Neste artigo, você aprenderá como configurar o Identity-Aware Proxy (IAP) para usar identidades externas. Ao combinar o IAP com o Identity Platform, é possível autenticar usuários com uma ampla variedade de provedores de identidade, como OAuth, SAML, OIDC e outros, em vez de usar apenas Contas do Google.
Como ativar e configurar o Identity Platform
O IAP usa o Identity Platform para autenticar identidades externas. Consulte o Guia de início rápido do Identity Platform para saber como ativá-lo.
Se você quiser usar vários locatários, também precisará seguir as etapas em Primeiros passos com a multilocação. Se não for necessário isolar os recursos, pule esta etapa e configure todos os seus provedores para envolvidos no projeto. Consulte a visão geral sobre identidades externas caso não tenha certeza se é necessário ativar a multilocação.
Por fim, você precisará ativar os provedores. No guia de início rápido, há instruções sobre como usar um modo de autenticação simples com nome de usuário e senha. No entanto, o Identity Platform é compatível com uma ampla variedade de tipos de provedores, incluindo os seguintes:
- E-mail e senha
- OAuth (como Google, Facebook, Twitter etc.)
- SAML
- OIDC
- Número de telefone
- Anônimo
Consulte o restante da documentação do Identity Platform para informações sobre como configurar outros provedores. No entanto, os modos de autenticação por número de telefone e anônima não são compatíveis com a multilocação. O login sem senha usando um link de e-mail não é compatível com pelo IAP.
Como ativar o IAP para usar identidades externas
Depois de configurar o Identity Platform, será possível configurar o IAP para usá-lo na autenticação.
Abra a página do IAP no console do Google Cloud.
Abrir a página do IAPSelecione o mesmo projeto que você usou para configurar o Identity Platform. Não é possível usar projetos diferentes.
Selecione a guia Aplicativos.
Localize o serviço ao qual você deseja restringir o acesso usando pelo IAP.
Alterne a chave na coluna "IAP" para Ativado.
No painel lateral, clique em Iniciar na caixa chamada Usar identidades externas para receber autorização.
Confirme sua seleção.
No painel lateral do Identity Platform, faça o seguinte:
Escolha se você quer criar sua própria página de login ou fazer com que o IAP crie uma para você.
Permitir que o IAP crie a página de login é a maneira mais rápida de começar. Você não precisa implantar outros serviços ou escrever qualquer código novo e poderá especificar pequenas personalizações usando JSON. Consulte Como hospedar uma IU de autenticação no Cloud Run para saber mais.
Compartilhamento restrito de domínios: Se o projeto estiver sujeito à restrição de compartilhamento restrito de domínio em uma política da organização você não poderá criar serviços públicos padrão. É possível usar tags e uma política condicional para isentar serviços específicos dessa restrição. Para mais informações, consulte a postagem do blog sobre Como criar serviços públicos do Cloud Run quando o compartilhamento restrito ao domínio é aplicado.
Criar sua própria página é mais complexo, mas oferece controle total do fluxo e da experiência de autenticação. Consulte Como criar uma IU de autenticação com o FirebaseUI e Como criar uma IU de autenticação personalizada para mais informações.
Se você optar por criar sua própria IU, insira um URL de autenticação. O IAP redirecionará para esse URL as solicitações não autenticadas que receber.
Se quiser, inclua também sua chave de API no URL. Se você não fornecer uma chave, o console do Google Cloud vai anexar sua chave padrão automaticamente.
Selecione se serão usados os provedores ou os locatários do projeto.
Marque as caixas dos provedores ou dos locatários para ativá-los. Selecione Configurar provedores se você precisar modificar seus provedores ou locatários.
Clique em Salvar.
Parabéns! Você configurou o IAP para autenticar usuários com identidades externas.
Como voltar para as identidades do Google
Não é possível usar o IAM para fins de autorização quando você utiliza identidades externas. Se você quiser voltar a utilizar identidades do Google para usar o IAM, siga estas etapas:
Retorne à página do IAP no console do Google Cloud.
Abrir a página do IAPSelecione o recurso configurado para usar o IAP.
Abra o painel de informações do Identity Platform.
Selecione Usar IAM para gerenciar este recurso.
Voltar para as identidades do Google apagará o URL de autenticação, bem como o projeto e os locatários associados a ele.
A seguir
- Hospedar uma página de login no Cloud Run.
- Criar uma página de login com o FirebaseUI.
- Criar uma página de login personalizada.
- Entenda melhor como as identidades externas funcionam com o IAP.