Habilita identidades externas

En este artículo, se muestra cómo configurar Identity-Aware Proxy (IAP) para usar identidades externas. Si combinas IAP y Identity Platform, puedes autenticar usuarios con una amplia variedad de Proveedores de identidad (como OAuth, SAML, OIDC y más), en lugar de solo Cuentas de Google.

Habilita y configura Identity Platform

IAP usa Identity Platform para autenticar identidades externas. Consulta la Guía de inicio rápido para Identity Platform con el fin de obtener información sobre cómo habilitarla.

Si deseas utilizar varias instancias, también deberás seguir los pasos en Cómo comenzar a usar multiusuarios. Si no necesitas aislar recursos, puedes omitir este paso y configurar todos tus proveedores a nivel de proyecto. Consulta la descripción general de las identidades externas si no estás seguro de si debes activar la función multiusuario.

Por último, deberás habilitar los proveedores. La quickstart muestra cómo usar la autenticación simple de nombre de usuario y contraseña, pero Identity Platform es compatible con una amplia variedad de tipos de proveedores, incluidos los siguientes:

• Correo electrónico y contraseña
• OAuth (como Google, Facebook, Twitter y mucho más)
• SAML
• OIDC
• Número de teléfono
• Anónimo

Consulte el resto de la documentación de Identity Platform para obtener información sobre cómo configurar otros proveedores. Ten en cuenta que el número de teléfono y la autenticación anónima no son compatibles con la función multiusuario. El acceso sin contraseña a través de un vínculo de correo electrónico no es compatible con IAP.

Habilita IAP para usar identidades externas

Una vez que hayas configurado Identity Platform, puedes configurar IAP para usarlo en la autenticación.

1. Abre la página IAP en la consola de Google Cloud.
   Abrir la página IAP

2. Selecciona el mismo proyecto con el que configuraste Identity Platform. No se admite el uso de proyectos diferentes.

3. Selecciona la pestaña Aplicaciones.

4. Busca la aplicación de App Engine o el servicio de Compute Engine al que deseas restringir el acceso mediante IAP.

5. Mueve el interruptor de la columna IAP a Activado.

6. En el panel lateral, haz clic en Inicio en el cuadro Usar identidades externas para autorización.

7. Confirma tu selección.

8. En el panel lateral de Identity Platform, haz lo siguiente:

   1. Elige si deseas compilar tu propia página de acceso o hacer que IAP cree una por ti.

      Permitir que IAP cree la página de acceso es la forma más rápida de comenzar. No necesitas implementar servicios adicionales ni escribir código nuevo. Puedes especificar personalizaciones menores mediante JSON. Consulta Aloja una IU de autenticación en Cloud Run para obtener más información.

      Uso compartido restringido al dominio: Si el proyecto está sujeto a la restricción de uso compartido restringido al dominio en una política de la organización, no podrás crear servicios públicos de forma predeterminada. Puedes usar etiquetas y una política condicional para eximir a servicios específicos de esta restricción. Para obtener más información, consulta la entrada de blog sobre cómo crear servicios públicos de Cloud Run cuando se aplica de manera forzosa el uso compartido restringido al dominio.

      Compilar tu propia página es más complejo, pero te brinda control total sobre el flujo de autenticación y la experiencia. Consulta Crea una IU de autenticación con FirebaseUI y Crea una IU de autenticación personalizada para obtener más información.

   2. Si elegiste compilar tu propia IU, ingresa una URL de autenticación. IAP redireccionará a esta URL las solicitudes no autenticadas que reciba.

      De manera opcional, puedes incluir tu clave de API en la URL. Si no proporcionas una clave, la consola de Google Cloud agregará tu clave predeterminada de forma automática.

   3. Selecciona si deseas usar proveedores de proyectos o instancias.

   4. Marca las casillas de los proveedores o instancias que deseas habilitar. Selecciona Configurar proveedores si necesitas modificar tus proveedores o instancias.

9. Haz clic en Guardar.

¡Felicitaciones! IAP está configurado para autenticar usuarios con identidades externas.

Vuelve a las identidades de Google

No puedes usar la autorización de IAM cuando usas identidades externas. Si deseas volver a las identidades de Google para aprovechar IAM, sigue estos pasos:

1. Regresa a la página IAP en la consola de Google Cloud.
   Abrir la página IAP

2. Selecciona el recurso configurado para usar IAP.

3. Abre el panel de información de Identity Platform.

4. Selecciona Usa IAM para administrar este recurso.

Ten en cuenta que si vuelves a las identidades de Google, se borrará la URL de autenticación y los proyectos y las instancias asociados.

¿Qué sigue?

• Aloja una página de acceso en Cloud Run.
• Crea una página de acceso con FirebaseUI.
• Crea una página de acceso personalizada.
• Obtén una comprensión más profunda sobre cómo funcionan las identidades externas con IAP.