Eseguire la migrazione dall'API Admin OAuth IAP

Questa pagina illustra i passaggi per eseguire la migrazione dall'utilizzo di client OAuth 2.0 creati con l'API Admin OAuth 2.0 di Identity-Aware Proxy (IAP) all'utilizzo di un client OAuth 2.0 gestito da Google e di cui viene eseguito il deployment da IAP.

A partire dal 22 gennaio 2025, l'API Admin IAP OAuth 2.0, utilizzata per creare un client IAP OAuth 2.0, è ritrattenuta. Il client OAuth 2.0 gestito da Google viene eseguito automaticamente con IAP. Questo client limita l'accesso alle applicazioni con abilitazione IAP agli utenti della stessa organizzazione quando accedono a queste applicazioni tramite un browser.

Se hai utilizzato le API di amministrazione OAuth 2.0 di IAP per creare e gestire un client OAuth 2.0 per abilitare IAP nelle tue applicazioni o nelle risorseGoogle Cloud , devi eseguire la migrazione di queste applicazioni e delle risorseGoogle Cloud per utilizzare il client OAuth 2.0 gestito da Google.

Se non hai configurato in precedenza un client OAuth 2.0 per le tue applicazioni o per le risorse Google Cloud , il client OAuth 2.0 gestito da Google viene disegnato automaticamente quando attivi l'IAP sulle tue applicazioni e risorse.

Se utilizzi l'accesso programmatico per proteggere le tue applicazioni e risorse con IAP, non puoi utilizzare il client OAuth 2.0 gestito da Google. Devi utilizzare un account di servizio.

Esegui la migrazione delle risorse App Engine abilitate per l'IAP

Completa i passaggi descritti in questa sezione per eseguire la migrazione delle risorse App Engine in cui è attivato IAP e è configurato un client OAuth 2.0.

gcloud

Prima di continuare con i passaggi, assicurati di avere una versione aggiornata dellgcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.

  1. Utilizza Google Cloud CLI per l'autenticazione.

    gcloud auth login

  2. Fai clic sull'URL visualizzato e accedi.

  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.

  4. Esegui il seguente comando per specificare il progetto contenente le applicazioni che vuoi continuare a proteggere con IAP.

    gcloud config set project PROJECT_ID

  5. Per eseguire la migrazione delle app, esegui il seguente comando.

    gcloud iap web enable --resource-type=app-engine

API

  1. Esegui il comando seguente per preparare un file settings.json.

     cat << EOF > settings.json
 {
 "iap":
     {
       "enabled":true
     }
 }
 EOF

  2. Esegui il seguente comando per eseguire la migrazione delle tue app.

     curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @settings.json \
 "https://appengine.googleapis.com/v1/apps/<var>PROJECT_ID</var>?updateMask=iap"

Esegui la migrazione delle risorse Compute Engine abilitate per l'accesso in primo piano

Completa i passaggi descritti in questa sezione per eseguire la migrazione delle risorse Compute Engine in cui è attivato IAP e è configurato un client OAuth 2.0.

gcloud

Prima di continuare con i passaggi, assicurati di avere una versione aggiornata dellgcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.

  1. Utilizza Google Cloud CLI per l'autenticazione.

    gcloud auth login

  2. Fai clic sull'URL visualizzato e accedi.

  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.

  4. Esegui il seguente comando per specificare il progetto contenente le applicazioni che vuoi continuare a proteggere con IAP.

    gcloud config set project PROJECT_ID

  5. Per eseguire la migrazione delle applicazioni, esegui il comando con ambito globale o regionale.

    Ambito globale

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Ambito regionale

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Per verificare che l'ID client OAuth non sia impostato, esegui il seguente comando con ambito globale o regionale. Dopo aver eseguito il comando, controlla l'output per assicurarti che il campo ID client OAuth sia vuoto.

    Ambito globale

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Ambito regionale

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Esegui il comando seguente per preparare un file settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Esegui il seguente comando per eseguire la migrazione delle risorse IAP.

    Ambito globale

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ambito regionale

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Per verificare che l'ID client OAuth non sia impostato, esegui il seguente comando con ambito globale o regionale. Dopo aver eseguito il comando, controlla l'output per assicurarti che il campo ID client OAuth sia vuoto.

    Ambito globale

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ambito regionale

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Esegui la migrazione delle risorse Cloud Run abilitate per IAP

Completa i passaggi descritti in questa sezione per eseguire la migrazione delle risorse Cloud Run in cui è attivato l'IAP ed è configurato un client OAuth 2.0.

gcloud

Prima di continuare con i passaggi, assicurati di avere una versione aggiornata della gcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.

  1. Per l'autenticazione, utilizza Google Cloud CLI ed esegui il comando seguente.

    gcloud auth login

  2. Fai clic sull'URL visualizzato e accedi.

  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.

  4. Esegui il seguente comando per specificare il progetto contenente le applicazioni che vuoi continuare a proteggere con IAP.

    gcloud config set project PROJECT_ID

  5. Per eseguire la migrazione delle risorse, esegui il comando con ambito globale o regionale.

    Ambito globale

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Ambito regionale

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Per verificare che l'ID client OAuth non sia impostato, esegui il seguente comando con ambito globale o regionale. Dopo aver eseguito il comando, controlla l'output per assicurarti che il campo ID client OAuth sia vuoto.

    Ambito globale

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Ambito regionale

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Esegui il comando seguente per preparare un file settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Esegui il seguente comando per eseguire la migrazione delle risorse.

    Ambito globale

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ambito regionale

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Per verificare che l'ID client OAuth non sia impostato, esegui il seguente comando con ambito globale o regionale. Dopo aver eseguito il comando, controlla l'output per assicurarti che il campo ID client OAuth sia vuoto.

    Ambito globale

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Ambito regionale

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Esegui la migrazione delle risorse Google Kubernetes Engine abilitate per l'IAP

Aggiungi il seguente blocco IAP alla definizione della risorsa personalizzata (CRD) BackendConfig. In questo modo, viene attivato l'IAP con il client OAuth 2.0 gestito da Google.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: config-default
  namespace: my-namespace
spec:
  iap:
    enabled: true