Configurar o IAP com a federação de identidade de colaboradores

Esta página mostra como configurar o Identity-Aware Proxy (IAP) para usar a federação de identidade de colaboradores.

Ao configurar a federação de identidade da força de trabalho com o IAP, é possível usar um provedor de identidade externo (IdP) para autenticar e autorizar uma força de trabalho, ou seja, um grupo de usuários, como funcionários, parceiros e prestadores de serviços, usando o Identity and Access Management (IAM) para que os usuários possam acessar com segurança os serviços implantados no Google Cloud ou localmente.

A configuração do IAP com a federação de identidade do funcionário permite fazer o seguinte em relação aos aplicativos protegidos por IAP:

  • Redirecionar um usuário final para um IdP externo, como o Okta, para fazer login.
  • Configure uma sessão de login entre 15 minutos e 12 horas.
  • Permita que apenas usuários finais específicos ou conjuntos de usuários finais em um IdP acessem seu aplicativo.
  • Especifique o contexto em que um usuário final pode acessar um aplicativo. Por exemplo, permita o acesso apenas em um horário específico do dia.

É possível usar o IAP com a federação de identidade da força de trabalho em todos os recursos e balanceadores de carga existentes compatíveis com o IAP.

Configurar o IAP com a federação de identidade de colaboradores para um aplicativo

A configuração do IAP com a federação de identidade de colaboradores inclui as seguintes tarefas principais:

  1. Configure um pool e um provedor de força de trabalho.
  2. Crie um ID e uma chave secreta do cliente OAuth.
  3. Ative e configure o IAP para usar a federação de identidade de colaboradores.

Configurar um pool e um provedor de força de trabalho

Para configurar um pool e um provedor de força de trabalho, siga as instruções em Federação de identidade da força de trabalho. Ao definir a duração da sessão, consulte Gerenciar sessões de IAP com a Federação de identidade da força de trabalho.

Se você quiser mapear um endereço de e-mail de um IdP de terceiros para o Google Cloud, adicione um mapeamento de atributos no provedor do pool de força de trabalho para google.email. Exemplo: google.email=assertion.email.

Criar um ID e uma chave secreta do cliente OAuth

  1. Siga as instruções para criar um ID do cliente e um segredo do OAuth em um projeto na mesma organização que o pool de força de trabalho que você vai usar para essa configuração. O projeto não precisa ser o mesmo em que o recurso protegido pelo IAP está. Ao criar o ID e a chave secreta do cliente OAuth, faça o seguinte:

    1. Use um marcador de posição para o URI de redirecionamento ao criar o ID do cliente. Depois de criar o ID do cliente, execute describe um cliente OAuth para receber o clientID gerado.

    2. Quando você tiver o clientID, execute update um cliente OAuth para atualizar allowed-redirect-uris para o seguinte: https://iap.googleapis.com/v1/oauth/clientIds/$CLIENT_ID:handleRedirect.

      Em que CLIENT_ID é o clientID recuperado na etapa anterior.

    3. Depois de criar a chave secreta do cliente, execute describe uma credencial de cliente OAuth para receber o clientSecret gerado.

    Salve o clientId e o clientSecret, porque você vai precisar deles em etapas posteriores.

Ativar o IAP para usar a federação de identidade de colaboradores

Console

  1. No console do Google Cloud, abra a página do IAP.
    Acessar a página do IAP
  2. Selecione um projeto. O projeto precisa estar na mesma organização do pool de colaboradores que você criou anteriormente. O projeto não precisa ser o em que você criou o ID do cliente e a chave secreta OAuth.
  3. Clique na guia Aplicativos e localize o aplicativo que você quer restringir o acesso usando o IAP.
  4. Na coluna "IAP", habilite a opção Ativado.

gcloud

Para usar a CLI gcloud para ativar o IAP, siga os procedimentos do serviço aplicável:

API

  1. Crie um arquivo settings.json.

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true,
 }
}
EOF

  2. Ative o IAP no App Engine.

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap.enabled"

    Para ativar o IAP no Compute Engine, use o seguinte URL: https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME?updateMask=iap.enabled.

Atualizar as configurações do IAP

Para configurar o IAP para usar a federação de identidade da força de trabalho, é necessário configurar as seguintes configurações:

  • WorkforceIdentitySettings: o ID do cliente e a chave secreta do OAuth criados anteriormente.
  • IdentitySources: a origem da identidade.

Para mais informações, consulte as APIs do IAP.

gcloud

  1. Usando o exemplo a seguir como referência, crie um arquivo iap_settings.yaml.

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.yaml
access_settings:
  identity_sources: ["WORKFORCE_IDENTITY_FEDERATION"]
  workforce_identity_settings:
    workforce_pools: ["$WORKFORCE_POOL_NAME"]
    oauth2:
      client_id: "$CLIENT_ID"
      client_secret: "$CLIENT_SECRET"
EOF

  2. Execute o comando abaixo para atualizar as configurações do IAP para seu recurso.

    gcloud iap settings set iap_settings.yaml --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE

    Substitua:

    • PROJECT: o ID do projeto.
    • RESOURCE_TYPE: o tipo de recurso do IAP. O tipo de recurso precisa ser app-engine, iap_web, compute, organization ou folder.
    • SERVICE: o nome do serviço. Isso é opcional para app-engine e compute.

    Para mais detalhes sobre o comando, consulte gcloud iap settings set.

API

  1. Usando o exemplo a seguir como referência, crie um arquivo de configurações iap_settings.json.

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.json
{
   "access_settings": {
     "identity_sources": ["WORKFORCE_IDENTITY_FEDERATION"],
     "workforce_identity_settings": {
       "workforce_pools": ["$WORKFORCE_POOL_NAME"],
       "oauth2": {
         "client_id": "$CLIENT_ID",
         "client_secret": "$CLIENT_SECRET",
       }
    }
  }
}
EOF

  2. Use a CLI gcloud para conferir o nome do recurso e, em seguida, copie o RESOURCE_NAME da saída, porque você vai precisar dele na próxima etapa. 

    gcloud iap settings get \
    --project=PROJECT \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE

    Substitua:

    • PROJECT: o ID do projeto.
    • RESOURCE_TYPE: o tipo de recurso do IAP. O tipo de recurso precisa ser app-engine, iap_web, compute, organization ou folder.
    • SERVICE: o nome do serviço. Isso é opcional para app-engine e compute.

  3. Substitua RESOURCE_NAME no comando a seguir pelo RESOURCE_NAME da etapa anterior.

    curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.identitySources,iapSettings.accessSettings.workforceIdentitySettings.workforcePools,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientId,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientSecret"

Conceder acesso a recursos protegidos pelo IAP

Para acessar um recurso protegido pelo IAP, os usuários finais precisam ter o papel de Usuário do app da Web protegido pelo IAP no recurso. É possível conceder o papel de usuário do app da Web protegido pelo IAP a um único usuário (principal) ou a um conjunto de usuários (conjunto principal, que é mapeado para um grupo, um atributo específico ou um conjunto inteiro de usuários).

Não é possível acessar recursos protegidos pelo IAP sem restrições.

Console

  1. No console do Google Cloud, abra a página do IAP.
    Acessar a página do IAP
  2. Selecione o recurso que você quer proteger com o IAP.
  3. Clique em Adicionar principal e adicione os identificadores principais dos grupos ou indivíduos a que você quer conceder um papel do IAM para o recurso.
  4. Em Atribuir papéis, selecione Usuário do app da Web protegido pelo IAP.
  5. Clique em Adicionar.

gcloud

Execute o comando a seguir.

gcloud iap web add-iam-policy-binding \
    --member=PRINCIPAL_IDENTIFIER \
    --role='roles/iap.httpsResourceAccessor' \
    --project=PROJECT_ID \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE \
    --condition=CONDITION

Substitua o seguinte :

  • PRINCIPAL_IDENTIFIER: os identificadores principais.
  • PROJECT_ID: o ID do projeto.
  • RESOURCE_TYPE: o tipo de recurso do IAP, que pode ser app-engine ou backend-services.
  • SERVICE: (opcional) o nome do serviço.
  • CONDITION: (opcional) Condições do IAM. Confira a seguir um exemplo de condição configurada com níveis de acesso:
expression="accessPolicies/12345678/accessLevels/iap_test_access_level" in request.auth.access_levels,title=iap-test-access-level,description=only access in weekdays

API

Esse método não é recomendado porque afeta toda a política de IAM de um recurso. Um erro pode remover a política de um recurso.

  1. Acesse as vinculações de políticas do IAM.

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d {} \
"https://iap.googleapis.com/v1/RESOURCE_NAME:getIamPolicy" -o iam_policy_bindings.json

    Substitua o RESOURCE_NAME pelo RESOURCE_NAME que você recebeu em uma etapa anterior.

  2. No arquivo iam_policy_bindings.json que você recebeu na etapa anterior, remova as linhas de versão e etag e adicione a vinculação que você quer adicionar ao identificador principal. Para mais informações, consulte Noções básicas sobre políticas de permissão.

    {
  "bindings": [
    {
      // existing bindings
    },
    {
      "role": "roles/iap.httpsResourceAccessor",
      "members": [
      "principal://iam.googleapis.com/locations/global/workforcePools/iap-test-pool/subject/iap-test-subject"
      ],
      "condition": {
        "expression": "\"accessPolicies/12345678/accessLevels/iap_test_access_level\" in request.auth.access_levels",
        "title": "iap-test-access-level",
        "description": "only access in week days"
      }
    }
  ]
}

  3. Atualize as vinculações de política do IAM.

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d "{"policy":$(cat iam_policy_bindings.json)}" \
"https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"

    Substitua o RESOURCE_NAME pelo RESOURCE_NAME que você recebeu em uma etapa anterior.

Consulte GetIamPolicy e SetIamPolicy para mais informações.

(Opcional) Configurar o acesso baseado no contexto

Também é possível configurar regras de acesso com base no contexto para autorização avançada.

Para configurar os níveis de acesso, consulte Criar e aplicar níveis de acesso. Os níveis de acesso com base nas informações do dispositivo não estão disponíveis ao usar a Federação de identidade de colaboradores. Ainda é possível usar níveis de acesso baseados no contexto da solicitação com condições de endereço IP, hora e data.

Limitações ao trabalhar com pools de força de trabalho

  • Para cada aplicativo com suporte ao IAP, só é possível configurar um pool de força de trabalho, que pode conter apenas um provedor.
  • O pool de colaboradores, o ID e a chave secreta do cliente OAuth e os aplicativos ativados para o IAP precisam estar na mesma organização.
  • Os níveis de acesso para informações relacionadas ao dispositivo não são compatíveis.
  • Somente as seguintes configurações de configurações do IAP são aceitas:
  • Não é possível fazer o acesso programático com a federação de identidade da força de trabalho.