Activer les identités externes

Cet article explique comment configurer Identity-Aware Proxy (IAP) pour utiliser des identités externes. En combinant IAP et Identity Platform, vous pouvez authentifier les utilisateurs avec un large éventail de fournisseurs d'identité (par exemple, OAuth, SAML, OIDC, et d'autres encore) au lieu d'utiliser simplement des comptes Google.

Activer et configurer Identity Platform

IAP authentifie les identités externes à l'aide d'Identity Platform. Consultez le guide de démarrage rapide pour Identity Platform afin de savoir comment l'activer.

Si vous souhaitez utiliser plusieurs locataires, vous devez également suivre la procédure décrite sur la page Premiers pas avec l'architecture mutualisée. Si vous n'avez pas besoin d'isoler des ressources, vous pouvez ignorer cette étape et configurer tous vos fournisseurs au niveau du projet. Si vous ne savez pas si vous devez activer l'architecture mutualisée, consultez la présentation sur les identités externes.

Et enfin, vous devez activer les fournisseurs. Le guide de démarrage rapide indique comment utiliser l'authentification simple par nom d'utilisateur et mot de passe, mais Identity Platform est compatible avec de nombreux types de fournisseurs, parmi lesquels :

  • Adresse e-mail et mot de passe
  • OAuth (par exemple, Google, Facebook, Twitter, etc.)
  • SAML
  • OIDC
  • N° de téléphone
  • Personnalisé
  • Anonyme

Consultez les autres documents sur Identity Platform pour savoir comment configurer d'autres fournisseurs. Notez que les méthodes d'authentification anonyme, personnalisée et par numéro de téléphone ne sont pas compatibles avec l'architecture mutualisée.

Autoriser IAP à utiliser des identités externes

Une fois que vous avez configuré Identity Platform, vous pouvez configurer IAP afin de l'utiliser pour l'authentification.

  1. Ouvrez la page "IAP" dans Cloud Console.
    Ouvrir la page "IAP"

  2. Sélectionnez le projet avec lequel vous avez configuré Identity Platform. Il n'est pas possible d'utiliser des projets différents.

  3. Sélectionnez l'onglet Ressources HTTP.

  4. Localisez l'application App Engine ou le service Compute Engine dont vous souhaitez restreindre l'accès à l'aide de IAP.

  5. Dans la colonne "IAP", basculez le bouton sur Activer.

  6. Dans le panneau latéral, cliquez sur Démarrer dans la zone intitulée Utiliser des identités externes pour l'autorisation.

  7. Confirmez votre sélection.

  8. Dans le panneau latéral d'Identity Platform :

    1. Indiquez si vous comptez créer votre propre page de connexion ou laisser IAP en créer une pour vous.

      Permettre à IAP de créer la page de connexion est la méthode la plus rapide pour commencer. Vous n'avez pas besoin de déployer de services supplémentaires, ni d'écrire de nouveau code. Vous pouvez spécifier des personnalisations mineures à l'aide de JSON. Pour en savoir plus, consultez la section Héberger une UI d'authentification sur Cloud Run.

      Créer vous-même cette page est une tâche complexe, mais cela vous permet de contrôler entièrement le flux d'authentification et l'expérience utilisateur. Pour en savoir plus, consultez les pages Créer une UI d'authentification avec FirebaseUI et Créer une UI d'authentification personnalisée.

    2. Si vous avez choisi de créer votre propre interface utilisateur, saisissez une URL d'authentification. IAP redirigera les requêtes non authentifiées qu'il reçoit vers cette URL.

      L'inclusion de votre clé API dans l'URL est facultative. Si vous ne fournissez pas de clé, Cloud Console ajoute automatiquement votre clé par défaut.

    3. Indiquez si vous souhaitez utiliser des locataires ou des fournisseurs de projets.

    4. Cochez les cases des fournisseurs ou des locataires pour les activer. Sélectionnez Configurer les fournisseurs si vous devez modifier vos fournisseurs ou vos locataires.

  9. Cliquez sur Save.

Félicitations ! IAP est configuré pour authentifier les utilisateurs avec des identités externes.

Revenir aux identités Google

Vous ne pouvez pas utiliser IAM pour l'autorisation lorsque vous utilisez des identités externes. Si vous souhaitez revenir aux identités Google afin de pouvoir bénéficier de IAM, procédez comme suit :

  1. Revenez à la page "IAP" dans Cloud Console.
    Ouvrir la page "IAP"

  2. Sélectionnez la ressource configurée pour utiliser IAP.

  3. Ouvrez le panneau d'information d'Identity Platform.

  4. Sélectionnez Utiliser IAM pour gérer cette ressource.

Notez que si vous revenez aux identités Google, votre URL d'authentification, ainsi que le projet et les locataires associés, seront effacés.

Étapes suivantes