Como ativar identidades externas

Neste artigo, você aprenderá como configurar o Identity-Aware Proxy (IAP) para usar identidades externas. Ao combinar o IAP com o Identity Platform, é possível autenticar usuários com uma ampla variedade de provedores de identidade, como OAuth, SAML, OIDC e outros, em vez de usar apenas Contas do Google.

Como ativar e configurar o Identity Platform

O IAP usa o Identity Platform para autenticar identidades externas. Consulte o Guia de início rápido do Identity Platform para saber como ativá-lo.

Se você quiser usar vários locatários, também precisará seguir as etapas em Primeiros passos com a multilocação. Se não for necessário isolar os recursos, pule esta etapa e configure todos os seus provedores para envolvidos no projeto. Consulte a visão geral sobre identidades externas caso não tenha certeza se é necessário ativar a multilocação.

Por fim, você precisará ativar os provedores. No guia de início rápido, há instruções sobre como usar um modo de autenticação simples com nome de usuário e senha. No entanto, o Identity Platform é compatível com uma ampla variedade de tipos de provedores, incluindo os seguintes:

  • E-mail e senha
  • OAuth (como Google, Facebook, Twitter etc.)
  • SAML
  • OIDC
  • Número de telefone
  • Personalizado
  • Anônimo

Consulte o restante da documentação do Identity Platform para informações sobre como configurar outros provedores. No entanto, os modos de autenticação por número de telefone, personalizado e anônimo não são compatíveis com a multilocação.

Como ativar o IAP para usar identidades externas

Depois de configurar o Identity Platform, será possível configurar o IAP para usá-lo na autenticação.

  1. Abra a página do IAP no Console do Cloud.
    Abrir a página do IAP

  2. Selecione o mesmo projeto que você usou para configurar o Identity Platform. Não é possível usar projetos diferentes.

  3. Selecione a guia Recursos HTTP.

  4. Localize o aplicativo do App Engine ou o serviço do Compute Engine em que você quer usar o IAP para restringir o acesso.

  5. Alterne a chave na coluna "IAP" para Ativado.

  6. No painel lateral, clique em Iniciar na caixa chamada Usar identidades externas para receber autorização.

  7. Confirme sua seleção.

  8. No painel lateral do Identity Platform, faça o seguinte:

    1. Escolha se você quer criar sua própria página de login ou fazer com que o IAP crie uma para você.

      Permitir que o IAP crie a página de login é a maneira mais rápida de começar. Você não precisa implantar outros serviços ou escrever qualquer código novo e poderá especificar pequenas personalizações usando JSON. Consulte Como hospedar uma IU de autenticação no Cloud Run para saber mais.

      Criar sua própria página é mais complexo, mas oferece controle total do fluxo e da experiência de autenticação. Consulte Como criar uma IU de autenticação com o FirebaseUI e Como criar uma IU de autenticação personalizada para mais informações.

    2. Se você optar por criar sua própria IU, insira um URL de autenticação. O IAP redirecionará para esse URL as solicitações não autenticadas que receber.

      Se quiser, inclua também sua chave de API no URL. Se você não fornecer uma chave, o Console do Cloud anexará sua chave padrão automaticamente.

    3. Selecione se serão usados os provedores ou os locatários do projeto.

    4. Marque as caixas dos provedores ou dos locatários para ativá-los. Selecione Configurar provedores se você precisar modificar seus provedores ou locatários.

  9. Clique em Salvar.

Parabéns! Você configurou o IAP para autenticar usuários com identidades externas.

Como voltar para as identidades do Google

Não é possível usar o IAM para fins de autorização quando você utiliza identidades externas. Se você quiser voltar a utilizar identidades do Google para usar o IAM, siga estas etapas:

  1. Retorne à página do IAP no Console do Cloud.
    Abrir a página do IAP

  2. Selecione o recurso configurado para usar o IAP.

  3. Abra o painel de informações do Identity Platform.

  4. Selecione Usar IAM para gerenciar este recurso.

Voltar para as identidades do Google apagará o URL de autenticação, bem como o projeto e os locatários associados a ele.

A seguir