将 IAP 用作身份验证代理

本页面介绍了如何将 Identity-Aware Proxy (IAP) 配置为身份验证代理。

将 IAP 政策配置为允许所有用户访问应用后，IAP 不会检查用户身份验证凭据。如果要将 IAP 用作身份验证代理，并允许用户在访问资源时进行身份验证，则必须将 IAP 模式设置为 Force_Login。

将 IAP 配置为身份验证代理

如需将 IAP 配置为身份验证代理，请完成以下步骤：

1. 请按照 IAP 方法指南文档在资源上启用 IAP。

2. 转到 IAP 页面。
   转到 Identity-Aware Proxy

3. 选择资源，然后点击添加成员。

4. 将 IAP-secured Web App User 角色添加到 allUsers，使资源可公开访问。

5. 如需让 IAP 对用户进行身份验证，请确保向应用发出的请求采用以下格式：target_domain + ?gcp-iap- mode=FORCE_LOGIN。这会对所有传入请求强制执行身份验证，并在成功身份验证后将请求重定向到 target_domain。