Questo articolo contiene le domande frequenti su Identity-Aware Proxy (IAP).
Quali app posso proteggere con IAP?
IAP può essere utilizzato con:
- nell'ambiente standard di App Engine e nelle app dell'ambiente flessibile di App Engine.
- Istanze Compute Engine con servizi di backend di bilanciamento del carico HTTP(S).
- i container di Google Kubernetes Engine.
- App Cloud Run con servizi di backend di bilanciamento del carico HTTP(S).
Attualmente, IAP non può essere utilizzato con Cloud CDN.
Perché c'è un # alla fine del mio URL dopo aver eseguito l'accesso alla mia app?
In alcuni browser e in determinate condizioni, dopo l'autenticazione potrebbe essere aggiunto un # all'URL. È normale e non causerà problemi durante l'accesso.
Perché le mie richieste non vanno a buon fine e restituiscono un codice di stato 405 Method Not Allowed?
Ciò può essere causato dal fatto che non aggiungi i cookie alle tue richieste. Per impostazione predefinita, i metodi JavaScript non associano i cookie alle richieste.
La modalità di inclusione dei cookie varia in base al metodo di richiesta. Ad esempio, per le richieste inviate con un oggetto XMLHttpRequest è necessario impostare la proprietà withCredentials su true, mentre per le richieste inviate con l'API Fetch è necessario impostare l'opzione credentials su include o same-origin.
Per informazioni sulla gestione degli errori che si verificano solo dopo un determinato periodo di tempo, consulta Gestione delle sessioni IAP.
Perché ricevo un codice di stato HTTP 401 Non autorizzato invece di un reindirizzamento HTTP 302?
IAP risponde con un codice di stato 302 Redirect quando un client è configurato per gestire i reindirizzamenti. Per indicare che il tuo client può gestire i reindirizzamenti, assicurati che HTTP Accept="text/html,*/*" sia nell'intestazione delle richieste.
Perché le richieste POST non attivano reindirizzamenti?
Per attivare i reindirizzamenti, assicurati che le chiamate a IAP non siano richieste POST. I browser non eseguono il reindirizzamento in risposta alle richieste POST. Per questo motivo, IAP risponde con un codice di stato 401 Unauthorized anziché con un 302 Redirect.
Se hai bisogno di IAP per gestire richieste POST, assicurati che nell'intestazione della richiesta vengano trasmessi il token ID o dei cookie validi.
Includi il token ID in un'intestazione Authorization: Bearer per effettuare una richiesta autenticata alla risorsa protetta da IAP.
Per ottenere cookie validi, aggiorna la sessione.
Posso utilizzare IAP se ho disabilitato l'API?
Sì, l'accesso alle risorse protette con IAP funziona con l'API disabilitata, ma non potrai apportare modifiche alle autorizzazioni IAM.
Come posso impedire agli utenti con ruolo Proprietario di utilizzare IAP per TCP?
Innanzitutto, evita il più possibile di utilizzare il ruolo di proprietario (roles/owner). Il ruolo Proprietario concede ampie autorizzazioni su Google Cloud. L'assegnazione di autorizzazioni e ruoli più granulari può aumentare la sicurezza del progetto. Per saperne di più, consulta le best practice IAM.
Se non puoi ridurre l'utilizzo del ruolo Proprietario, puoi bloccare IAP per TCP utilizzando le regole firewall.
Quale dominio utilizza IAP per TCP?
IAP utilizza i seguenti domini, che sono di proprietà di Google:
tunnel.cloudproxy.appmtls.tunnel.cloudproxy.appse è abilitato l'accesso basato su certificati.
Se ti connetti tramite un server proxy o un firewall, assicurati che consentano il traffico verso questi domini e che non blocchino l'utilizzo delle connessioni WebSocket.
Se blocchi il traffico verso questi domini, non potrai utilizzare IAP per TCP. Potresti visualizzare uno dei vari messaggi di errore che seguono.
Se utilizzi gcloud, il messaggio di errore potrebbe essere
Error while connecting [[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed
Se utilizzi SSH dal browser, il messaggio di errore è
Cloud Identity-Aware Proxy Failed
Nessun codice di errore associato.
Perché ricevo il messaggio di errore Server Error?
Se ricevi il seguente messaggio di errore, è possibile che il firewall non consenta gli IP 130.211.0.0/22 e 35.191.0.0/16:
Error: Server Error
The server encountered a temporary error and could not complete your request.
Please try again in 30 seconds.
Se gli IP del bilanciatore del carico 130.211.0.0/22 e 35.191.0.0/16 non possono raggiungere il tuo backend, le tue applicazioni potrebbero non essere accessibili. Per ulteriori informazioni, consulta Configurazione di un bilanciatore del carico HTTPS esterno.
Se utilizzi IAP per TCP per connetterti a una VM specifica, la VM deve accettare connessioni da indirizzi nell'intervallo 35.235.240.0/20.
Perché ricevo errori interni del server intermittenti?
La ricezione di un messaggio di errore con il formato An internal server error occurred while authorizing your request. Error code X indica un errore interno. Gli errori interni con i codici di errore 1 o 30 indicano errori del backend. Una percentuale bassa di questi errori di backend spesso indica un problema temporaneo. I client devono ritentare la richiesta utilizzando il backoff esponenziale.
Codici di errore
La seguente tabella elenca i codici di errore comuni e i messaggi che vengono restituiti durante la configurazione e l'utilizzo di IAP.
| Codice o messaggio di errore | Descrizione | Risoluzione dei problemi |
|---|---|---|
| Codice di errore 7 | I valori del tuo ID client OAuth o del tuo secret sono vuoti. | Verifica che l'ID client e il secret siano configurati correttamente per la tua app visualizzando la pagina Credenziali. Se l'ID client e il secret sembrano essere configurati correttamente, utilizza il metodo GET per visualizzare lo stato corrente e il metodo PATCH per reimpostare l'ID client e il secret: • API Compute Engine: GET, PATCH• API App Engine: GET, PATCH |
| Codice di errore 9 | Un reindirizzamento OAuth non è stato completato. | Questo è un errore interno ed è stato registrato per la revisione. |
| Codice di errore 9 (con regole di riscrittura del percorso) | Un reindirizzamento OAuth non è stato completato. | Le regole di riscrittura del percorso del bilanciatore del carico Google Cloud interferiscono con la capacità di IAP di completare correttamente un flusso OAuth. Se ospiti più backend dietro il bilanciatore del carico Google Cloud e utilizzi le regole di riscrittura del percorso, assicurati che entrambi i backend utilizzino gli stessi ID client OAuth per IAP. Puoi modificare un ID client OAuth per un servizio di backend utilizzando il comando gcloud compute backend-services update. |
| Codice di errore 11 | L'ID client OAuth non è configurato correttamente. | Verifica che l'ID client e il secret siano configurati correttamente per la tua app visualizzando la pagina Credenziali. Se l'ID client e il secret sembrano essere configurati correttamente, utilizza il metodo GET per visualizzare lo stato corrente e il metodo PATCH per reimpostare l'ID client e il secret: • API Compute Engine: GET, PATCH• API App Engine: GET, PATCH |
| Codice di errore 13 | Il token OpenID Connect (OIDC) non è valido. | Assicurati che l'ID client configurato per IAP non venga eliminato visualizzando la pagina Credenziali. |
| Codice di errore 51 | Il tuo browser non supporta il pool di connessioni. | Un browser attuale e aggiornato è in grado di gestire gli errori di pool di connessioni. Assicurati che gli utenti finali utilizzino un browser corrente e aggiornato. Per maggiori informazioni, vedi Limitare l'accesso alle risorse a domini specifici. |
| Codice di errore 52 | Il nome host fornito non corrisponde al certificato SSL sul server. | È possibile che l'amministratore di sistema debba aggiornare il certificato SSL. Per saperne di più, vedi Limitare l'accesso alle risorse a domini specifici. |
| Codice di errore 53 | Il nome host non corrisponde ai domini consentiti dall'amministratore IAP. | L'amministratore deve aggiornare l'elenco dei domini consentiti in modo che includa il tuo nome host. Per saperne di più, vedi Limitare l'accesso alle risorse a domini specifici. |
| Codice di errore 429 | Il progetto supera la soglia al minuto per le richieste. | I progetti IAP sono limitati a un massimo di 360.000 richieste al minuto. Se si verifica questo errore, riduci il volume di richieste per il progetto. Per ulteriori domande, puoi contattare l'assistenza Google Cloud. |
| Codice di errore 4003 | Questo potrebbe significare che l'istanza non è in ascolto sulla porta a cui stai tentando di connetterti o che il firewall è chiuso. Uno di questi problemi potrebbe anche causare l'esito negativo del test di connettività all'avvio dell'istanza VM. | Assicurati che il processo di ascolto sulla VM sia in esecuzione e in ascolto sulla porta corretta. Inoltre, verifica che il firewall di Google Cloud sia configurato correttamente e che si apra sulla porta a cui ti stai connettendo. |
| Codice di errore 4010 | Una connessione è stata stabilita, ma chiusa dall'istanza di destinazione. Questo di solito indica un problema nell'istanza o nel programma in ascolto sulla porta di destinazione. | Reimposta l'istanza. Se utilizzi SSH per connetterti, controlla l'eventuale presenza di errori imprevisti nel log auth.log. Il percorso predefinito per il file di log è /var/log/. Se non riesci ad accedere ai log tramite SSH, prova a utilizzare la console seriale o a scollegare e ricollegare il disco a una nuova VM per visualizzare i log. Allega i log quando contatti l'assistenza clienti. |
| Codice di errore 4033 | Non hai l'autorizzazione per accedere all'istanza, l'istanza non esiste o è stata arrestata. | Assicurati che il ruolo IAM Utente del tunnel con protezione IAP sia applicato alla risorsa a cui ti stai connettendo visualizzando la pagina Identity-Aware Proxy. |
| Codice di errore 4047 | L'istanza non esiste o è stata arrestata. | Assicurati che la VM sia accesa e che abbia completato l'avvio. |
Se non riesci a risolvere il problema, contatta l'assistenza clienti fornendo la descrizione dell'errore e la risposta che ricevi da una chiamata GET all'API. Puoi rimuovere il client secret dalla risposta.