将 IAP 用作身份验证代理

本页介绍了如何将 Identity-Aware Proxy (IAP) 配置为身份验证代理。

如果您将 IAP 政策配置为允许所有用户访问应用,IAP 将不会检查用户身份验证凭据。如果您想将 IAP 用作身份验证代理,并要求用户在访问资源时进行身份验证,则必须将 IAP 模式设置为 Force_Login

将 IAP 配置为身份验证代理

如需将 IAP 配置为身份验证代理,请完成以下步骤:

  1. 请按照 IAP 方法指南 文档中的说明为资源启用 IAP。

  2. 前往 IAP 页面。
    前往 Identity-Aware Proxy

  3. 选择一个资源,然后点击添加成员

  4. IAP-secured Web App User 角色添加到 allUsers,以便公开访问该资源。

  5. 如需让 IAP 对用户进行身份验证,请确保您向应用发出的请求采用以下格式:

    YOUR_APP_URL?gcp-iap-mode=FORCE_LOGIN

    这会强制对所有传入请求进行身份验证,并在成功完成身份验证后将请求重定向到 YOUR_APP_URL