In questa pagina viene spiegato quando e come personalizzare una configurazione OAuth per Identity-Aware Proxy (IAP).
IAP utilizza un client OAuth gestito da Google per autenticare gli utenti.
Il client OAuth gestito da Google limita l'accesso agli utenti all'interno della stessa organizzazione quando accedono alle applicazioni abilitate per IAP tramite un browser.
Quando utilizzare una configurazione OAuth personalizzata
Per effettuare le seguenti operazioni, devi utilizzare una configurazione OAuth personalizzata:
- Consentire l'accesso alle applicazioni abilitate per IAP per gli utenti esterni all'organizzazione.
- Per visualizzare le informazioni sul tuo brand durante l'autenticazione.
- Per attivare l'accesso programmatico alla tua applicazione.
Quando personalizzi la configurazione OAuth, devi configurare la schermata per il consenso OAuth. Ciò richiede che le informazioni di branding della tua applicazione vengano sottoposte alla procedura di verifica di Google. Per saperne di più sulla procedura di verifica, vedi Configurare la schermata per il consenso OAuth.
Sei responsabile della creazione e della gestione delle credenziali per un client OAuth personalizzato. Ciò include l'archiviazione sicura del client secret e la relativa condivisione con gli utenti autorizzati, se necessario.
Confronto tra client OAuth gestiti da Google e client OAuth personalizzati
La tabella seguente mette a confronto il client OAuth gestito da Google e un client OAuth personalizzato.
| Client OAuth gestito da Google | Client OAuth personalizzato | |
|---|---|---|
| Utenti | Solo interno | Interni ed esterni |
| Brand | Brand Google Cloud | Brand di proprietà del cliente |
| Configurazione OAuth | Configurato da Google | Configurata dal cliente |
| Credenziali OAuth | Gestita da Google | Gestita dal cliente |
| Accesso alle applicazioni | Solo flusso del browser | Flusso del browser e accesso programmatico |
Abilita IAP utilizzando una configurazione client OAuth personalizzata
App Engine
Console
Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurare la schermata per il consenso OAuth.
Configurazione dell'accesso IAP
-
Vai alla pagina Identity-Aware Proxy.
Vai alla pagina di Identity-Aware Proxy - Seleziona il progetto che vuoi proteggere con IAP.
- Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
- Nel riquadro laterale a destra, fai clic su Aggiungi entità.
-
Nella finestra di dialogo Aggiungi entità visualizzata, inserisci gli indirizzi email dei gruppi o degli utenti che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.
I seguenti tipi di entità possono avere questo ruolo:
- Account Google: user@gmail.com
- Gruppo Google: admins@googlegroups.com
- Account di servizio: server@example.gserviceaccount.com
- Dominio Google Workspace: example.com
Assicurati di aggiungere un Account Google a cui hai accesso.
- Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
- Fai clic su Salva.
Attivazione di IAP
-
Nella pagina Identity-Aware Proxy, in APPLICAZIONI, trova l'applicazione a cui vuoi limitare l'accesso. Per attivare IAP per una risorsa,
- Nella finestra Attiva IAP che viene visualizzata, fai clic su Attiva per confermare che vuoi che IAP protegga la risorsa. Dopo aver attivato IAP, saranno necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Verrà concesso l'accesso solo agli account con il ruolo Utente applicazione web con protezione IAP per il progetto.
gcloud
Prima di configurare il progetto e IAP, devi disporre di una versione aggiornata dellgcloud CLI. Per istruzioni su come installare l'interfaccia a riga di comando gcloud, consulta la pagina Installare l'interfaccia a riga di comando gcloud.
-
Per eseguire l'autenticazione, utilizza Google Cloud CLI ed esegui questo comando.
gcloud auth login - Per accedere, segui l'URL visualizzato.
- Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
-
Esegui questo comando per specificare il progetto che contiene la risorsa che vuoi proteggere con IAP.
gcloud config set project PROJECT_ID - Segui le istruzioni in Creazione di client OAuth per IAP per configurare la schermata per il consenso OAuth e creare il client OAuth.
- Salva l'ID client OAuth e il secret.
-
Per abilitare IAP, esegui il comando seguente.
gcloud iap web enable \ --oauth2-client-id=CLIENT_ID \ --oauth2-client-secret=CLIENT_SECRET \ --resource-type=app-engine \ --versions=VERSION
Dopo aver abilitato IAP, puoi utilizzare lgcloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
API
Segui le istruzioni in Creazione di client OAuth per IAP per configurare la schermata per il consenso OAuth e creare il client OAuth.
Salva l'ID client OAuth e il secret.
Esegui questo comando per preparare un file
settings.json.cat << EOF > settings.json { "iap": { "enabled":true, "oauth2ClientId" : CLIENT_ID, "oauth2ClientSecret" : CLIENT_SECRET, } } EOFEsegui questo comando per abilitare IAP.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
Dopo aver abilitato IAP, puoi utilizzare Google Cloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
Compute Engine
Console
Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurare la schermata per il consenso OAuth.
Configurazione dell'accesso IAP
-
Vai alla pagina Identity-Aware Proxy.
Vai alla pagina di Identity-Aware Proxy - Seleziona il progetto che vuoi proteggere con IAP.
-
Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
Se non vedi una risorsa, assicurati che sia stata creata e che il controller in entrata BackendConfig Compute Engine sia sincronizzato.
Per verificare che il servizio di backend sia disponibile, esegui questo comando gcloud:
gcloud compute backend-services list - Nel riquadro laterale a destra, fai clic su Aggiungi entità.
-
Nella finestra di dialogo Aggiungi entità visualizzata, inserisci gli indirizzi email dei gruppi o degli utenti che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.
I seguenti tipi di entità possono avere questo ruolo:
- Account Google: user@gmail.com
- Gruppo Google: admins@googlegroups.com
- Account di servizio: server@example.gserviceaccount.com
- Dominio Google Workspace: example.com
Assicurati di aggiungere un Account Google a cui hai accesso.
- Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
- Fai clic su Salva.
gcloud
Prima di configurare il progetto e IAP, devi disporre di una versione aggiornata dellgcloud CLI. Per istruzioni su come installare l'interfaccia a riga di comando gcloud, consulta Installare l'interfaccia a riga di comando gcloud.
-
Per eseguire l'autenticazione, utilizza Google Cloud CLI ed esegui questo comando.
gcloud auth login - Per accedere, segui l'URL visualizzato.
- Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
-
Esegui questo comando per specificare il progetto che contiene la risorsa che vuoi proteggere con IAP.
gcloud config set project PROJECT_ID
- Segui le istruzioni in Creazione di client OAuth per IAP per configurare la schermata per il consenso OAuth e creare il client OAuth.
- Salva l'ID client OAuth e il secret.
-
Per abilitare IAP, esegui il comando con ambito globale o a livello di area geografica.
Ambito globalegcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRETAmbito a livello di regionegcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
Dopo aver abilitato IAP, puoi utilizzare lgcloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
API
Segui le istruzioni in Creazione di client OAuth per IAP per configurare la schermata per il consenso OAuth e creare il client OAuth.
Salva l'ID client OAuth e il secret.
Esegui questo comando per preparare un file
settings.json.cat << EOF > settings.json { "iap": { "enabled":true } } EOFEsegui questo comando per abilitare IAP.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"
Dopo aver abilitato IAP, puoi utilizzare lgcloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.
Cloud Run
Console
Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurazione della schermata per il consenso OAuth.
Configurazione dell'accesso IAP
- Apri la pagina Identity-Aware Proxy.
Vai a Identity-Aware Proxy - Seleziona il progetto che vuoi proteggere con IAP.
- In Applicazioni, seleziona la casella di controllo accanto al servizio di backend del bilanciatore del carico a cui vuoi aggiungere i membri.
- Nel riquadro laterale a destra, fai clic su Aggiungi membro.
Nella finestra di dialogo Aggiungi membri, inserisci gli account dei gruppi o delle persone che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto. I seguenti tipi di account possono essere membri:
- Account Google: utente@gmail.com. Può essere anche un account Google Workspace, ad esempio utente@google.com o un altro dominio Google Workspace.
- Gruppo Google: admins@googlegroups.com
- Account di servizio: server@example.gserviceaccount.com
- Dominio Google Workspace: example.com
Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco Ruoli.
Fai clic su Salva.
Attivazione di IAP
- Nella pagina IAP, in Applicazioni, trova il servizio di backend del bilanciatore del carico a cui vuoi limitare l'accesso. Fai clic sul pulsante di attivazione/disattivazione IAP per abilitare IAP su una risorsa.
- Nella finestra Attiva IAP che viene visualizzata, fai clic su Attiva per confermare che vuoi che IAP protegga la risorsa. Dopo aver attivato IAP, sono necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Verrà concesso l'accesso solo agli account con il ruolo Utente applicazione web con protezione IAP per il progetto.
Per autorizzare IAP a inviare traffico al servizio Cloud Run di backend, segui le istruzioni riportate in Aggiungere entità a un servizio per aggiungere il principio e il ruolo seguenti.
- Entità:
service-[PROJECT-NUMBER]@gcp-sa-iap.iam.gserviceaccount.com - Ruolo: invoker di Cloud Run
- Entità:
gcloud
- Segui le istruzioni in Creazione di client OAuth per IAP per configurare la schermata per il consenso OAuth e creare il client OAuth.
- Salva l'ID client OAuth e il secret.
- Se non l'hai ancora fatto, crea un account di servizio eseguendo il comando seguente. Se hai creato un account di servizio in precedenza, l'esecuzione del comando non crea account di servizio duplicati.
gcloud beta services identity create \ --service=iap.googleapis.com --project=PROJECT_ID - Concedi all'inverter l'autorizzazione per l'account di servizio, creato nel passaggio precedente, eseguendo il comando seguente.
gcloud run services add-iam-policy-binding SERVICE-NAME \ --member='serviceAccount:service-PROJECT-NUMBER@gcp-sa-iap.iam.gserviceaccount.com' \ --role='roles/run.invoker' Abilita IAP eseguendo il comando con ambito globale o a livello di area geografica, a seconda che il servizio di backend del bilanciatore del carico sia globale o a livello di area geografica. Utilizza l'ID client OAuth e il secret del passaggio precedente.
Ambito globale
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --global \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRETAmbito a livello di regione
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --region REGION_NAME \ --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRETSostituisci quanto segue:- BACKEND_SERVICE_NAME: il nome del servizio di backend.
- CLIENT_ID: l'ID client OAuth del passaggio precedente.
- CLIENT_SECRET: il client secret OAuth del passaggio precedente.
- REGION_NAME: la regione in cui vuoi abilitare IAP.
Dopo aver abilitato IAP, puoi utilizzare Google Cloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo Identity and Access Management roles/iap.httpsResourceAccessor. Per ulteriori informazioni, consulta Gestione di ruoli e autorizzazioni.