Habilitar identidades externas

En este artículo se explica cómo configurar Identity-Aware Proxy (IAP) para usar identidades externas. Si combinas IAP e Identity Platform, puedes autenticar a los usuarios con una amplia gama de proveedores de identidades (como OAuth, SAML, OIDC y más) en lugar de solo con cuentas de Google.

Habilitar y configurar Identity Platform

IAP usa Identity Platform para autenticar identidades externas. Consulta la guía de inicio rápido de Identity Platform para saber cómo habilitarlo.

Si quieres utilizar varios clientes, también tendrás que seguir los pasos que se indican en el artículo Primeros pasos con la arquitectura multicliente. Si no necesitas aislar recursos, puedes saltarte este paso y configurar todos tus proveedores a nivel de proyecto. Consulta la descripción general de las identidades externas si no sabes si debes activar la multitenencia.

Por último, tendrás que habilitar los proveedores. En la guía de inicio rápido se muestra cómo usar la autenticación sencilla con nombre de usuario y contraseña, pero Identity Platform admite una amplia gama de tipos de proveedores, entre los que se incluyen los siguientes:

• Correo y contraseña
• OAuth (como Google, Facebook, Twitter y más)
• SAML
• OIDC
• Número de teléfono
• Anónimo

Consulta el resto de la documentación de Identity Platform para saber cómo configurar otros proveedores. Ten en cuenta que no se puede usar la autenticación anónima ni con número de teléfono en entornos multiempresa. El inicio de sesión sin contraseña mediante un enlace enviado por correo electrónico no es compatible con IAP.

Habilitar IAP para usar identidades externas

Una vez que hayas configurado Identity Platform, podrás configurar IAP para que lo use en la autenticación.

1. Abre la página de IAP en la Google Cloud consola.
   Abre la página de compras en la aplicación

2. Selecciona el mismo proyecto con el que configuraste Identity Platform. No se admite el uso de proyectos diferentes.

3. Seleccione la pestaña Aplicaciones.

4. Busca el servicio al que quieras restringir el acceso mediante IAP.

5. Activa el interruptor de la columna IAP.

6. En el panel lateral, haz clic en Empezar en el cuadro con la etiqueta Usa identidades externas para realizar la autorización.

7. Confirma tu selección.

8. En el panel lateral de Identity Platform:

   1. Elige si quieres crear tu propia página de inicio de sesión o si prefieres que IAP cree una por ti.

      Dejar que IAP cree la página de inicio de sesión es la forma más rápida de empezar. No es necesario que implementes servicios adicionales ni que escribas ningún código nuevo, y puedes especificar personalizaciones menores mediante JSON. Consulta Alojar una interfaz de autenticación en Cloud Run para obtener más información.

      Uso compartido restringido al dominio: Si el proyecto está sujeto a la restricción de uso compartido restringido al dominio en una política de organización, no podrás crear servicios públicos de forma predeterminada. Puedes usar etiquetas y una política condicional para eximir a servicios específicos de esta restricción. Para obtener más información, consulta la entrada de blog sobre cómo crear servicios públicos de Cloud Run cuando se aplica el uso compartido restringido al dominio.

      Crear tu propia página es más complejo, pero te da control total sobre el flujo y la experiencia de autenticación. Para obtener más información, consulta los artículos Crear una interfaz de autenticación con FirebaseUI y Crear una interfaz de autenticación personalizada.

   2. Si has elegido crear tu propia interfaz de usuario, introduce una URL de autenticación. IAP redirigirá a esta URL las solicitudes no autenticadas que reciba.

      Incluir la clave de API en la URL es opcional. Si no proporcionas una clave, la consola añadirá automáticamente tu clave predeterminada. Google Cloud

   3. Selecciona si quieres usar proveedores de proyectos o inquilinos.

   4. Marca las casillas de los proveedores o inquilinos que quieras habilitar. Selecciona Configurar proveedores si necesitas modificar tus proveedores o inquilinos.

9. Haz clic en Guardar.

¡Enhorabuena! IAP está configurado para autenticar a los usuarios con identidades externas.

Volver a cambiar a las identidades de Google

No puedes usar IAM para la autorización cuando usas identidades externas. Si quieres volver a las identidades de Google para poder aprovechar la gestión de identidades y accesos, sigue estos pasos:

1. Vuelve a la página IAP de la Google Cloud consola.
   Abre la página de compras en la aplicación

2. Selecciona el recurso configurado para usar IAP.

3. Abre el panel de información de Identity Platform.

4. Selecciona Usar gestión de identidades y accesos para gestionar este recurso.

Ten en cuenta que, si vuelves a usar identidades de Google, se borrarán la URL de autenticación, el proyecto y los arrendatarios asociados.

Siguientes pasos

• Aloja una página de inicio de sesión en Cloud Run.
• Crea una página de inicio de sesión con FirebaseUI.
• Crea una página de inicio de sesión personalizada.
• Consulta más información sobre cómo funcionan las identidades externas con IAP.