciais OAuth 2.0 geradas automaticamente, o Cloud IAP não funcionará corretamente. Você pode ver e gerenciar credenciais do OAuth 2.0 na seção APIs e serviços do Console do GCP.

Suas responsabilidades

O Cloud IAP assegura a autenticação e autorização de todas as solicitações ao App Engine ou ao Cloud Load Balancing HTTP(S). O Cloud IAP não protege contra atividades dentro de um projeto, como outra VM dentro do projeto.

Para garantir a segurança, você precisa tomar as seguintes precauções:

  • Configure o firewall e o balanceador de carga para proteger contra o tráfego que não vem pela infraestrutura de disponibilização.
  • Use cabeçalhos assinados ou a API Users do ambiente padrão do App Engine.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Identity-Aware Proxy