En este artículo, se muestra cómo configurar Identity-Aware Proxy (IAP) para usar identidades externas. Si combinas IAP y Identity Platform, puedes autenticar usuarios con una amplia variedad de Proveedores de identidad (como OAuth, SAML, OIDC y más), en lugar de solo Cuentas de Google.
Habilita y configura Identity Platform
IAP usa Identity Platform para autenticar identidades externas. Consulta la Guía de inicio rápido para Identity Platform con el fin de obtener información sobre cómo habilitarla.
Si deseas utilizar varias instancias, también deberás seguir los pasos en Cómo comenzar a usar multiusuarios. Si no necesitas aislar recursos, puedes omitir este paso y configurar todos tus proveedores a nivel de proyecto. Consulta la descripción general de las identidades externas si no estás seguro de si debes activar la función multiusuario.
Por último, deberás habilitar los proveedores. La guía de inicio rápido muestra cómo usar la autenticación simple de nombre de usuario y contraseña, pero Identity Platform es compatible con una amplia variedad de tipos de proveedores, incluidos los siguientes:
- Correo electrónico y contraseña
- OAuth (como Google, Facebook, Twitter y mucho más)
- SAML
- OIDC
- Número de teléfono
- Anónimo
Consulte el resto de la documentación de Identity Platform para obtener información sobre cómo configurar otros proveedores. Ten en cuenta que la autenticación anónima y por número de teléfono no son compatibles con multiusuarios. El acceso sin contraseña con un vínculo por correo electrónico no es compatible con la IAP.
Habilita IAP para usar identidades externas
Una vez que hayas configurado Identity Platform, puedes configurar IAP para usarlo en la autenticación.
Abre la página de IAP en la consola de Google Cloud.
Abrir la página IAPSelecciona el mismo proyecto con el que configuraste Identity Platform. No se admite el uso de proyectos diferentes.
Selecciona la pestaña Aplicaciones.
Busca el servicio al que deseas restringir el acceso con IAP.
Mueve el interruptor de la columna IAP a Activado.
En el panel lateral, haz clic en Inicio en el cuadro Usar identidades externas para autorización.
Confirma tu selección.
En el panel lateral de Identity Platform, haz lo siguiente:
Elige si deseas compilar tu propia página de acceso o hacer que IAP cree una por ti.
Permitir que IAP cree la página de acceso es la forma más rápida de comenzar. No es necesario que implementes servicios adicionales ni escribas código nuevo, y puedes especificar personalizaciones menores con JSON. Consulta Aloja una IU de autenticación en Cloud Run para obtener más información.
Uso compartido de dominio restringido: Si el proyecto está sujeto a la restricción de uso compartido de dominio restringido en una política de la organización, no podrás crear servicios públicos de forma predeterminada. Puedes usar etiquetas y una política condicional para eximir a servicios específicos de esta restricción. Para obtener más información, consulta la entrada de blog sobre cómo crear servicios públicos de Cloud Run cuando se aplique el uso compartido restringido del dominio.
Crear tu propia página es más complejo, pero te proporciona un control total del flujo de autenticación y la experiencia. Consulta Crea una IU de autenticación con FirebaseUI y Crea una IU de autenticación personalizada para obtener más información.
Si elegiste compilar tu propia IU, ingresa una URL de autenticación. IAP redireccionará a esta URL las solicitudes no autenticadas que reciba.
De manera opcional, puedes incluir tu clave de API en la URL. Si no proporcionas una clave, la consola de Google Cloud agregará tu clave predeterminada de manera automática.
Selecciona si deseas usar proveedores de proyectos o instancias.
Marca las casillas de los proveedores o instancias que deseas habilitar. Selecciona Configurar proveedores si necesitas modificar tus proveedores o instancias.
Haz clic en Guardar.
¡Felicitaciones! IAP está configurado para autenticar usuarios con identidades externas.
Vuelve a las identidades de Google
No puedes usar la autorización de IAM cuando usas identidades externas. Si deseas volver a las identidades de Google para aprovechar IAM, sigue estos pasos:
Regresa a la página de IAP en la consola de Google Cloud.
Abrir la página IAPSelecciona el recurso configurado para usar IAP.
Abre el panel de información de Identity Platform.
Selecciona Usa IAM para administrar este recurso.
Ten en cuenta que si vuelves a las identidades de Google, se borrará la URL de autenticación y los proyectos y las instancias asociados.
¿Qué sigue?
- Aloja una página de acceso en Cloud Run.
- Crea una página de acceso con FirebaseUI.
- Crea una página de acceso personalizada.
- Obtén una comprensión más profunda sobre cómo funcionan las identidades externas con IAP.