Personalizzazione di IAP

Questo articolo descrive come personalizzare le impostazioni di Identity-Aware Proxy (IAP). Con queste impostazioni, puoi controllare i comportamenti, tra cui:

• Compatibilità con Anthos e Istio su Google Kubernetes Engine.
• Gestione delle richieste preflight CORS.
• Modalità di autenticazione degli utenti.
• La pagina di errore mostrata agli utenti quando l'accesso viene negato.

Gestione delle impostazioni

Puoi visualizzare e aggiornare le impostazioni utilizzando Google Cloud Console, l'API IAP o Google Cloud CLI.

Per gestire le impostazioni in IAP:

gcloud iap settings get --project=PROJECT-ID

gcloud iap settings get --folder=FOLDER-ID

gcloud iap settings get --organization=ORGANIZATION-ID

gcloud iap settings get --project=PROJECT-ID \
  --resource-type=RESOURCE-TYPE-NAME

gcloud iap settings set SETTING_FILE --project=PROJECT-ID \
  --resource-type=RESOURCE-TYPE-NAME

https://iap.googleapis.com/v1/projects/PROJECT-ID/iap_web/appengine-APP-ID/services/SERVICE-ID/versions/VERSION-ID:iapSettings

https://iap.googleapis.com/v1/projects/PROJECT-ID:iapSettings

https://iap.googleapis.com/v1/folders/FOLDER-ID:iapSettings

https://iap.googleapis.com/v1/organizations/ORGANIZATION-ID:iapSettings

Informazioni sul controllo dell'accesso per le impostazioni

Per visualizzare e modificare le impostazioni IAP sono necessarie autorizzazioni specifiche. La tabella riportata di seguito elenca le autorizzazioni necessarie per leggere e modificare le impostazioni per ogni tipo di risorsa. Vedi Risorse e autorizzazioni per una descrizione dei diversi tipi di risorse.

Il ruolo Amministratore impostazioni IAP (roles/iap.settingsAdmin) concede tutte queste autorizzazioni, così come l'Editor del progetto (roles/editor). Il Visualizzatore progetto (roles/viewer) concede tutte le autorizzazioni getSettings.

Per scoprire di più sulla concessione dei ruoli IAM, consulta Concedere, modificare e revocare l'accesso.

Personalizzazione delle impostazioni IAP

IAP fornisce le seguenti impostazioni di personalizzazione:

Puoi applicare le impostazioni a livello di progetto o a qualsiasi livello di risorsa IAP inferiore.

Puoi configurare le impostazioni per le risorse IAP basate sul Web, ma non per le risorse a cui si accede con IAP per l'inoltro TCP.

Utilizzando access_settings.cors_settings.allow_http_options come esempio, puoi configurare le impostazioni di personalizzazione come segue:

access_settings:
  cors_settings:
    allow_http_options: "false"

{
  "access_settings": {
    "cors_settings": {
      "allow_http_options": "false"
    }
  }
}

Le sezioni seguenti forniscono ulteriori informazioni su ciascuna impostazione.

Consentire richieste HTTP OPTIONS (preflight CORS)

I criteri della stessa origine del Web impediscono ai browser di inviare richieste AJAX tra siti web. Per impostazione predefinita, JavaScript in una pagina pubblicata da un'origine non può utilizzare AJAX per inviare una richiesta a un'app protetta con IAP ospitato su un'origine diversa.

In alcuni casi, i browser tenteranno automaticamente di richiedere una richiesta, ma eliminerà il contenuto della risposta se non include un'intestazione Access-Control-Allow-Origin. Per consentire questi tipi di richieste, includi questa intestazione nelle risposte della tua app.

In altri casi, il browser invia una richiesta preflight CORS, un tipo di richiesta HTTP OPTIONS, prima di inviare la richiesta multiorigine. Se l'app non risponde con una risposta preflight appropriata (contenente le intestazioni di risposta Access-Control-* richieste), il browser bloccherà la richiesta con un errore. Inoltre, poiché le richieste preflight non vengono inviate con credenziali di autenticazione (come un cookie di sessione IAP), anche IAP risponderà con un errore.

Per consentire queste richieste:

1. Aggiungi codice alla tua app che risponde alle richieste OPTIONS.

2. Cambia l'impostazione access_settings.cors_settings.allow_http_options in true in modo che IAP invii le richieste OPTIONS alla tua applicazione.

Autenticazione tramite un dominio Google Workspace

Se solo i membri di un dominio Google Workspace specifico utilizzeranno la tua app, puoi configurare IAP per ottimizzare il flusso di autenticazione. Questo processo presenta numerosi vantaggi:

• Se un utente ha eseguito l'accesso con più account, ad esempio un account di lavoro e un account personale, il sistema selezionerà automaticamente il suo account di lavoro anziché visualizzare l'interfaccia utente di selezione dell'account.

• Se un utente non ha eseguito l'accesso al proprio Account Google, l'interfaccia utente di accesso inserirà automaticamente la parte del dominio del suo indirizzo email (ad esempio, l'utente deve solo digitare alice anziché alice@example.com, ad esempio).

• Se il tuo dominio Google Workspace è configurato per utilizzare un fornitore di servizi Single Sign-On di terze parti, il sistema mostrerà la pagina di accesso personalizzata anziché Google.

Per abilitare questo comportamento, imposta il valore di access_settings.oauth_settings.login_hint sul nome di dominio di Google Workspace (ad esempio example.com). La proprietà del dominio deve essere stata verificata: non puoi utilizzare domini DNS arbitrari di Internet di tua proprietà. I domini che sono stati aggiunti come dominio principale o secondario di Google Workspace sono verificati e possono quindi essere utilizzati qui.

Se vuoi autenticare gli utenti al di fuori del dominio, puoi utilizzare l'autenticazione programmatica.

Per ulteriori informazioni, consulta la documentazione di OpenID Connect.

Impostazione di una pagina di errore di accesso personalizzato negato

In questo campo puoi impostare un URL che reindirizza gli utenti a una pagina personalizzata anziché alla pagina di errore IAP predefinita ogni volta che l'accesso viene negato da un criterio.

Con questa funzionalità puoi anche incorporare l'URL di risoluzione dei problemi. Per ulteriori informazioni, consulta la sezione Attivare l'URL di risoluzione dei problemi per la pagina di errore Negato accesso personalizzato.

Emissione di ID mesh RCToken Anthos e Istio

Se utilizzi Istio su GKE, puoi configurare IAP per produrre un RCToken compatibile con Istio. Se questo campo viene impostato su una stringa non vuota, IAP aggiungerà un'intestazione HTTP Ingress-Authorization contenente un RCToken. La dichiarazione aud verrà impostata sul valore del campo.

Autenticazione con Identity Platform

Per impostazione predefinita, IAP utilizza il sistema di identità nativo di Google. Se questo campo è impostato, IAP utilizzerà Identity Platform per autenticare gli utenti.

Informazioni sull'ereditarietà delle impostazioni nella gerarchia delle risorse

IAP valuta sempre le richieste per una versione di servizio web specifica. Questo tipo di risorsa si trova al livello più basso della gerarchia delle risorse, che ha il seguente aspetto:

- Organization
  - Folder
    - Project
      - All web services
        - Web service type
          - Web service
            - Web service version

Per determinare le impostazioni da applicare a una versione del servizio web, IAP inizia con un insieme di valori predefinito, quindi esplora la gerarchia dall'alto verso il basso. Le impostazioni vengono applicate così come vengono trovate, pertanto i valori impostati a un livello inferiore hanno la precedenza su quelli impostati a un livello superiore. Ad esempio, se access_settings.cors_settings.allow_http_options è impostato su true a livello di progetto, ma false a livello di servizio, il valore effettivo sarà pari a false.

Per saperne di più sulla gerarchia delle risorse IAP, consulta Risorse e autorizzazioni.