OAuth 構成をカスタマイズして IAP を有効にする

このページでは、Identity-Aware Proxy（IAP）の OAuth 構成をカスタマイズするタイミングと方法について説明します。

IAP は、Google が管理する OAuth クライアントを使用してユーザーを認証します。

Google が管理する OAuth クライアントは、ブラウザを通じて IAP 対応アプリケーションにアクセスするとき、同じ組織内のユーザーへのアクセスを制限します。

カスタム OAuth 構成を使用するタイミング

次の操作を行うには、カスタム OAuth 構成を使用する必要があります。

組織外のユーザーに IAP 対応アプリケーションへのアクセスを許可する。
認証中に自分のブランド情報を表示する。
アプリケーションへのプログラムからのアクセスを有効にする

OAuth 構成をカスタマイズするときは、OAuth 同意画面を構成する必要があります。そのため、アプリケーションのブランディング情報は Google 検証プロセスを受ける必要があります。確認プロセスの詳細については、OAuth 同意画面の設定をご覧ください。

カスタム OAuth クライアントの認証情報を作成して管理する必要があります。これには、クライアントシークレットを安全に保存し、必要に応じて許可されたユーザーと共有することが含まれます。

Google が管理する OAuth クライアントとカスタム OAuth クライアントの比較

次の表に、Google が管理する OAuth クライアントとカスタム OAuth クライアントの比較を示します。

	Google が管理する OAuth クライアント	カスタム OAuth クライアント
ユーザー	内部専用	地域が分散した
ブランド	Google Cloud ブランド	お客様所有のブランド
OAuth の設定	Google による構成	お客様による構成
Oauth 認証情報	Google が管理	顧客管理
アプリケーションアクセス	ブラウザフローのみ	ブラウザフローとプログラムによるアクセス

カスタム OAuth クライアント構成を使用して IAP を有効にする

App Engine

コンソール

ダイナミックインクルードファイル

プロジェクトの OAuth 同意画面をまだ構成していない場合は、画面を構成するように指示されます。OAuth 同意画面を構成する方法については、OAuth 同意画面の設定をご覧ください。

IAP アクセス権の設定

[Identity-Aware Proxy] ページに移動します。
[Identity-Aware Proxy] ページに移動
IAP で保護するプロジェクトを選択します。
アクセスを許可するリソースの横にあるチェックボックスをオンにします。
右側のパネルで [プリンシパルを追加] をクリックします。
表示される [メンバーの追加] ダイアログで、プロジェクトに対する IAP で保護されたウェブアプリユーザーの役割を付与するグループ、または個人のメールアドレスを追加します。
このロールを持つことができるプリンシパルの種類は次のとおりです。
- Google アカウント: user@gmail.com
- Google グループ: admins@googlegroups.com
- サービスアカウント: server@example.gserviceaccount.com
- Google Workspace ドメイン: example.com
追加する Google アカウントは、自分がアクセスできるものにしてください。
[役割] のプルダウンリストから [Cloud IAP] > [IAP で保護されたウェブアプリユーザー] を選択します。
[保存] をクリックします。

IAP の有効化

[Identity-Aware Proxy] ページの [APPLICATIONS] で、アクセスを制限するアプリケーションを見つけます。リソースの IAP を有効にするには、
表示された [IAP の有効化] ウィンドウで [有効にする] をクリックし、IAP でリソースを保護することを確認します。IAP が有効になった後は、ロードバランサへのすべての接続でログイン認証情報が必要になります。プロジェクトで IAP で保護されたウェブアプリユーザーの役割を持つアカウントにのみアクセスが許可されます。

gcloud

Before you set up your project and IAP, you need an up-to-date version of gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

To authenticate, use the Google Cloud CLI and run the following command.
```
gcloud auth login
```
To sign in, follow the URL that appears.
After you sign in, copy the verification code that appears and paste it in the command line.
Run the following command to specify the project that contains the resource that you want to protect with IAP.
```
gcloud config set project PROJECT_ID
```
Follow the instructions in Creating OAuth clients for IAP to configure the OAuth consent screen and create the OAuth client.
Save the OAuth client ID and secret.

To enable IAP, run the following command.

gcloud iap web enable \
    --oauth2-client-id=CLIENT_ID \
    --oauth2-client-secret=CLIENT_SECRET \
    --resource-type=app-engine

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

Follow the instructions in Creating OAuth clients for IAP to configure the OAuth consent screen and create the OAuth client.
Save the OAuth client ID and secret.

Run the following command to prepare a settings.json file.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true,
    "oauth2ClientId" : CLIENT_ID,
    "oauth2ClientSecret" : CLIENT_SECRET,
  }
}
EOF

Run the following command to enable IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Compute Engine

コンソール

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.

If you don't see a resource, ensure that the resource is created and that the BackendConfig Compute Engine ingress controller is synced.

To verify that the backend service is available, run the following gcloud command:
gcloud compute backend-services list
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

To authenticate, use the Google Cloud CLI and run the following command.
```
gcloud auth login
```
To sign in, follow the URL that appears.
After you sign in, copy the verification code that appears and paste it in the command line.
Run the following command to specify the project that contains the resource that you want to protect with IAP.
```
gcloud config set project PROJECT_ID
```
Follow the instructions in Creating OAuth clients for IAP. to configure the OAuth consent screen and create the OAuth client.
Save the OAuth client ID and secret.

To enable IAP, run either the globally or regionally scoped command.

Global scope

gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --global \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

Regional scope

gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --region REGION_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

Follow the instructions in Creating OAuth clients for IAP to configure the OAuth consent screen and create the OAuth client.
Save the OAuth client ID and secret.

Run the following command to prepare a settings.json file.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Run the following command to enable IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Cloud Run

コンソール

If you haven't configured your project's OAuth consent screen, you're prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen

Setting up IAP access

Open the Identity-Aware Proxy page.
Go to Identity-Aware Proxy
Select the project you want to secure with IAP.
Under Applications, select the checkbox next to the load balancer backend service to which you want to add members.
On the right side panel, click Add member.
In the Add members dialog, enter the accounts of groups or individuals who should have the IAP-secured Web App User role for the project. The following kinds of accounts can be members:
- Google Account: user@gmail.com - This can also be a Google Workspace account, such as user@google.com or some other Google Workspace domain.
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Select Cloud IAP > IAP-secured Web App User from the Roles list.
Click Save.

Turning on IAP

On the IAP page, under Applications, find the load balancer backend service to which you want to restrict access. Click the IAP toggle to enable IAP on a resource.
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only accounts with the IAP-Secured Web App User role on the project will be given access.
To authorize IAP to send traffic to the backend Cloud Run service, follow the instructions at Add principals to a service to add the following principle and role.
- Principal: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
- Role: Cloud Run Invoker

gcloud

Follow the instructions in Creating OAuth clients for IAP to configure the OAuth consent screen and create the OAuth client.
Save the OAuth client ID and secret.
If you have not previously done so, create a service account by running the following command. If you previously created a service account, running the command does not create duplicate service accounts.
```
gcloud beta services identity create \
    --service=iap.googleapis.com --project=PROJECT_ID
```

Grant the invoker permission to the service account, created in the previous step, by running the following command.

gcloud run services add-iam-policy-binding SERVICE-NAME \
    --member='serviceAccount:service-PROJECT-NUMBER@gcp-sa-iap.iam.gserviceaccount.com' \
    --role='roles/run.invoker'

Enable IAP by running either the globally or regionally scoped command, depending on whether your load balancer backend service is global or regional. Use the OAuth client ID and secret from the previous step.

Global scope
```
gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --global \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
```
Regional scope
```
gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --region REGION_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
```
Replace the following:
- BACKEND_SERVICE_NAME: the name of the backend service.
- CLIENT_ID: the OAuth client ID, from the previous step.
- CLIENT_SECRET: the OAuth client secret, from the previous step.
- REGION_NAME: the region in which you want to enable IAP.

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the Identity and Access Management role roles/iap.httpsResourceAccessor. See Managing roles and permissions for more information.