Von der IAP OAuth Admin API migrieren

Auf dieser Seite finden Sie eine Anleitung zur Migration von OAuth 2.0-Clients, die mit der OAuth 2.0 Admin API von Identity-Aware Proxy (IAP) erstellt wurden, zu einem von Google verwalteten OAuth 2.0-Client, der von IAP bereitgestellt wird.

Seit dem 22. Januar 2025 wird die IAP OAuth 2.0 Admin API, mit der ein IAP OAuth 2.0-Client erstellt wird, nicht mehr unterstützt. Er wird durch den von Google verwalteten OAuth 2.0-Client ersetzt, der automatisch mit IAP bereitgestellt wird. Dieser Client schränkt den Zugriff auf IAP-kompatible Anwendungen auf Nutzer innerhalb derselben Organisation ein, wenn sie über einen Browser auf diese Anwendungen zugreifen.

Wenn Sie die IAP OAuth 2.0 Admin APIs verwendet haben, um einen OAuth 2.0-Client zu erstellen und zu verwalten, um IAP in Ihren Anwendungen oder inGoogle Cloud -Ressourcen zu aktivieren, müssen Sie diese Anwendungen undGoogle Cloud -Ressourcen migrieren, um den von Google verwalteten OAuth 2.0-Client zu verwenden.

Wenn Sie zuvor keinen OAuth 2.0-Client für Ihre Anwendungen oder Google Cloud -Ressourcen konfiguriert haben, wird der von Google verwaltete OAuth 2.0-Client automatisch bereitgestellt, wenn Sie IAP für Ihre Anwendungen und Ressourcen aktivieren.

Wenn Sie Ihre Anwendungen und Ressourcen mit IAP schützen, indem Sie den programmatischen Zugriff verwenden, können Sie den von Google verwalteten OAuth 2.0-Client nicht verwenden. Sie müssen ein Dienstkonto verwenden.

App Engine-Ressourcen mit In-App-Ablesungen migrieren

Führen Sie die Schritte in diesem Abschnitt aus, um App Engine-Ressourcen zu migrieren, für die IAP aktiviert und ein OAuth 2.0-Client konfiguriert ist.

gcloud

Bevor Sie mit den Schritten fortfahren, prüfen Sie, ob Sie die aktuelle Version der gcloud CLI haben. Eine Anleitung zur Installation der gcloud CLI finden Sie unter gcloud CLI installieren.

  1. Authentifizieren Sie sich mit der Google Cloud CLI.

    gcloud auth login

  2. Klicken Sie auf die angezeigte URL und melden Sie sich an.

  3. Kopieren Sie nach der Anmeldung den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.

  4. Führen Sie den folgenden Befehl aus, um das Projekt anzugeben, das die Anwendungen enthält, die Sie weiterhin mit IAP schützen möchten.

    gcloud config set project PROJECT_ID

  5. Führen Sie den folgenden Befehl aus, um Ihre Apps zu migrieren.

    gcloud iap web enable --resource-type=app-engine

API

  1. Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten.

     cat << EOF > settings.json
 {
 "iap":
     {
       "enabled":true
     }
 }
 EOF

  2. Führen Sie den folgenden Befehl aus, um Ihre Apps zu migrieren.

     curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @settings.json \
 "https://appengine.googleapis.com/v1/apps/<var>PROJECT_ID</var>?updateMask=iap"

IAP-fähige Compute Engine-Ressourcen migrieren

Führen Sie die Schritte in diesem Abschnitt aus, um Compute Engine-Ressourcen zu migrieren, bei denen IAP aktiviert und ein OAuth 2.0-Client konfiguriert ist.

gcloud

Bevor Sie mit den Schritten fortfahren, prüfen Sie, ob Sie die aktuelle Version der gcloud CLI haben. Eine Anleitung zur Installation der gcloud CLI finden Sie unter gcloud CLI installieren.

  1. Authentifizieren Sie sich mit der Google Cloud CLI.

    gcloud auth login

  2. Klicken Sie auf die angezeigte URL und melden Sie sich an.

  3. Kopieren Sie nach der Anmeldung den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.

  4. Führen Sie den folgenden Befehl aus, um das Projekt anzugeben, das die Anwendungen enthält, die Sie weiterhin mit IAP schützen möchten.

    gcloud config set project PROJECT_ID

  5. Führen Sie zum Migrieren Ihrer Anwendungen entweder den Befehl mit globaler oder regionaler Reichweite aus.

    Globaler Geltungsbereich

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Regionaler Geltungsbereich

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Führen Sie den folgenden Befehl aus, um zu prüfen, ob die OAuth-Client-ID nicht festgelegt ist. Prüfen Sie nach Ausführung des Befehls in der Ausgabe, ob das Feld „OAuth-Client-ID“ leer ist.

    Globaler Geltungsbereich

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Regionaler Geltungsbereich

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Führen Sie den folgenden Befehl aus, um Ihre IAP-Ressourcen zu migrieren.

    Globaler Geltungsbereich

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Regionaler Geltungsbereich

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Führen Sie den folgenden Befehl aus, um zu prüfen, ob die OAuth-Client-ID nicht festgelegt ist. Prüfen Sie nach Ausführung des Befehls in der Ausgabe, ob das Feld „OAuth-Client-ID“ leer ist.

    Globaler Geltungsbereich

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Regionaler Geltungsbereich

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

IAP-kompatible Cloud Run-Ressourcen migrieren

Führen Sie die Schritte in diesem Abschnitt aus, um Cloud Run-Ressourcen zu migrieren, für die IAP aktiviert und ein OAuth 2.0-Client konfiguriert ist.

gcloud

Bevor Sie mit den Schritten fortfahren, prüfen Sie, ob Sie eine aktuelle Version der gcloud CLI haben. Eine Anleitung zum Installieren der gcloud CLI finden Sie unter gcloud CLI installieren.

  1. Führen Sie zur Authentifizierung den folgenden Befehl über die Google Cloud CLI aus.

    gcloud auth login

  2. Klicken Sie auf die angezeigte URL und melden Sie sich an.

  3. Kopieren Sie nach der Anmeldung den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.

  4. Führen Sie den folgenden Befehl aus, um das Projekt anzugeben, das die Anwendungen enthält, die Sie weiterhin mit IAP schützen möchten.

    gcloud config set project PROJECT_ID

  5. Führen Sie zum Migrieren Ihrer Ressourcen entweder den Befehl für den globalen oder den regionalen Bereich aus.

    Globaler Geltungsbereich

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Regionaler Geltungsbereich

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Führen Sie den folgenden Befehl aus, um zu prüfen, ob die OAuth-Client-ID nicht festgelegt ist. Prüfen Sie nach Ausführung des Befehls in der Ausgabe, ob das Feld „OAuth-Client-ID“ leer ist.

    Globaler Geltungsbereich

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Regionaler Geltungsbereich

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Führen Sie den folgenden Befehl aus, um Ihre Ressourcen zu migrieren.

    Globaler Geltungsbereich

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Regionaler Geltungsbereich

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Führen Sie den folgenden Befehl aus, um zu prüfen, ob die OAuth-Client-ID nicht festgelegt ist. Prüfen Sie nach Ausführung des Befehls in der Ausgabe, ob das Feld „OAuth-Client-ID“ leer ist.

    Globaler Geltungsbereich

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Regionaler Geltungsbereich

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

IAP-kompatible Google Kubernetes Engine-Ressourcen migrieren

Fügen Sie der benutzerdefinierten Ressourcendefinition (CRD) BackendConfig den folgenden IAP-Block hinzu. Dadurch wird IAP mit dem von Google verwalteten OAuth 2.0-Client aktiviert.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: config-default
  namespace: my-namespace
spec:
  iap:
    enabled: true