OAuth-Konfiguration zum Aktivieren von IAP anpassen

Auf dieser Seite wird erläutert, wann und wie Sie eine OAuth-Konfiguration für Identity-Aware Proxy (IAP) anpassen.

IAP verwendet zum Authentifizieren von Nutzern einen von Google verwalteten OAuth-Client.

Der von Google verwaltete OAuth-Client schränkt den Zugriff auf Nutzer innerhalb derselben Organisation ein, wenn sie über einen Browser auf IAP-fähige Anwendungen zugreifen.

Wann ist eine benutzerdefinierte OAuth-Konfiguration zu verwenden?

Für Folgendes ist eine benutzerdefinierte OAuth-Konfiguration erforderlich:

  • Zugriff auf IAP-fähige Anwendungen für Nutzer außerhalb der Organisation gewähren
  • Zur Anzeige Ihrer eigenen Markeninformationen während der Authentifizierung
  • Sie aktivieren den programmatischen Zugriff auf Ihre Anwendung.

Wenn Sie die OAuth-Konfiguration anpassen, müssen Sie den OAuth-Zustimmungsbildschirm konfigurieren. Dazu müssen die Markeninformationen in Ihrem Antrag den Überprüfungsprozess von Google durchlaufen. Weitere Informationen zum Überprüfungsprozess finden Sie unter OAuth-Zustimmungsbildschirm einrichten.

Sie sind dafür verantwortlich, die Anmeldedaten für einen benutzerdefinierten OAuth-Client zu erstellen und zu verwalten. Dazu gehört auch, den Clientschlüssel sicher aufzubewahren und bei Bedarf für autorisierte Nutzer freizugeben.

Vergleich von von Google verwalteten und benutzerdefinierten OAuth-Clients

Die folgende Tabelle enthält einen Vergleich zwischen dem von Google verwalteten OAuth-Client und einem benutzerdefinierten OAuth-Client.

Von Google verwalteter OAuth-Client Benutzerdefinierter OAuth-Client
Nutzer Nur intern Interne und externe
Brand Google Cloud-Marke Kundeneigene Marke
OAuth-Konfiguration Von Google konfiguriert Vom Kunden konfiguriert
OAuth-Anmeldedaten Von Google verwaltet Vom Kunden verwaltet
Anwendungszugriff Nur Browserablauf Browserablauf und programmatischer Zugriff

IAP mit einer benutzerdefinierten OAuth-Clientkonfiguration aktivieren

App Engine

Console

Dynamische Include-Datei

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, werden Sie dazu aufgefordert. Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Zustimmungsbildschirm einrichten.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Klicken Sie das Kästchen neben der Ressource an, auf die Sie Zugriff gewähren möchten.
  4. Klicken Sie in der rechten Seitenleiste auf Hauptkonto hinzufügen.
  5. Geben Sie im angezeigten Dialogfeld Hauptkonten hinzufügen die E-Mail-Adressen von Gruppen oder Einzelpersonen ein, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten.

    Die folgenden Arten von Hauptkonten können diese Rolle haben:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite Identity-Aware Proxy unter ANWENDUNGEN nach der Anwendung, auf die Sie den Zugriff einschränken möchten.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

gcloud

Bevor Sie Ihr Projekt und IAP einrichten, benötigen Sie eine aktuelle Version der gcloud CLI. Eine Anleitung zum Installieren der gcloud CLI finden Sie unter gcloud CLI installieren.

  1. Verwenden Sie zur Authentifizierung die Google Cloud CLI und führen Sie den folgenden Befehl aus. 
    gcloud auth login
  2. Folgen Sie zur Anmeldung der angezeigten URL.
  3. Kopieren Sie, nachdem Sie sich angemeldet haben, den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.
  4. Führen Sie den folgenden Befehl aus, um das Projekt anzugeben, das die Ressource enthält, die Sie mit IAP schützen möchten. 
    gcloud config set project PROJECT_ID
  5. Folgen Sie der Anleitung unter OAuth-Clients für IAP erstellen, um den OAuth-Zustimmungsbildschirm zu konfigurieren und den OAuth-Client zu erstellen.
  6. Speichern Sie die OAuth-Client-ID und das Secret.
  7. Führen Sie den folgenden Befehl aus, um IAP zu aktivieren. 
    gcloud iap web enable \
    --oauth2-client-id=CLIENT_ID \
    --oauth2-client-secret=CLIENT_SECRET \
    --resource-type=app-engine \
    --versions=VERSION

Nachdem Sie IAP aktiviert haben, können Sie mit der gcloud CLI die IAP-Zugriffsrichtlinie mit der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

API

  1. Folgen Sie der Anleitung unter OAuth-Clients für IAP erstellen, um den OAuth-Zustimmungsbildschirm zu konfigurieren und den OAuth-Client zu erstellen.

  2. Speichern Sie die OAuth-Client-ID und das Secret.

  3. Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true,
    "oauth2ClientId" : CLIENT_ID,
    "oauth2ClientSecret" : CLIENT_SECRET,
  }
}
EOF

  4. Führen Sie den folgenden Befehl aus, um IAP zu aktivieren. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Nachdem Sie IAP aktiviert haben, können Sie die Google Cloud CLI verwenden, um die IAP-Zugriffsrichtlinie mit der IAM-Rolle roles/iap.httpsResourceAccessor zu ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Compute Engine

Console

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, werden Sie dazu aufgefordert. Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Zustimmungsbildschirm einrichten.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.

  3. Klicken Sie das Kästchen neben der Ressource an, auf die Sie Zugriff gewähren möchten.

    Wenn eine Ressource nicht angezeigt wird, prüfen Sie, ob sie erstellt und der BackendConfig Compute Engine-Controller für eingehenden Traffic synchronisiert wurde.

    Führen Sie den folgenden gcloud-Befehl aus, um zu überprüfen, ob der Back-End-Dienst verfügbar ist:

    gcloud compute backend-services list
  4. Klicken Sie in der rechten Seitenleiste auf Hauptkonto hinzufügen.
  5. Geben Sie im angezeigten Dialogfeld Hauptkonten hinzufügen die E-Mail-Adressen von Gruppen oder Einzelpersonen ein, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten.

    Die folgenden Arten von Hauptkonten können diese Rolle haben:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

gcloud

Bevor Sie Ihr Projekt und IAP einrichten, benötigen Sie eine aktuelle Version der gcloud CLI. Eine Anleitung zum Installieren der gcloud CLI finden Sie unter gcloud CLI installieren.

  1. Verwenden Sie zur Authentifizierung die Google Cloud CLI und führen Sie den folgenden Befehl aus. 
    gcloud auth login
  2. Folgen Sie zur Anmeldung der angezeigten URL.
  3. Kopieren Sie, nachdem Sie sich angemeldet haben, den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.
  4. Führen Sie den folgenden Befehl aus, um das Projekt anzugeben, das die Ressource enthält, die Sie mit IAP schützen möchten. 
    gcloud config set project PROJECT_ID
  5. Folgen Sie der Anleitung unter OAuth-Clients für IAP erstellen, um den OAuth-Zustimmungsbildschirm zu konfigurieren und den OAuth-Client zu erstellen.
  6. Speichern Sie die OAuth-Client-ID und das Secret.
  7. Führen Sie den Befehl global oder regional aus, um IAP zu aktivieren.

    Global 
    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --global \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
    Regionaler Geltungsbereich 
    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --region REGION_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

Nachdem Sie IAP aktiviert haben, können Sie mit der gcloud CLI die IAP-Zugriffsrichtlinie mit der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

API

  1. Folgen Sie der Anleitung unter OAuth-Clients für IAP erstellen, um den OAuth-Zustimmungsbildschirm zu konfigurieren und den OAuth-Client zu erstellen.

  2. Speichern Sie die OAuth-Client-ID und das Secret.

  3. Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  4. Führen Sie den folgenden Befehl aus, um IAP zu aktivieren. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

Nachdem Sie IAP aktiviert haben, können Sie mit der gcloud CLI die IAP-Zugriffsrichtlinie mit der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Cloud Run

Console

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts nicht konfiguriert haben, werden Sie dazu aufgefordert. Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Zustimmungsbildschirm einrichten.

IAP-Zugriff einrichten

  1. Öffnen Sie die Seite Identity-Aware Proxy.
    Zu Identity-Aware Proxy
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Klicken Sie unter Anwendungen das Kästchen neben dem Back-End-Dienst des Load-Balancers an, dem Sie Mitglieder hinzufügen möchten.
  4. Klicken Sie auf der rechten Seite auf Mitglied hinzufügen.

  5. Geben Sie im Dialogfeld Mitglieder hinzufügen die Konten von Gruppen oder Einzelpersonen ein, denen für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zugewiesen werden soll. Folgende Kontoarten sind als Mitglieder zulässig:

    • Google-Konto: nutzer@gmail.com – Das kann auch ein Google Workspace-Konto sein, z. B. nutzer@google.com, oder eine andere Google Workspace-Domain.
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

  6. Wählen Sie in der Liste Rollen die Option Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.

  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite IAP unter Anwendungen nach dem Back-End-Dienst des Load-Balancers, auf den Sie den Zugriff einschränken möchten. Klicken Sie auf die Ein-/Aus-Schaltfläche IAP, um IAP für eine Ressource zu aktivieren.
  2. Klicken Sie im eingeblendeten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass Ihre Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Konten mit der Rolle Nutzer von IAP-gesicherten Web-Apps für das Projekt.

  3. Wenn Sie IAP autorisieren möchten, Traffic an den Cloud Run-Back-End-Dienst zu senden, folgen Sie der Anleitung unter Hauptkonten zu einem Dienst hinzufügen, um das folgende Prinzip und die folgende Rolle hinzuzufügen.

    • Hauptkonto: service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com
    • Rolle: Cloud Run-Aufrufer

gcloud

  1. Folgen Sie der Anleitung unter OAuth-Clients für IAP erstellen, um den OAuth-Zustimmungsbildschirm zu konfigurieren und den OAuth-Client zu erstellen.
  2. Speichern Sie die OAuth-Client-ID und das Secret.
  3. Erstellen Sie, falls noch nicht geschehen, mit dem folgenden Befehl ein Dienstkonto. Wenn Sie zuvor ein Dienstkonto erstellt haben, werden beim Ausführen des Befehls keine doppelten Dienstkonten erstellt. 
    gcloud beta services identity create \
    --service=iap.googleapis.com --project=PROJECT_ID
  4. Gewähren Sie dem Aufrufer im vorherigen Schritt, indem Sie den folgenden Befehl ausführen. 
    gcloud run services add-iam-policy-binding SERVICE-NAME \
    --member='serviceAccount:service-PROJECT-NUMBER@gcp-sa-iap.iam.gserviceaccount.com' \
    --role='roles/run.invoker'

  5. Aktivieren Sie IAP, indem Sie entweder den global oder regional regionalen Befehl ausführen, je nachdem, ob Ihr Back-End-Dienst für den Load-Balancer global oder regional ist. Verwenden Sie die OAuth-Client-ID und das Secret aus dem vorherigen Schritt.

    Globaler Bereich 

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --global \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

    Regionaler Geltungsbereich 

    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --region REGION_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
    Ersetzen Sie Folgendes:

    • BACKEND_SERVICE_NAME: Der Name des Back-End-Dienstes.
    • CLIENT_ID: die OAuth-Client-ID aus dem vorherigen Schritt.
    • CLIENT_SECRET: der OAuth-Clientschlüssel aus dem vorherigen Schritt.
    • REGION_NAME ist die Region, in der Sie IAP aktivieren möchten.

Nachdem Sie IAP aktiviert haben, können Sie die Google Cloud CLI verwenden, um die IAP-Zugriffsrichtlinie mit der Rolle „Identity and Access Management“ roles/iap.httpsResourceAccessor zu ändern. Weitere Informationen finden Sie unter Rollen und Berechtigungen verwalten.