Auf dieser Seite wird beschrieben, wie Sie Identity-Aware Proxy (IAP) für die Verwendung der Mitarbeiteridentitätsföderation konfigurieren.
Wenn Sie die Mitarbeiteridentitätsföderation mit IAP konfigurieren, können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um eine Gruppe von Nutzern, z. B. Mitarbeiter, Partner und Auftragnehmer, mit Identity and Access Management (IAM) zu authentifizieren und zu autorisieren. So können die Nutzer sicher auf Dienste zugreifen, die in Google Cloud oder lokal bereitgestellt werden.
Wenn Sie IAP mit der Mitarbeiteridentitätsföderation konfigurieren, können Sie in Bezug auf Ihre mit IAP gesicherten Anwendungen Folgendes tun:
- Leiten Sie einen Endnutzer zur Anmeldung an einen externen IdP wie Okta weiter.
- Konfigurieren Sie eine Anmeldesitzung zwischen 15 Minuten und 12 Stunden.
- Erlauben Sie nur bestimmten Endnutzern oder Endnutzersätzen in einem IdP den Zugriff auf Ihre Anwendung.
- Geben Sie den Kontext an, unter dem ein Endnutzer auf eine Anwendung zugreifen kann. So können Sie beispielsweise den Zugriff nur zu einer bestimmten Tageszeit erlauben.
Sie können IAP mit der Mitarbeiteridentitätsföderation für alle vorhandenen Ressourcen und Load-Balancer verwenden, die von IAP unterstützt werden.
IAP mit der Mitarbeiteridentitätsföderation für eine Anwendung konfigurieren
Das Konfigurieren von IAP mit der Mitarbeiteridentitätsföderation umfasst die folgenden Hauptaufgaben:
- Personalpool und Anbieter einrichten
- Erstellen Sie eine OAuth-Client-ID und ein Secret.
- Aktivieren Sie IAP und konfigurieren Sie es für die Verwendung der Mitarbeiteridentitätsföderation.
Personalpool und Anbieter einrichten
Folgen Sie zum Einrichten eines Personalpools und Anbieters der Anleitung unter Mitarbeiteridentitätsföderation. Informationen zum Festlegen der Sitzungsdauer finden Sie unter IAP mit Sitzungen der Mitarbeiteridentitätsföderation verwalten.
Wenn Sie Google Cloud eine E-Mail-Adresse eines externen Identitätsanbieters zuordnen möchten, müssen Sie Ihrem Personalpoolanbieter eine Attributzuordnung für google.email
hinzufügen.
Beispiel: google.email=assertion.email
.
OAuth-Client-ID und -Secret erstellen
Folgen Sie der Anleitung zum Erstellen einer OAuth-Client-ID und eines OAuth-Clientschlüssels in einem Projekt in derselben Organisation wie der Personalpool, den Sie für diese Konfiguration verwenden werden. Das Projekt muss nicht dasselbe Projekt sein, in dem sich die mit IAP gesicherte Ressource befindet. So erstellst du die OAuth-Client-ID und den OAuth-Clientschlüssel:
Verwenden Sie beim Erstellen der Client-ID einen Platzhalter für den Weiterleitungs-URI. Nachdem du die Client-ID erstellt hast, musst du
describe
einen OAuth-Client ausführen, um die generierteclientID
abzurufen.Wenn
clientID
installiert ist, führeupdate
einen OAuth-Client aus, umallowed-redirect-uris
aufhttps://iap.googleapis.com/v1/oauth/clientIds/$CLIENT_ID:handleRedirect
zu aktualisieren.Dabei ist
CLIENT_ID
der im vorherigen Schritt abgerufeneclientID
.Nachdem du den Clientschlüssel erstellt hast, führe
describe
-OAuth-Clientanmeldedaten aus, um die generierteclientSecret
abzurufen.
Speichern Sie die
clientId
undclientSecret
, da Sie sie in späteren Schritten benötigen.
IAP aktivieren, um die Mitarbeiteridentitätsföderation zu verwenden
Console
- Öffnen Sie in der Google Cloud Console die Seite „IAP“.
Zur Seite „IAP“ - Wählen Sie ein Projekt aus. Das Projekt muss sich in derselben Organisation wie der zuvor erstellte Personalpool befinden. Das Projekt muss nicht das Projekt sein, in dem Sie die OAuth-Client-ID und das OAuth-Secret erstellt haben.
- Klicken Sie auf den Tab Applications (Anwendungen) und suchen Sie die Anwendung, für die Sie den Zugriff über IAP einschränken möchten.
- Stellen Sie den Schieberegler in der Spalte "IAP" auf Ein.
gcloud
Wenn Sie IAP über die gcloud CLI aktivieren möchten, folgen Sie den Schritten für den entsprechenden Dienst:
API
Erstellen Sie eine
settings.json
-Datei.cat << EOF > settings.json { "iap": { "enabled":true, } } EOF
Aktivieren Sie IAP in App Engine.
curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @settings.json \ "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap.enabled"
Verwenden Sie die folgende URL, um IAP in Compute Engine zu aktivieren:
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME?updateMask=iap.enabled
.
IAP-Einstellungen aktualisieren
Wenn Sie IAP für die Verwendung der Mitarbeiteridentitätsföderation konfigurieren möchten, müssen Sie die folgenden Einstellungen konfigurieren:
WorkforceIdentitySettings
: Die zuvor erstellte OAuth-Client-ID und das OAuth-Secret.IdentitySources
: Die Identitätsquelle.
Weitere Informationen finden Sie unter IAP APIs.
gcloud
Erstellen Sie mit dem folgenden Beispiel als Referenz eine
iap_settings.yaml
-Datei.CLIENT_ID=clientId CLIENT_SECRET=clientSecret WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool cat <<EOF > iap_settings.yaml access_settings: identity_sources: ["WORKFORCE_IDENTITY_FEDERATION"] workforce_identity_settings: workforce_pools: ["$WORKFORCE_POOL_NAME"] oauth2: client_id: "$CLIENT_ID" client_secret: "$CLIENT_SECRET" EOF
Führen Sie den folgenden Befehl aus, um die IAP-Einstellungen für Ihre Ressource zu aktualisieren.
gcloud iap settings set iap_settings.yaml --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE
Ersetzen Sie Folgendes:
- PROJECT: die Projekt-ID
- RESOURCE_TYPE: Der IAP-Ressourcentyp. Der Ressourcentyp muss
app-engine
,iap_web
,compute
,organization
oderfolder
sein. - SERVICE: Der Dienstname. Dies ist sowohl für
app-engine
als auch fürcompute
optional.
Weitere Informationen zum Befehl finden Sie unter gcloud iap settings set.
API
Erstellen Sie mit dem folgenden Beispiel als Referenz eine
iap_settings.json
-Einstellungsdatei.CLIENT_ID=clientId CLIENT_SECRET=clientSecret WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool cat <<EOF > iap_settings.json { "access_settings": { "identity_sources": ["WORKFORCE_IDENTITY_FEDERATION"], "workforce_identity_settings": { "workforce_pools": ["$WORKFORCE_POOL_NAME"], "oauth2": { "client_id": "$CLIENT_ID", "client_secret": "$CLIENT_SECRET", } } } } EOF
Verwenden Sie die gcloud CLI, um den Namen der Ressource abzurufen, und kopieren Sie dann das
RESOURCE_NAME
aus der Ausgabe, da Sie es im folgenden Schritt benötigen.gcloud iap settings get \ --project=PROJECT \ --resource-type=RESOURCE_TYPE \ --service=SERVICE
Ersetzen Sie Folgendes:
- PROJECT: die Projekt-ID
- RESOURCE_TYPE: Der IAP-Ressourcentyp. Der Ressourcentyp muss
app-engine
,iap_web
,compute
,organization
oderfolder
sein. - SERVICE: Der Dienstname. Dies ist sowohl für
app-engine
als auch fürcompute
optional.
Ersetzen Sie
RESOURCE_NAME
im folgenden Befehl durch denRESOURCE_NAME
aus dem vorherigen Schritt.curl -X PATCH \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d @iap_settings.json \ "https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.identitySources,iapSettings.accessSettings.workforceIdentitySettings.workforcePools,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientId,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientSecret"
Zugriff auf mit IAP gesicherte Ressourcen gewähren
Für den Zugriff auf eine mit IAP gesicherte Ressource müssen Endnutzer die Rolle Nutzer von IAP-gesicherten Web-Apps für die Ressource haben. Sie können die Rolle „Nutzer von IAP-gesicherten Web-Apps“ einem einzelnen Nutzer (Hauptkonto) oder einer Gruppe von Nutzern (Hauptkontogruppe, die einer Gruppe, einem bestimmten Attribut oder einem gesamten Pool von Nutzern zugeordnet ist) zuweisen.
Der uneingeschränkte Zugriff auf mit IAP gesicherte Ressourcen wird nicht unterstützt.
Console
- Öffnen Sie in der Google Cloud Console die Seite „IAP“.
Zur Seite „IAP“ - Wählen Sie die Ressource aus, die Sie mit IAP sichern möchten.
- Klicken Sie auf Hauptkonto hinzufügen und fügen Sie dann die Hauptkonten-IDs der Gruppen oder Personen hinzu, denen Sie eine IAM-Rolle für die Ressource zuweisen möchten.
- Wählen Sie unter Rollen zuweisen die Option Nutzer von IAP-gesicherten Web-Apps aus.
- Klicken Sie auf Hinzufügen.
gcloud
Führen Sie den folgenden Befehl aus:
gcloud iap web add-iam-policy-binding \
--member=PRINCIPAL_IDENTIFIER \
--role='roles/iap.httpsResourceAccessor' \
--project=PROJECT_ID \
--resource-type=RESOURCE_TYPE \
--service=SERVICE \
--condition=CONDITION
Ersetzen Sie dabei Folgendes :
- PRINCIPAL_IDENTIFIER: die Hauptkennungen
- PROJECT_ID: die Projekt-ID
- RESOURCE_TYPE: Der IAP-Ressourcentyp kann
app-engine
oderbackend-services
sein. - SERVICE: Der Dienstname. Dies ist optional, wenn
resource-type
den Wertapp-engine
hat. - CONDITION: (optional) IAM-Bedingungen. Im Folgenden finden Sie ein Beispiel für eine Bedingung, die mit Zugriffsebenen konfiguriert wurde:
expression="accessPolicies/12345678/accessLevels/iap_test_access_level" in request.auth.access_levels,title=iap-test-access-level,description=only access in weekdays
API
Diese Methode wird nicht empfohlen, da sie für die gesamte IAM-Richtlinie einer Ressource gilt. Ein Fehler kann die Richtlinie aus einer Ressource entfernen.
Rufen Sie die vorhandenen IAM-Richtlinienbindungen ab.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d {} \ "https://iap.googleapis.com/v1/RESOURCE_NAME:getIamPolicy" -o iam_policy_bindings.json
Ersetzen Sie RESOURCE_NAME durch den RESOURCE_NAME, den Sie in einem vorherigen Schritt abgerufen haben.
Entfernen Sie in der Datei
iam_policy_bindings.json
, die Sie im vorherigen Schritt abgerufen haben, die Versions- und etag-Zeilen und fügen Sie die Bindung hinzu, die Sie für die Hauptkonto-ID hinzufügen möchten. Weitere Informationen finden Sie unter Informationen zu Zulassungsrichtlinien.{ "bindings": [ { // existing bindings }, { "role": "roles/iap.httpsResourceAccessor", "members": [ "principal://iam.googleapis.com/locations/global/workforcePools/iap-test-pool/subject/iap-test-subject" ], "condition": { "expression": "\"accessPolicies/12345678/accessLevels/iap_test_access_level\" in request.auth.access_levels", "title": "iap-test-access-level", "description": "only access in week days" } } ] }
Aktualisieren Sie die IAM-Richtlinienbindungen.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Accept: application/json" \ -H "Content-Type: application/json" \ -d "{"policy":$(cat iam_policy_bindings.json)}" \ "https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"
Ersetzen Sie RESOURCE_NAME durch den RESOURCE_NAME, den Sie in einem vorherigen Schritt abgerufen haben.
Weitere Informationen finden Sie unter GetIamPolicy und SetIamPolicy.
Optional: Kontextsensitiven Zugriff einrichten
Optional können Sie Regeln für den kontextsensitiven Zugriff für die erweiterte Autorisierung einrichten.
Informationen zum Einrichten von Zugriffsebenen finden Sie unter Zugriffsebenen erstellen und anwenden. Auf Geräteinformationen basierende Zugriffsebenen sind nicht verfügbar, wenn die Mitarbeiteridentitätsföderation verwendet wird. Sie können weiterhin anfragekontextbasierte Zugriffsebenen mit Bedingungen für IP-Adresse sowie Uhrzeit und Datum verwenden.
Einschränkungen bei der Arbeit mit Personalpools
- IAP unterstützt nur einen Personalpool und der Personalpool kann nur einen Anbieter enthalten.
- Der Personalpool, die OAuth-Client-ID und das OAuth-Clientschlüssel sowie die IAP-fähigen Anwendungen müssen sich alle in derselben Organisation befinden.
- Zugriffsebenen für gerätebezogene Informationen werden nicht unterstützt.
- Es werden nur die folgenden IAP-Einstellungskonfigurationen unterstützt:
- Der programmatische Zugriff mit der Mitarbeiteridentitätsföderation wird nicht unterstützt.