Como ativar identidades externas

Neste artigo, você aprenderá como configurar o Identity-Aware Proxy (IAP) para usar identidades externas. Ao combinar o IAP com o Identity Platform, é possível autenticar usuários com uma ampla variedade de provedores de identidade, como OAuth, SAML, OIDC e outros, em vez de usar apenas Contas do Google.

Como ativar e configurar o Identity Platform

O IAP usa o Identity Platform para autenticar identidades externas. Consulte o Guia de início rápido do Identity Platform para saber como ativá-lo.

Se você quiser usar vários locatários, também precisará seguir as etapas em Primeiros passos com a multilocação. Se não for necessário isolar os recursos, pule esta etapa e configure todos os seus provedores para envolvidos no projeto. Consulte a visão geral sobre identidades externas caso não tenha certeza se é necessário ativar a multilocação.

Por fim, você precisará ativar os provedores. No quickstart, há instruções sobre como usar um modo de autenticação simples com nome de usuário e senha. No entanto, o Identity Platform é compatível com uma ampla variedade de tipos de provedores, incluindo os seguintes:

• E-mail e senha
• OAuth (como Google, Facebook, Twitter etc.)
• SAML
• OIDC
• Número de telefone
• Anônimo

Consulte o restante da documentação do Identity Platform para informações sobre como configurar outros provedores. Observe que a autenticação anônima e por número de telefone não é compatível com a multilocação. O login sem senha por meio de um link de e-mail não é compatível com o IAP.

Como ativar o IAP para usar identidades externas

Depois de configurar o Identity Platform, será possível configurar o IAP para usá-lo na autenticação.

1. Abra a página do IAP no console do Google Cloud.
   Abrir a página do IAP

2. Selecione o mesmo projeto que você usou para configurar o Identity Platform. Não é possível usar projetos diferentes.

3. Selecione a guia Aplicativos.

4. Localize o aplicativo do App Engine ou o serviço do Compute Engine em que você quer usar o IAP para restringir o acesso.

5. Alterne a chave na coluna "IAP" para Ativado.

6. No painel lateral, clique em Iniciar na caixa chamada Usar identidades externas para receber autorização.

7. Confirme sua seleção.

8. No painel lateral do Identity Platform, faça o seguinte:

   1. Escolha se você quer criar sua própria página de login ou fazer com que o IAP crie uma para você.

      Permitir que o IAP crie a página de login é a maneira mais rápida de começar. Você não precisa implantar outros serviços ou escrever qualquer código novo e poderá especificar pequenas personalizações usando JSON. Consulte Como hospedar uma IU de autenticação no Cloud Run para saber mais.

      Compartilhamento restrito de domínio: se o projeto estiver sujeito à restrição de compartilhamento restrito de domínio em uma política da organização, não será possível criar serviços públicos por padrão. Use tags e uma política condicional para isentar serviços específicos dessa restrição. Para mais informações, consulte a postagem do blog sobre como criar serviços públicos do Cloud Run quando o compartilhamento restrito de domínio for aplicado.

      Criar sua própria página é mais complexo, mas oferece controle total do fluxo e da experiência de autenticação. Consulte Como criar uma IU de autenticação com o FirebaseUI e Como criar uma IU de autenticação personalizada para mais informações.

   2. Se você optar por criar sua própria IU, insira um URL de autenticação. O IAP redirecionará para esse URL as solicitações não autenticadas que receber.

      Se quiser, inclua também sua chave de API no URL. Se você não fornecer uma, o console do Google Cloud anexará a chave padrão automaticamente.

   3. Selecione se serão usados os provedores ou os locatários do projeto.

   4. Marque as caixas dos provedores ou dos locatários para ativá-los. Selecione Configurar provedores se você precisar modificar seus provedores ou locatários.

9. Clique em Save.

Parabéns! Você configurou o IAP para autenticar usuários com identidades externas.

Como voltar para as identidades do Google

Não é possível usar o IAM para fins de autorização quando você utiliza identidades externas. Se você quiser voltar a utilizar identidades do Google para usar o IAM, siga estas etapas:

1. Volte para a página do IAP no console do Google Cloud.
   Abrir a página do IAP

2. Selecione o recurso configurado para usar o IAP.

3. Abra o painel de informações do Identity Platform.

4. Selecione Usar IAM para gerenciar este recurso.

Voltar para as identidades do Google apagará o URL de autenticação, bem como o projeto e os locatários associados a ele.

A seguir

• Hospedar uma página de login no Cloud Run.
• Criar uma página de login com o FirebaseUI.
• Criar uma página de login personalizada.
• Entenda melhor como as identidades externas funcionam com o IAP.