Externe Identitäten aktivieren

In diesem Artikel wird gezeigt, wie Sie Identity-Aware Proxy (IAP) für die Verwendung externer Identitäten konfigurieren. Durch die Kombination von IAP mit Identity Platform können Sie Nutzer neben dem Google-Konto auch über eine Vielzahl von Identitätsanbietern wie (wie OAuth, SAML, OIDC usw.) authentifizieren.

Identity Platform aktivieren und konfigurieren

IAP verwendet zur Authentifizierung externer Identitäten Identity Platform. In der Kurzanleitung für Identity Platform wird gezeigt, wie Sie Identity Platform aktivieren.

Wenn Sie mehrere Mandanten nutzen möchten, folgen Sie den Schritten unter Erste Schritte mit Mehrinstanzenfähigkeit. Wenn Sie keine Ressourcen isolieren müssen, können Sie diesen Schritt überspringen und Ihre Anbieter insgesamt auf Projektebene konfigurieren. Mithilfe der Übersicht zu externen Identitäten können Sie feststellen, ob Sie die Mehrinstanzenfähigkeit aktivieren sollten.

Schließlich müssen Sie Anbieter aktivieren. In der quickstart wird gezeigt, wie die einfache Authentifizierung mit Nutzernamen und Passwort angewendet wird. Identity Platform unterstützt jedoch eine Vielzahl von Anbietertypen, darunter:

• E-Mail-Adresse und Passwort
• OAuth (z. B. Google, Facebook oder Twitter und weitere)
• SAML
• OIDC
• Telefonnummer
• Anonym

Weitere Informationen zur Konfiguration anderer Anbieter finden Sie in der Dokumentation zu Identity Platform. Beachten Sie, dass Telefonnummern und anonyme Authentifizierung für die Mehrmandantenfähigkeit nicht unterstützt werden. Die Anmeldung ohne Passwort über einen E-Mail-Link wird von IAP nicht unterstützt.

IAP für die Verwendung externer Identitäten aktivieren

Wenn Sie Identity Platform eingerichtet haben, können Sie IAP für die Authentifizierung konfigurieren.

1. Öffnen Sie in der Google Cloud Console die Seite „IAP“.
   Zur Seite "IAP"

2. Wählen Sie das Projekt aus, mit dem Sie Identity Platform konfiguriert haben. Die Verwendung unterschiedlicher Projekte wird nicht unterstützt.

3. Wählen Sie den Tab Programme aus.

4. Ermitteln Sie die App Engine-Anwendung oder den Compute Engine-Dienst, für die bzw. für den Sie den Zugriff mit IAP beschränken möchten.

5. Stellen Sie den Schieberegler in der IAP-Spalte auf An.

6. Klicken Sie in der Seitenleiste im Feld Externe Identitäten zur Autorisierung verwenden auf Start.

7. Bestätigen Sie Ihre Auswahl.

8. Gehen Sie in der Seitenleiste von Identity Platform so vor:

   1. Wählen Sie aus, ob Sie eine eigene Anmeldeseite erstellen oder dieser IAP erstellen lassen möchten.

      Sie müssen IAPs erst einmal die Anmeldeseite erstellen lassen, damit Sie gleich loslegen können. Sie müssen keine zusätzlichen Dienste bereitstellen oder neuen Code schreiben und geringfügige Anpassungen mit JSON vornehmen. Weitere Informationen finden Sie unter Authentifizierungs-UI in Cloud Run hosten.

      Domaineingeschränkte Freigabe:Wenn das Projekt der Freigabeeinschränkung mit Domaineinschränkung in einer Organisationsrichtlinie unterliegt, können Sie standardmäßig keine öffentlichen Dienste erstellen. Sie können Tags und eine bedingte Richtlinie verwenden, um bestimmte Dienste von dieser Einschränkung auszuschließen. Weitere Informationen finden Sie im Blogpost zum Erstellen öffentlicher Cloud Run-Dienste, wenn die Freigabe auf Domain beschränkt wird.

      Das Erstellen einer eigenen Seite ist komplexer, bietet aber vollständige Kontrolle über den Authentifizierungsablauf und die Nutzerfreundlichkeit. Weitere Informationen finden Sie unter Authentifizierungs-UI mit FirebaseUI erstellen und Benutzerdefinierte Authentifizierungs-UI erstellen.

   2. Falls Sie sich für die Erstellung einer eigenen Benutzeroberfläche entschieden haben, geben Sie eine Authentifizierungs-URL ein. IAP leitet nicht authentifizierte Anfragen an diese URL weiter.

      Das Einfügen Ihres API-Schlüssels in die URL ist optional. Wenn Sie keinen Schlüssel angeben, wird in der Google Cloud Console automatisch Ihr Standardschlüssel angehängt.

   3. Wählen Sie aus, ob Projektanbieter oder Mandanten verwendet werden soll.

   4. Aktivieren Sie die Kästchen der Anbieter oder Mandanten, die aktiviert werden sollen. Wählen Sie Anbieter konfigurieren aus, wenn Sie Ihre Anbieter oder Mandanten ändern müssen.

9. Klicken Sie auf Speichern.

Das wars! IAP ist nun so konfiguriert, dass Nutzer mit externen Identitäten authentifiziert werden.

Zurück zu Google-Identitäten wechseln

Sie können IAM nicht für die Autorisierung mit externen Identitäten verwenden. Wenn Sie IAM-Identitäten ändern möchten, um IAM zu verwenden, gehen Sie so vor:

1. Kehren Sie in der Google Cloud Console zur Seite „IAP“ zurück.
   Zur Seite "IAP"

2. Wählen Sie die Ressource aus, die für die Verwendung von IAP konfiguriert ist.

3. Öffnen Sie das Informationsfenster "Identity Platform".

4. Wählen Sie IAM zum Verwalten dieser Ressource verwenden aus.

Wenn Sie zurück zu Google-Identitäten wechseln, werden Ihre Authentifizierungs-URL sowie das zugehörige Projekt und die zugehörigen Mandanten gelöscht.

Nächste Schritte

• Anmeldeseite in Cloud Run hosten.
• Anmeldeseite mit FirebaseUI erstellen
• Benutzerdefinierte Anmeldeseite erstellen.
• Mehr erfahren zur Funktionsweise von externen Identitäten mit IAP