Migra desde la API de administrador de OAuth de IAP

En esta página, se proporcionan los pasos para migrar del uso de clientes de OAuth 2.0 creados con la API de Admin de OAuth 2.0 de Identity-Aware Proxy (IAP) al uso de un cliente de OAuth 2.0 administrado por Google que implementa el IAP.

A partir del 22 de enero de 2025, la API de Admin de OAuth 2.0 de IAP, que se usa para crear un cliente de OAuth 2.0 de IAP, dejará de estar disponible. El reemplazo es el cliente de OAuth 2.0 administrado por Google que se implementa automáticamente con IAP. Este cliente restringe el acceso a las aplicaciones habilitadas para la IAP a los usuarios de la misma organización cuando acceden a esas aplicaciones a través de un navegador.

Si usaste las APIs de administrador de IAP OAuth 2.0 para crear y administrar un cliente de OAuth 2.0 que habilite IAP en tus aplicaciones o en los recursos deGoogle Cloud , debes migrar esas aplicaciones y los recursos deGoogle Cloud para usar el cliente de OAuth 2.0 administrado por Google.

Si no configuraste un cliente de OAuth 2.0 para tus aplicaciones o recursos de Google Cloud , el cliente de OAuth 2.0 administrado por Google se implementa automáticamente cuando habilitas la IAP en tus aplicaciones y recursos.

Si usas acceso programático para proteger tus aplicaciones y recursos con IAP, no puedes usar el cliente de OAuth 2.0 administrado por Google. Debes usar una cuenta de servicio.

Migra recursos de App Engine habilitados para IAP

Completa los pasos de esta sección para migrar los recursos de App Engine en los que se habilita IAP y se configura un cliente de OAuth 2.0.

gcloud

Antes de continuar con los pasos, asegúrate de tener una versión actualizada de gcloud CLI. Para obtener instrucciones sobre cómo instalar gcloud CLI, consulta Instala la CLI de gcloud.

  1. Usa Google Cloud CLI para autenticarte.

    gcloud auth login

  2. Haz clic en la URL que aparece y accede.

  3. Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.

  4. Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que deseas seguir protegiendo con IAP.

    gcloud config set project PROJECT_ID

  5. Para migrar tus apps, ejecuta el siguiente comando.

    gcloud iap web enable --resource-type=app-engine

API

  1. Ejecuta el siguiente comando para preparar un archivo settings.json.

     cat << EOF > settings.json
 {
 "iap":
     {
       "enabled":true
     }
 }
 EOF

  2. Ejecuta el siguiente comando para migrar tus apps.

     curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @settings.json \
 "https://appengine.googleapis.com/v1/apps/<var>PROJECT_ID</var>?updateMask=iap"

Cómo migrar recursos de Compute Engine habilitados para IAP

Completa los pasos de esta sección para migrar los recursos de Compute Engine en los que está habilitada la IAP y se configuró un cliente de OAuth 2.0.

gcloud

Antes de continuar con los pasos, asegúrate de tener una versión actualizada de gcloud CLI. Para obtener instrucciones sobre cómo instalar gcloud CLI, consulta Instala la CLI de gcloud.

  1. Usa Google Cloud CLI para autenticarte.

    gcloud auth login

  2. Haz clic en la URL que aparece y accede.

  3. Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.

  4. Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que deseas seguir protegiendo con IAP.

    gcloud config set project PROJECT_ID

  5. Para migrar tus aplicaciones, ejecuta el comando con alcance global o regional.

    Alcance global

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Alcance regional

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Para confirmar que el ID de cliente de OAuth no está configurado, ejecuta el siguiente comando de alcance global o regional. Después de ejecutar el comando, verifica el resultado para asegurarte de que el campo de ID de cliente de OAuth esté vacío.

    Alcance global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Alcance regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Ejecuta el siguiente comando para preparar un archivo settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Ejecuta el siguiente comando para migrar tus recursos de IAP.

    Alcance global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Alcance regional

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Para confirmar que el ID de cliente de OAuth no está configurado, ejecuta el siguiente comando de alcance global o regional. Después de ejecutar el comando, verifica el resultado para asegurarte de que el campo de ID de cliente de OAuth esté vacío.

    Alcance global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Alcance regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Migra recursos de Cloud Run habilitados para IAP

Completa los pasos de esta sección para migrar los recursos de Cloud Run en los que está habilitada la IAP y se configuró un cliente de OAuth 2.0.

gcloud

Antes de continuar con los pasos, asegúrate de tener una versión actualizada de gcloud CLI. Para obtener instrucciones sobre cómo instalar la gcloud CLI, consulta Instala la CLI de gcloud.

  1. Para autenticarte, usa Google Cloud CLI y ejecuta el siguiente comando.

    gcloud auth login

  2. Haz clic en la URL que aparece y accede.

  3. Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.

  4. Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que deseas seguir protegiendo con IAP.

    gcloud config set project PROJECT_ID

  5. Para migrar tus recursos, ejecuta el comando con alcance global o regional.

    Alcance global

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Alcance regional

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Para confirmar que el ID de cliente de OAuth no está configurado, ejecuta el siguiente comando de alcance global o regional. Después de ejecutar el comando, verifica el resultado para asegurarte de que el campo de ID de cliente de OAuth esté vacío.

    Alcance global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Alcance regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Ejecuta el siguiente comando para preparar un archivo settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Ejecuta el siguiente comando para migrar tus recursos.

    Alcance global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Alcance regional

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Para confirmar que el ID de cliente de OAuth no está configurado, ejecuta el siguiente comando de alcance global o regional. Después de ejecutar el comando, verifica el resultado para asegurarte de que el campo de ID de cliente de OAuth esté vacío.

    Alcance global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Alcance regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Migra recursos de Google Kubernetes Engine habilitados para IAP

Agrega el siguiente bloque de IAP a la definición de recursos personalizados (CRD) de BackendConfig. Esto habilita la IAP con el cliente de OAuth 2.0 administrado por Google.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: config-default
  namespace: my-namespace
spec:
  iap:
    enabled: true