Questa pagina spiega quando e come personalizzare una configurazione OAuth per Identity-Aware Proxy (IAP).
IAP utilizza un client OAuth gestito da Google per autenticare gli utenti.
Il client OAuth gestito da Google limita l'accesso agli utenti all'interno della stessa organizzazione quando accedono ad applicazioni con abilitazione IAP tramite un browser.
Quando utilizzare una configurazione OAuth personalizzata
Devi utilizzare una configurazione OAuth personalizzata per:
- Per consentire l'accesso alle applicazioni con abilitazione IAP per gli utenti esterni all'organizzazione.
- Per visualizzare le informazioni del tuo brand durante l'autenticazione.
- Per attivare l'accesso programmatico alla tua applicazione.
Quando personalizzi la configurazione OAuth, devi configurare la schermata per il consenso OAuth. Ciò richiede che le informazioni sul branding della tua applicazione vengano sottoposte alla procedura di verifica di Google. Per ulteriori informazioni sulla procedura di verifica, consulta Configurare la schermata di consenso OAuth.
Sei responsabile della creazione e della gestione delle credenziali per un client OAuth personalizzato. Ciò include la memorizzazione sicura del segreto cliente e la sua condivisione con gli utenti autorizzati, se necessario.
Confronto tra client OAuth gestito da Google e client OAuth personalizzato
La tabella seguente mostra un confronto tra il client OAuth gestito da Google e un client OAuth personalizzato.
| Client OAuth gestito da Google | Client OAuth personalizzato | |
|---|---|---|
| Utenti | Solo interno | Interni ed esterni |
| Brand | Google Cloud brand | Brand di proprietà del cliente |
| Configurazione di OAuth | Configurato da Google | Configurato dal cliente |
| Credenziali OAuth | Gestita da Google | Gestita dal cliente |
| Accesso alle applicazioni | Solo flusso del browser | Flusso del browser e accesso programmatico |
Attivare gli acquisti in-app utilizzando una configurazione client OAuth personalizzata
App Engine
Console
Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurare la schermata per il consenso OAuth.
Configurare l'accesso IAP
-
Vai alla
pagina Identity-Aware Proxy.
Vai alla pagina di Identity-Aware Proxy - Seleziona il progetto che vuoi proteggere con IAP.
- Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
- Nel riquadro laterale a destra, fai clic su Aggiungi entità.
-
Nella finestra di dialogo Aggiungi entità che viene visualizzata, inserisci gli indirizzi email dei gruppi o delle persone che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.
I seguenti tipi di entità possono avere questo ruolo:
- Account Google: user@gmail.com
- Gruppo Google: admins@googlegroups.com
- Account di servizio: server@example.gserviceaccount.com
- Dominio Google Workspace: example.com
Assicurati di aggiungere un Account Google a cui hai accesso.
- Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
- Fai clic su Salva.
Attivazione di IAP
-
Nella pagina Identity-Aware Proxy, in APPLICAZIONI,
trova l'applicazione a cui vuoi limitare
l'accesso. Per attivare IAP per una risorsa,
- Nella finestra Attiva IAP visualizzata, fai clic su Attiva per confermare che vuoi che la risorsa venga protetta da IAP. Dopo aver attivato IAP, sono necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo agli account con il ruolo Utente applicazione web con protezione IAP nel progetto verrà fornito l'accesso.
gcloud
Prima di configurare il progetto e gli acquisti in-app, devi disporre di una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.
-
Per l'autenticazione, utilizza Google Cloud CLI ed esegui il comando seguente.
gcloud auth login - Per accedere, segui l'URL visualizzato.
- Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
-
Esegui il seguente comando per specificare il progetto contenente la risorsa che vuoi proteggere con IAP.
gcloud config set project PROJECT_ID - Segui le istruzioni riportate in Creare client OAuth per gli acquisti in-app per configurare la schermata di consenso OAuth e creare il client OAuth.
- Salva l'ID client OAuth e il client secret.
-
Per abilitare gli acquisti in-app, esegui il seguente comando.
gcloud iap web enable \ --oauth2-client-id=CLIENT_ID \ --oauth2-client-secret=CLIENT_SECRET \ --resource-type=app-engine
Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando gcloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
API
Segui le istruzioni riportate in Creare client OAuth per gli acquisti in-app per configurare la schermata di consenso OAuth e creare il client OAuth.
Salva l'ID client OAuth e il client secret.
Esegui il comando seguente per preparare un file
settings.json.cat << EOF > settings.json { "iap": { "enabled":true, "oauth2ClientId" : CLIENT_ID, "oauth2ClientSecret" : CLIENT_SECRET, } } EOFEsegui il comando seguente per abilitare l'IAP.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
Dopo aver attivato l'IAP, puoi utilizzare la CLI Google Cloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
Compute Engine
Console
Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurare la schermata per il consenso OAuth.
Se esegui cluster GKE 1.24 o versioni successive, puoi configurare IAP e GKE utilizzando l'API Kubernetes Gateway. Per farlo, completa
i passaggi che seguono e poi segui le istruzioni riportate in
Configurare l'IAP.
Non configurare BackendConfig.
Configurare l'accesso IAP
-
Vai alla
pagina Identity-Aware Proxy.
Vai alla pagina di Identity-Aware Proxy - Seleziona il progetto che vuoi proteggere con IAP.
-
Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
Se non vedi una risorsa, assicurati che sia stata creata e che il controller di ingresso Compute Engine di BackendConfig sia sincronizzato.
Per verificare che il servizio di backend sia disponibile, esegui il seguente comando gcloud:
gcloud compute backend-services list - Nel riquadro laterale a destra, fai clic su Aggiungi entità.
-
Nella finestra di dialogo Aggiungi entità che viene visualizzata, inserisci gli indirizzi email dei gruppi o delle persone che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.
I seguenti tipi di entità possono avere questo ruolo:
- Account Google: user@gmail.com
- Gruppo Google: admins@googlegroups.com
- Account di servizio: server@example.gserviceaccount.com
- Dominio Google Workspace: example.com
Assicurati di aggiungere un Account Google a cui hai accesso.
- Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
- Fai clic su Salva.
gcloud
Prima di configurare il progetto e l'IAP, devi disporre di una versione aggiornata del riga di comando gcloud. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.
-
Per l'autenticazione, utilizza Google Cloud CLI ed esegui il comando seguente.
gcloud auth login - Per accedere, segui l'URL visualizzato.
- Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
-
Esegui il seguente comando per specificare il progetto contenente la risorsa che vuoi proteggere con IAP.
gcloud config set project PROJECT_ID
- Segui le istruzioni riportate in Creare client OAuth per gli acquisti in-app per configurare la schermata di consenso OAuth e creare il client OAuth.
- Salva l'ID client OAuth e il client secret.
-
Per attivare gli acquisti in-app, esegui il comando a livello globale o regionale.
Ambito globalegcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRETgcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando gcloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
API
Segui le istruzioni riportate in Creare client OAuth per gli acquisti in-app per configurare la schermata di consenso OAuth e creare il client OAuth.
Salva l'ID client OAuth e il client secret.
Esegui il comando seguente per preparare un file
settings.json.cat << EOF > settings.json { "iap": { "enabled":true } } EOFEsegui il comando seguente per attivare l'IAP.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"
Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando gcloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
Cloud Run
Console
Se non hai configurato la schermata per il consenso OAuth del progetto, ti viene richiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurare la schermata per il consenso OAuth
Configurare l'accesso IAP
- Apri la pagina Identity-Aware Proxy.
Vai a Identity-Aware Proxy - Seleziona il progetto che vuoi proteggere con IAP.
- In Applicazioni, seleziona la casella di controllo accanto al servizio di backend del bilanciatore del carico a cui vuoi aggiungere membri.
- Nel riquadro laterale a destra, fai clic su Aggiungi membro.
Nella finestra di dialogo Aggiungi membri, inserisci gli account di gruppi o privati che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto. I seguenti tipi di account possono essere membri:
- Account Google: user@gmail.com. Può anche essere un account Google Workspace, ad esempio user@google.com o un altro dominio Google Workspace.
- Gruppo Google: admins@googlegroups.com
- Account di servizio: server@example.gserviceaccount.com
- Dominio Google Workspace: example.com
Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco Ruoli.
Fai clic su Salva.
Attivazione di IAP
- Nella pagina IAP, in Applicazioni, individua il servizio di backend del bilanciatore del carico a cui vuoi limitare l'accesso. Fai clic sul pulsante di attivazione/disattivazione IAP per attivare l'IAP in una risorsa.
- Nella finestra Attiva IAP visualizzata, fai clic su Attiva per confermare che vuoi che la risorsa venga protetta da IAP. Dopo aver attivato l'IAP, sono necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo gli account con il ruolo Utente applicazione web con protezione IAP nel progetto avranno accesso.
Per autorizzare IAP a inviare traffico al servizio di backend Cloud Run, segui le istruzioni riportate in Aggiungere entità a un servizio per aggiungere il seguente principio e ruolo.
- Principale:
service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com - Ruolo: Cloud Run Invoker
- Principale:
gcloud
- Follow the instructions in Creating OAuth clients for IAP to configure the OAuth consent screen and create the OAuth client.
- Save the OAuth client ID and secret.
- If you have not previously done so, create a service account by running the following command. If you previously created a service account, running the command does not create duplicate service accounts.
gcloud beta services identity create \ --service=iap.googleapis.com --project=PROJECT_ID - Grant the invoker permission to the service account, created in the previous step, by running the following command.
gcloud run services add-iam-policy-binding SERVICE-NAME \ --member='serviceAccount:service-PROJECT-NUMBER@gcp-sa-iap.iam.gserviceaccount.com' \ --role='roles/run.invoker' Enable IAP by running either the globally or regionally scoped command, depending on whether your load balancer backend service is global or regional. Use the OAuth client ID and secret from the previous step.
Global scope
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRETRegional scope
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET- BACKEND_SERVICE_NAME: the name of the backend service.
- CLIENT_ID: the OAuth client ID, from the previous step.
- CLIENT_SECRET: the OAuth client secret, from the previous step.
- REGION_NAME: the region in which you want to enable IAP.
After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the Identity and Access Management role roles/iap.httpsResourceAccessor. See Managing roles and permissions for more information.