Memungkinkan identitas eksternal

Artikel ini menunjukkan cara mengonfigurasi Identity-Aware Proxy (IAP) untuk menggunakan identitas eksternal. Dengan menggabungkan IAP dan Identity Platform, Anda dapat mengautentikasi pengguna dengan berbagai penyedia identitas (seperti OAuth, SAML, OIDC, dan lainnya), bukan hanya Akun Google.

Mengaktifkan dan mengonfigurasi Identity Platform

IAP menggunakan Identity Platform untuk mengautentikasi identitas eksternal. Lihat Panduan Memulai Identity Platform untuk mempelajari cara mengaktifkannya.

Jika ingin menggunakan beberapa tenant, Anda juga harus mengikuti langkah-langkah dalam artikel Mulai menggunakan multi-tenancy. Jika tidak perlu mengisolasi resource, Anda dapat melewati langkah ini dan mengonfigurasi semua penyedia di level project. Baca ringkasan tentang identitas eksternal jika tidak yakin apakah Anda harus mengaktifkan multi-tenancy.

Terakhir, Anda harus mengaktifkan penyedia. quickstart menunjukkan cara menggunakan autentikasi nama pengguna dan sandi yang sederhana, tetapi Identity Platform mendukung berbagai jenis penyedia, seperti:

• Email dan sandi
• OAuth (seperti Google, Facebook, Twitter, dan lainnya)
• SAML
• OIDC
• Nomor telepon
• Anonim

Lihat dokumentasi Identity Platform lainnya untuk mempelajari cara mengonfigurasi penyedia lain. Perlu diperhatikan bahwa nomor telepon dan autentikasi anonim tidak didukung untuk digunakan dengan multi-tenancy. Login tanpa sandi menggunakan link email tidak didukung dengan IAP.

Memungkinkan IAP menggunakan identitas eksternal

Setelah menyiapkan Identity Platform, Anda dapat mengonfigurasi IAP agar dapat menggunakannya untuk autentikasi.

1. Buka halaman IAP di konsol Google Cloud.
   Buka halaman pembelian dalam aplikasi (IAP)

2. Pilih project yang sama dengan yang Anda gunakan untuk mengonfigurasi Identity Platform. Menggunakan project yang berbeda tidak didukung.

3. Pilih tab Applications.

4. Temukan aplikasi App Engine atau layanan Compute Engine yang ingin Anda batasi aksesnya menggunakan IAP.

5. Alihkan tombol di kolom IAP ke Aktif.

6. Di panel samping, klik Mulai dalam kotak berlabel Gunakan identitas eksternal untuk otorisasi.

7. Konfirmasi pilihan Anda.

8. Di panel samping Identity Platform:

   1. Pilih apakah Anda akan membuat halaman login sendiri atau meminta IAP membuatkannya untuk Anda.

      Mengizinkan IAP membuat halaman login adalah cara tercepat untuk memulai. Anda tidak perlu men-deploy layanan tambahan atau menulis kode baru, dan Anda dapat menentukan penyesuaian kecil menggunakan JSON. Lihat Menghosting UI autentikasi di Cloud Run untuk mempelajari lebih lanjut.

      Berbagi yang dibatasi domain: Jika project tunduk pada batasan berbagi yang dibatasi domain dalam kebijakan organisasi, Anda tidak akan dapat membuat layanan publik secara default. Anda dapat menggunakan tag dan kebijakan bersyarat untuk mengecualikan layanan tertentu dari batasan ini. Untuk mengetahui informasi selengkapnya, lihat postingan blog tentang membuat layanan Cloud Run publik saat berbagi yang dibatasi domain diterapkan.

      Membuat halaman sendiri lebih kompleks, tetapi memberi Anda kontrol penuh atas alur dan pengalaman autentikasi. Baca artikel Membuat UI autentikasi dengan FirebaseUI dan Membuat UI autentikasi kustom untuk mengetahui informasi lebih lanjut.

   2. Jika Anda memilih untuk mem-build UI sendiri, masukkan URL Autentikasi. IAP akan mengalihkan permintaan yang tidak diautentikasi yang diterimanya ke URL ini.

      Menyertakan kunci API Anda dalam URL bersifat opsional. Jika Anda tidak memberikan kunci, Google Cloud Console akan menambahkan kunci default Anda secara otomatis.

   3. Pilih apakah akan menggunakan penyedia project atau tenant.

   4. Centang kotak penyedia atau tenant yang akan diaktifkan. Pilih Konfigurasi penyedia jika Anda perlu mengubah penyedia atau tenant.

9. Klik Simpan.

Selamat! IAP dikonfigurasi untuk mengautentikasi pengguna dengan identitas eksternal.

Beralih kembali ke identitas Google

Anda tidak dapat menggunakan IAM untuk otorisasi saat menggunakan identitas eksternal. Jika Anda ingin beralih kembali ke identitas Google agar dapat memanfaatkan IAM, ikuti langkah-langkah berikut:

1. Kembali ke halaman IAP di konsol Google Cloud.
   Buka halaman pembelian dalam aplikasi (IAP)

2. Pilih resource yang telah dikonfigurasi untuk menggunakan IAP.

3. Buka panel informasi Identity Platform.

4. Pilih Use IAM to Manage this resource.

Perlu diperhatikan bahwa peralihan kembali ke identitas Google akan menghapus URL autentikasi Anda, serta project dan tenant terkait.

Langkah selanjutnya

• Hosting halaman login di Cloud Run.
• Membuat halaman login dengan FirebaseUI.
• Buat halaman login kustom.
• Dapatkan pemahaman lebih mendalam tentang cara kerja identitas eksternal dengan IAP.