Questa pagina descrive come utilizzare i parametri di query e le intestazioni (IAP) di Identity-Aware Proxy per migliorare l'interfaccia utente dell'applicazione o fornire opzioni per la risoluzione dei problemi.
Parametri di query
È possibile eseguire diverse azioni impostando il parametro gcp-iap-mode nella stringa di query dell'URL.
Questi parametri di ricerca possono essere inclusi in qualsiasi percorso, non solo nell'URL principale.
Trasmettere l'identità dell'utente
Il trasferimento del seguente valore parametro restituisce un dizionario JSON con l'identità dell'utente:
YOUR_APP_URL?gcp-iap-mode=IDENTITY
Questa opzione è disponibile da qualsiasi Account Google a cui hai eseguito l'accesso, anche se l'account non dispone dell'accesso all'app. Puoi visitare l'URL direttamente o farvi riferimento per effettuare richieste all'URL. Di seguito è riportato un valore di esempio restituito dall'URL:
{"email":"accounts.google.com:USER_EMAIL","sub":"accounts.google.com:118133858486581853996"}
Potresti trovare utile questo valore per personalizzare l'app, ad esempio mostrando il nome dell'utente, per passare l'identità a un'altra pagina o per acquisire i dati sull'utilizzo nei log.
Cancellazione accesso utenti
Il seguente valore parametro cancella il cookie di accesso IAP:
YOUR_APP_URL?gcp-iap-mode=CLEAR_LOGIN_COOKIE
Per impostazione predefinita, il passaggio di questo parametro reindirizza il browser alla pagina 403 per aiutare gli utenti che potrebbero aver eseguito l'accesso alla posizione sbagliata. Puoi anche fornire l'URL a un utente che rimane bloccato o utilizzarlo per attivare il passaggio a un altro profilo nella tua applicazione.
Test della verifica JWT in corso...
IAP ti aiuta a testare la logica di verifica JWT passando JWT non validi alle pagine web di test.
Ad esempio, IAP trasmette un JWT con una firma non valida
per qualsiasi richiesta contenente i parametri di ricerca
gcp-iap-mode=SECURE_TOKEN_TEST e iap-secure-token-test-type=SIGNATURE.
La logica di verifica deve rilevare la firma non valida.
Puoi testare la logica di verifica con uno dei seguenti scenari aggiungendo i parametri appropriati a una richiesta.
| Parametri | Scenario di test |
|---|---|
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=NOT_SET | Un JWT valido. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=FUTURE_ISSUE | La data di emissione è impostata nel futuro. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=PAST_EXPIRATION | La data di scadenza è impostata nel passato. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=ISSUER | Emittente errato. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=AUDIENCE | Segmento di pubblico non corretto. |
| ?gcp-iap-mode=SECURE_TOKEN_TEST&iap-secure-token-test-type=SIGNATURE | Firmato con un firmatore errato. |
Intestazioni speciali
Rilevamento delle risposte dagli IAP
Quando IAP genera una risposta HTTP, ad esempio quando nega l'accesso (403) o richiede l'autenticazione (302 o 401), aggiunge
l'intestazione della risposta HTTP X-Goog-IAP-Generated-Response. Rilevando la presenza di questa intestazione, puoi eseguire azioni quali:
Distingui i messaggi di errore generati da IAP e quelli generati dalla tua applicazione.
Rileva quando è necessario aggiungere le credenziali IAP a una richiesta.