Esta página mostra como configurar o Identity-Aware Proxy (IAP) para usar a federação de identidade de colaboradores.
Ao configurar a federação de identidade da força de trabalho com o IAP, é possível usar um provedor de identidade externo (IdP) para autenticar e autorizar uma força de trabalho, um grupo de usuários, como funcionários, parceiros e prestadores de serviços, usando o Identity and Access Management (IAM), para que os usuários possam acessar com segurança os serviços implantados noGoogle Cloud ou localmente.
A configuração do IAP com a federação de identidade do funcionário permite fazer o seguinte em relação aos aplicativos protegidos por IAP:
- Redirecionar um usuário final para um IdP externo, como o Okta, para fazer login.
- Configure uma sessão de login entre 15 minutos e 12 horas.
- Permita que apenas usuários finais específicos ou conjuntos de usuários finais em um IdP acessem seu aplicativo.
- Especifique o contexto em que um usuário final pode acessar um aplicativo. Por exemplo, permita o acesso apenas em um horário específico do dia.
É possível usar o IAP com a federação de identidade da força de trabalho em todos os recursos e balanceadores de carga compatíveis com o IAP.
Configurar o IAP com a federação de identidade de colaboradores para um aplicativo
A configuração do IAP com a federação de identidade de colaboradores inclui as seguintes tarefas principais:
- Configure um pool e um provedor de força de trabalho.
- Crie um ID e uma chave secreta do cliente OAuth.
- Ative o IAP e configure-o para usar a federação de identidade de colaboradores.
Configurar um pool e um provedor de força de trabalho
Para configurar um pool e um provedor de força de trabalho, siga as instruções em Federação de identidade da força de trabalho. Ao definir a duração da sessão, consulte Gerenciar sessões de IAP com a Federação de identidade da força de trabalho.
Se você quiser mapear um endereço de e-mail de um IdP de terceiros para Google Cloud,
adicione um mapeamento de atributos no provedor do pool de força de trabalho para google.email
.
Exemplo: google.email=assertion.email
.
Criar um ID e uma chave secreta do cliente OAuth
Siga as instruções para criar um ID do cliente e um segredo do OAuth em um projeto na mesma organização que o pool de força de trabalho que você vai usar para essa configuração. O projeto não precisa ser o mesmo em que o recurso protegido pelo IAP está. Ao criar o ID e a chave secreta do cliente OAuth, faça o seguinte:
Use um marcador de posição para o URI de redirecionamento ao criar o ID do cliente. Depois de criar o ID do cliente, execute
describe
um cliente OAuth para receber oclientID
gerado.Quando você tiver o
clientID
, executeupdate
um cliente OAuth para atualizarallowed-redirect-uris
para o seguinte:https://iap.googleapis.com/v1/oauth/clientIds/$CLIENT_ID:handleRedirect
.Em que
CLIENT_ID
é oclientID
recuperado na etapa anterior.Depois de criar a chave secreta do cliente, execute
describe
uma credencial de cliente OAuth para receber oclientSecret
gerado.
Salve o
clientId
e oclientSecret
, porque você vai precisar deles em etapas posteriores.
Ativar o IAP para usar a federação de identidade de colaboradores
Console
- No console do Google Cloud , abra a página do IAP.
Acessar a página do IAP - Selecione um projeto. O projeto precisa estar na mesma organização do pool de colaboradores que você criou anteriormente. O projeto não precisa ser o em que você criou o ID do cliente e a chave secreta OAuth.
- Clique na guia Aplicativos e localize o aplicativo que você quer restringir o acesso usando o IAP.
- Na coluna "IAP", habilite a opção Ativado.
gcloud
Para usar a CLI gcloud para ativar o IAP, siga os procedimentos do serviço aplicável:
API
Crie um arquivo
settings.json
.cat << EOF > settings.json { "iap": { "enabled":true, } } EOF
Ative o IAP no App Engine.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap.enabled"
Para ativar o IAP no Compute Engine, use o seguinte URL:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME?updateMask=iap.enabled
.
Atualizar as configurações do IAP
Para configurar o IAP para usar a federação de identidade da força de trabalho, é necessário configurar as seguintes configurações:
WorkforceIdentitySettings
: o ID do cliente e a chave secreta do OAuth criados anteriormente.IdentitySources
: a origem da identidade.
Para mais informações, consulte as APIs do IAP.
gcloud
Usando o exemplo abaixo como referência, crie um arquivo
iap_settings.yaml
.CLIENT_ID=clientId CLIENT_SECRET=clientSecret WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool cat <<EOF > iap_settings.yaml access_settings: identity_sources: ["WORKFORCE_IDENTITY_FEDERATION"] workforce_identity_settings: workforce_pools: ["$WORKFORCE_POOL_NAME"] oauth2: client_id: "$CLIENT_ID" client_secret: "$CLIENT_SECRET" EOF
Execute o comando abaixo para atualizar as configurações do IAP para seu recurso.
gcloud iap settings set iap_settings.yaml --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE
Substitua:
- PROJECT: o ID do projeto.
- RESOURCE_TYPE: o tipo de recurso do IAP. O
tipo de recurso precisa ser
app-engine
,iap_web
,compute
,organization
oufolder
. - SERVICE: o nome do serviço. Isso é opcional para
app-engine
ecompute
.
Para mais detalhes sobre o comando, consulte gcloud iap settings set.
API
Usando o exemplo a seguir como referência, crie um arquivo de configurações
iap_settings.json
.CLIENT_ID=clientId CLIENT_SECRET=clientSecret WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool cat <<EOF > iap_settings.json { "access_settings": { "identity_sources": ["WORKFORCE_IDENTITY_FEDERATION"], "workforce_identity_settings": { "workforce_pools": ["$WORKFORCE_POOL_NAME"], "oauth2": { "client_id": "$CLIENT_ID", "client_secret": "$CLIENT_SECRET", } } } } EOF
Use a CLI gcloud para conferir o nome do recurso e, em seguida, copie o
RESOURCE_NAME
da saída, porque você vai precisar dele na próxima etapa.gcloud iap settings get \ --project=PROJECT \ --resource-type=RESOURCE_TYPE \ --service=SERVICE
Substitua:
- PROJECT: o ID do projeto.
- RESOURCE_TYPE: o tipo de recurso do IAP. O
tipo de recurso precisa ser
app-engine
,iap_web
,compute
,organization
oufolder
. - SERVICE: o nome do serviço. Isso é opcional para
app-engine
ecompute
.
Substitua
RESOURCE_NAME
no comando a seguir peloRESOURCE_NAME
da etapa anterior.curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @iap_settings.json \ "https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.identitySources,iapSettings.accessSettings.workforceIdentitySettings.workforcePools,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientId,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientSecret"
Permitir acesso a recursos protegidos pelo IAP
Para acessar um recurso protegido pelo IAP, os usuários finais precisam ter o papel de Usuário do app da Web protegido pelo IAP no recurso. É possível conceder o papel de usuário do app da Web protegido pelo IAP a um único usuário (principal) ou a um conjunto de usuários (conjunto principal, que é mapeado para um grupo, um atributo específico ou um conjunto inteiro de usuários).
Não é possível acessar recursos protegidos pelo IAP sem restrições.
Console
- No console do Google Cloud , abra a página do IAP.
Acessar a página do IAP - Selecione o recurso que você quer proteger com o IAP.
- Clique em Adicionar principal e adicione os identificadores principais dos grupos ou indivíduos a que você quer conceder um papel do IAM para o recurso.
- Em Atribuir papéis, selecione Usuário do app da Web protegido pelo IAP.
- Clique em Adicionar.
gcloud
Execute o comando a seguir.
gcloud iap web add-iam-policy-binding \
--member=PRINCIPAL_IDENTIFIER \
--role='roles/iap.httpsResourceAccessor' \
--project=PROJECT_ID \
--resource-type=RESOURCE_TYPE \
--service=SERVICE \
--condition=CONDITION
Substitua o seguinte :
- PRINCIPAL_IDENTIFIER: os identificadores principais.
- PROJECT_ID: o ID do projeto.
- RESOURCE_TYPE: o tipo de recurso do IAP, que pode
ser
app-engine
oubackend-services
. - SERVICE: (opcional) o nome do serviço.
- CONDITION: (opcional) Condições do IAM. Confira a seguir um exemplo de condição configurada com níveis de acesso:
expression="accessPolicies/12345678/accessLevels/iap_test_access_level" in request.auth.access_levels,title=iap-test-access-level,description=only access in weekdays
API
Esse método não é recomendado porque afeta toda a política de IAM de um recurso. Um erro pode remover a política de um recurso.
Acesse as vinculações de políticas do IAM.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d {} \ "https://iap.googleapis.com/v1/RESOURCE_NAME:getIamPolicy" -o iam_policy_bindings.json
Substitua o RESOURCE_NAME pelo RESOURCE_NAME que você recebeu em uma etapa anterior.
No arquivo
iam_policy_bindings.json
que você recebeu na etapa anterior, remova as linhas de versão e etag e adicione a vinculação que você quer adicionar ao identificador principal. Para mais informações, consulte Noções básicas sobre políticas de permissão.{ "bindings": [ { // existing bindings }, { "role": "roles/iap.httpsResourceAccessor", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/iap-test-pool/subject/iap-test-subject" ], "condition": { "expression": "\"accessPolicies/12345678/accessLevels/iap_test_access_level\" in request.auth.access_levels", "title": "iap-test-access-level", "description": "only access in week days" } } ] }
Atualize as vinculações de política do IAM.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "{"policy":$(cat iam_policy_bindings.json)}" \ "https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"
Substitua o RESOURCE_NAME pelo RESOURCE_NAME que você recebeu em uma etapa anterior.
Consulte GetIamPolicy e SetIamPolicy para mais informações.
(Opcional) Configurar o acesso baseado no contexto
Também é possível configurar regras de acesso com base no contexto para autorização avançada.
Para configurar os níveis de acesso, consulte Criar e aplicar níveis de acesso. Os níveis de acesso com base nas informações do dispositivo não estão disponíveis ao usar a Federação de identidade de colaboradores. Ainda é possível usar níveis de acesso baseados no contexto da solicitação com condições de endereço IP, hora e data.
Limitações ao trabalhar com pools de força de trabalho
- Para cada aplicativo com suporte ao IAP, só é possível configurar um pool de força de trabalho, que pode conter apenas um provedor.
- O pool de colaboradores, o ID e a chave secreta do cliente OAuth e os aplicativos ativados para o IAP precisam estar na mesma organização.
- Os níveis de acesso para informações relacionadas ao dispositivo não são compatíveis.
- Somente as seguintes configurações de IAP são compatíveis:
- Não é possível fazer o acesso programático com a federação de identidade da força de trabalho.