Activer les identités externes

Cet article explique comment configurer Identity-Aware Proxy (IAP) pour utiliser des identités externes. En combinant IAP et Identity Platform, vous pouvez authentifier les utilisateurs avec un large éventail de fournisseurs d'identité (par exemple, OAuth, SAML, OIDC, et d'autres encore) au lieu d'utiliser simplement des comptes Google.

Activer et configurer Identity Platform

IAP authentifie les identités externes à l'aide d'Identity Platform. Consultez le guide de démarrage rapide pour Identity Platform afin de savoir comment l'activer.

Si vous souhaitez utiliser plusieurs locataires, vous devez également suivre la procédure décrite sur la page Premiers pas avec l'architecture mutualisée. Si vous n'avez pas besoin d'isoler des ressources, vous pouvez ignorer cette étape et configurer tous vos fournisseurs au niveau du projet. Si vous ne savez pas si vous devez activer l'architecture mutualisée, consultez la présentation sur les identités externes.

Et enfin, vous devez activer les fournisseurs. Le quickstart indique comment utiliser l'authentification simple par nom d'utilisateur et mot de passe, mais Identity Platform est compatible avec de nombreux types de fournisseurs, parmi lesquels :

• Adresse e-mail et mot de passe
• OAuth (par exemple, Google, Facebook, Twitter, etc.)
• SAML
• OIDC
• Numéro de téléphone
• Anonyme

Consultez les autres documents sur Identity Platform pour savoir comment configurer d'autres fournisseurs. Notez que le numéro de téléphone et l'authentification anonyme ne sont pas compatibles avec l'architecture mutualisée. La connexion sans mot de passe à l'aide d'un lien par e-mail n'est pas compatible avec IAP.

Autoriser IAP à utiliser des identités externes

Une fois que vous avez configuré Identity Platform, vous pouvez configurer IAP afin de l'utiliser pour l'authentification.

1. Ouvrez la page "IAP" dans la console Google Cloud.
   Ouvrir la page "IAP"

2. Sélectionnez le projet avec lequel vous avez configuré Identity Platform. Il n'est pas possible d'utiliser des projets différents.

3. Sélectionnez l'onglet Applications.

4. Localisez l'application App Engine ou le service Compute Engine dont vous souhaitez restreindre l'accès à l'aide de IAP.

5. Dans la colonne "IAP", basculez le bouton sur Activer.

6. Dans le panneau latéral, cliquez sur Démarrer dans la zone intitulée Utiliser des identités externes pour l'autorisation.

7. Confirmez votre sélection.

8. Dans le panneau latéral d'Identity Platform :

   1. Indiquez si vous comptez créer votre propre page de connexion ou laisser IAP en créer une pour vous.

      Permettre à IAP de créer la page de connexion est la méthode la plus rapide pour commencer. Vous n'avez pas besoin de déployer de services supplémentaires, ni d'écrire de nouveau code. Vous pouvez spécifier des personnalisations mineures à l'aide de JSON. Pour en savoir plus, consultez la section Héberger une UI d'authentification sur Cloud Run.

      Partage restreint de domaine:si le projet est soumis à la contrainte de partage restreint de domaine dans une règle d'administration, vous ne pouvez pas créer de services publics par défaut. Vous pouvez utiliser des tags et une stratégie conditionnelle pour exclure des services spécifiques de cette contrainte. Pour en savoir plus, consultez l'article de blog sur la création de services Cloud Run publics lorsque le partage restreint au domaine est appliqué.

      Créer vous-même cette page est une tâche complexe, mais cela vous permet de contrôler entièrement le flux d'authentification et l'expérience utilisateur. Pour en savoir plus, consultez les pages Créer une UI d'authentification avec FirebaseUI et Créer une UI d'authentification personnalisée.

   2. Si vous avez choisi de créer votre propre interface utilisateur, saisissez une URL d'authentification. IAP redirigera les requêtes non authentifiées qu'il reçoit vers cette URL.

      L'inclusion de votre clé API dans l'URL est facultative. Si vous ne fournissez pas de clé, la console Google Cloud ajoute automatiquement votre clé par défaut.

   3. Indiquez si vous souhaitez utiliser des locataires ou des fournisseurs de projets.

   4. Cochez les cases des fournisseurs ou des locataires pour les activer. Sélectionnez Configurer les fournisseurs si vous devez modifier vos fournisseurs ou vos locataires.

9. Cliquez sur Enregistrer.

Félicitations ! IAP est configuré pour authentifier les utilisateurs avec des identités externes.

Revenir aux identités Google

Vous ne pouvez pas utiliser IAM pour l'autorisation lorsque vous utilisez des identités externes. Si vous souhaitez revenir aux identités Google afin de pouvoir bénéficier de IAM, procédez comme suit :

1. Revenez à la page "IAP" dans la console Google Cloud.
   Ouvrir la page "IAP"

2. Sélectionnez la ressource configurée pour utiliser IAP.

3. Ouvrez le panneau d'information d'Identity Platform.

4. Sélectionnez Utiliser IAM pour gérer cette ressource.

Notez que si vous revenez aux identités Google, votre URL d'authentification, ainsi que le projet et les locataires associés, seront effacés.

Étapes suivantes

• Hébergez une page de connexion sur Cloud Run.
• Créez une page de connexion avec FirebaseUI.
• Créez une page de connexion personnalisée
• Approfondissez vos connaissances sur le fonctionnement des identités externes avec IAP.