Ativar identidades externas

Este artigo mostra como configurar o Identity-Aware Proxy (IAP) para usar identidades externas. Ao combinar o IAP e a Identity Platform, pode autenticar utilizadores com uma vasta gama de fornecedores de identidade (como OAuth, SAML, OIDC e muito mais), em vez de apenas Contas Google.

Ativar e configurar o Identity Platform

O IAP usa a Identity Platform para autenticar identidades externas. Consulte o início rápido da Identity Platform para saber como ativá-la.

Se quiser usar vários inquilinos, também tem de seguir os passos descritos no artigo Introdução à multilocação. Se não precisar de isolar recursos, pode ignorar este passo e configurar todos os seus fornecedores ao nível do projeto. Consulte a vista geral sobre identidades externas se não tiver a certeza de que deve ativar a multilocação.

Por último, tem de ativar os fornecedores. O início rápido mostra como usar a autenticação simples de nome de utilizador e palavra-passe, mas a plataforma de identidades suporta uma vasta gama de tipos de fornecedores, incluindo:

• Email e palavra-passe
• OAuth (como Google, Facebook, Twitter e muito mais)
• SAML
• OIDC
• Número de telefone
• Anónimo

Consulte o resto da documentação da Identity Platform para saber como configurar outros fornecedores. Tenha em atenção que o número de telefone e a autenticação anónima não são suportados para utilização com a multilocação. O início de sessão sem palavra-passe através de um link de email não é suportado com a IAP.

Ativar a IAP para usar identidades externas

Depois de configurar o Identity Platform, pode configurar o IAP para o usar para autenticação.

1. Abra a página de CNAs na Google Cloud consola.
   Abra a página de CAs

2. Selecione o mesmo projeto com o qual configurou a Identity Platform. A utilização de projetos diferentes não é suportada.

3. Selecione o separador Aplicações.

4. Localize o serviço ao qual quer restringir o acesso através da IAP.

5. Ative o interruptor na coluna IAP.

6. No painel lateral, clique em Iniciar na caixa com a etiqueta Usar identidades externas para autorização.

7. Confirme a sua seleção.

8. No painel lateral do Identity Platform:

   1. Escolha se quer criar a sua própria página de início de sessão ou se quer que a IAP crie uma para si.

      Permitir que o IAP crie a página de início de sessão é a forma mais rápida de começar. Não precisa de implementar serviços adicionais nem escrever código novo, e pode especificar personalizações menores através de JSON. Consulte o artigo Alojamento de uma IU de autenticação no Cloud Run para saber mais.

      Partilha restrita de domínio: se o projeto estiver sujeito à restrição de partilha restrita de domínio numa política da organização, não pode criar serviços públicos por predefinição. Pode usar etiquetas e uma política condicional para excluir serviços específicos desta restrição. Para mais informações, consulte a publicação no blogue sobre como criar serviços públicos do Cloud Run quando a partilha restrita por domínio é aplicada.

      A criação da sua própria página é mais complexa, mas dá-lhe controlo total sobre o fluxo e a experiência de autenticação. Consulte os artigos Criar uma IU de autenticação com o FirebaseUI e Criar uma IU de autenticação personalizada para mais informações.

   2. Se optou por criar a sua própria IU, introduza um URL de autenticação. O IAP redireciona os pedidos não autenticados que recebe para este URL.

      A inclusão da chave da API no URL é opcional. Se não fornecer uma chave, a consola anexa automaticamente a chave predefinida. Google Cloud

   3. Selecione se quer usar fornecedores de projetos ou inquilinos.

   4. Selecione as caixas dos fornecedores ou inquilinos a ativar. Selecione Configurar fornecedores se precisar de modificar os seus fornecedores ou inquilinos.

9. Clique em Guardar.

Parabéns! O IAP está configurado para autenticar utilizadores com identidades externas.

Mudar novamente para identidades Google

Não pode usar o IAM para autorização quando usa identidades externas. Se quiser voltar a usar as identidades Google para poder tirar partido da IAM, siga estes passos:

1. Volte à página IAP na Google Cloud consola.
   Abra a página de CAs

2. Selecione o recurso configurado para usar o IAP.

3. Abra o painel de informações da Identity Platform.

4. Selecione Usar IAM para gerir este recurso.

Tenha em atenção que, se voltar a usar identidades Google, o URL de autenticação e o projeto e os inquilinos associados são limpos.

O que se segue?

• Aloje uma página de início de sessão no Cloud Run.
• Crie uma página de início de sessão com o FirebaseUI.
• Crie uma página de início de sessão personalizada.
• Compreenda melhor como as identidades externas funcionam com a IAP.