Esta página foi traduzida pela API Cloud Translation.

Configurar o IAP com a federação de identidade de colaboradores

Nesta página, mostramos como configurar o Identity-Aware Proxy (IAP) para usar a federação de identidade de colaboradores.

Ao configurar a federação de identidade de colaboradores com o IAP, é possível usar um provedor de identidade externo (IdP) para autenticar e autorizar uma força de trabalho (um grupo de usuários, como funcionários, parceiros e contratados) usando o Identity and Access Management (IAM), para que os usuários possam acessar com segurança os serviços implantados no Google Cloud ou no local.

Ao configurar o IAP com a federação de identidade de colaboradores, você pode fazer o seguinte em relação aos aplicativos protegidos pelo IAP:

Redirecione um usuário final para fazer login em um IdP externo, como o Okta.
Configure uma sessão de login entre 15 minutos e 12 horas.
Permita que apenas usuários finais específicos ou conjuntos de usuários finais em um IdP acessem seu aplicativo.
Especifique o contexto em que um usuário final pode acessar um aplicativo. Por exemplo, permita o acesso apenas durante um horário específico do dia.

É possível usar o IAP com a federação de identidade de colaboradores em todos os recursos e balanceadores de carga atuais compatíveis com o IAP.

Configurar o IAP com a federação de identidade de colaboradores para um aplicativo

A configuração do IAP com a federação de identidade de colaboradores inclui as seguintes tarefas principais:

Configurar um pool de força de trabalho e um provedor.
Criar um ID e uma chave secreta do cliente OAuth.
Ative o IAP e configure-o para usar a federação de identidade de colaboradores.

Configurar um pool de força de trabalho e um provedor

Para configurar um pool e um provedor de colaboradores, siga as instruções em Federação de identidade de colaboradores e, ao definir a duração da sessão, consulte Gerenciar o IAP com sessões de federação de identidade de colaboradores.

Se você quiser mapear um endereço de e-mail de um IdP de terceiros para o Google Cloud, adicione um mapeamento de atributos ao provedor do pool da força de trabalho para google.email. Exemplo: google.email=assertion.email.

Criar um ID e uma chave secreta do cliente OAuth

Siga as instruções para criar um ID e uma chave secreta do cliente OAuth em um projeto na mesma organização do pool da força de trabalho que você vai usar para essa configuração. O projeto não precisa ser o mesmo em que está o recurso protegido pelo IAP. Ao criar o ID e a chave secreta do cliente OAuth, faça o seguinte:
1. Use um marcador para o URI de redirecionamento ao criar o ID do cliente. Depois de criar o ID do cliente, execute describe um cliente OAuth para receber o clientID gerado.
2. Quando você tiver o clientID, execute update um cliente OAuth para atualizar allowed-redirect-uris para o seguinte: https://iap.googleapis.com/v1/oauth/clientIds/$CLIENT_ID:handleRedirect.
  
  Em que CLIENT_ID é o clientID recuperado na etapa anterior.
3. Depois de criar a chave secreta do cliente, execute describe as credenciais do cliente OAuth para receber o clientSecret gerado.
Salve clientId e clientSecret, porque você vai precisar deles nas próximas etapas.

Ativar o IAP para usar a federação de identidade da força de trabalho

Console

No console do Google Cloud, abra a página do IAP.
Acessar a página do IAP
Selecione um projeto. O projeto precisa estar na mesma organização do pool de funcionários criado anteriormente. O projeto não precisa ser aquele em que você criou o ID e a chave secreta do cliente OAuth.
Clique na guia Aplicativos e localize o aplicativo ao qual você quer restringir o acesso usando o IAP.
Na coluna "IAP", habilite a opção Ativado.

gcloud

Para usar a CLI gcloud e ativar o IAP, siga os procedimentos do serviço aplicável:

API

Crie um arquivo settings.json.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true,
 }
}
EOF

Ative o IAP no App Engine.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap.enabled"

Para ativar o IAP no Compute Engine, use o seguinte URL: https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME?updateMask=iap.enabled.

Atualizar as configurações do IAP

Para que o IAP use a federação de identidade de colaboradores, defina as seguintes configurações:

WorkforceIdentitySettings: o ID e a chave secreta do cliente OAuth criados anteriormente.
IdentitySources: a origem de identidade.

Para mais informações, consulte as APIs do IAP.

gcloud

Usando o exemplo a seguir como referência, crie um arquivo iap_settings.yaml.

CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.yaml
access_settings:
  identity_sources: ["WORKFORCE_IDENTITY_FEDERATION"]
  workforce_identity_settings:
    workforce_pools: ["$WORKFORCE_POOL_NAME"]
    oauth2:
      client_id: "$CLIENT_ID"
      client_secret: "$CLIENT_SECRET"
EOF

Execute o comando a seguir para atualizar as configurações do IAP para seu recurso.
```
gcloud iap settings set iap_settings.yaml --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE
```
Substitua:
- PROJECT: o ID do projeto.
- RESOURCE_TYPE: o tipo de recurso do IAP. O tipo de recurso precisa ser app-engine, iap_web, compute, organization ou folder.
- SERVICE: o nome do serviço. Isso é opcional para app-engine e compute.
Para detalhes sobre o comando, consulte gcloud iap settings set.

API

Usando o exemplo a seguir como referência, crie um arquivo de configurações iap_settings.json.

CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.json
{
   "access_settings": {
     "identity_sources": ["WORKFORCE_IDENTITY_FEDERATION"],
     "workforce_identity_settings": {
       "workforce_pools": ["$WORKFORCE_POOL_NAME"],
       "oauth2": {
         "client_id": "$CLIENT_ID",
         "client_secret": "$CLIENT_SECRET",
       }
    }
  }
}
EOF

Use a CLI gcloud para conseguir o nome do recurso e copie o RESOURCE_NAME da saída, porque você precisará dele na etapa a seguir.
```
gcloud iap settings get \
    --project=PROJECT \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE
```
Substitua:
- PROJECT: o ID do projeto.
- RESOURCE_TYPE: o tipo de recurso do IAP. O tipo de recurso precisa ser app-engine, iap_web, compute, organization ou folder.
- SERVICE: o nome do serviço. Isso é opcional para app-engine e compute.

Substitua RESOURCE_NAME no comando a seguir pelo RESOURCE_NAME da etapa anterior.

curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.identitySources,iapSettings.accessSettings.workforceIdentitySettings.workforcePools,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientId,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientSecret"

Conceder acesso a recursos protegidos pelo IAP

Para acessar um recurso protegido pelo IAP, os usuários finais precisam ter o papel Usuário do app da Web protegido pelo IAP no recurso. É possível conceder o papel de Usuário do app da Web protegido pelo IAP a um único usuário (principal) ou a um conjunto de usuários (conjunto principal, que é mapeado para um grupo, um atributo específico ou um pool inteiro de usuários).

O acesso irrestrito a recursos protegidos pelo IAP não é compatível.

Console

No console do Google Cloud, abra a página do IAP.
Acessar a página do IAP
Selecione o recurso que você quer proteger com o IAP.
Clique em Adicionar principal e adicione os identificadores principais dos grupos ou indivíduos a que você quer conceder um papel do IAM para o recurso.
Em Atribuir papéis, selecione Usuário do app da Web protegido pelo IAP.
Clique em Add.

gcloud

Execute o comando a seguir.

gcloud iap web add-iam-policy-binding \
    --member=PRINCIPAL_IDENTIFIER \
    --role='roles/iap.httpsResourceAccessor' \
    --project=PROJECT_ID \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE \
    --condition=CONDITION

Substitua o seguinte :

PRINCIPAL_IDENTIFIER: os identificadores principais.
PROJECT_ID: o ID do projeto.
RESOURCE_TYPE: o tipo de recurso do IAP, que pode ser app-engine ou backend-services.
SERVICE: o nome do serviço. Isso é opcional quando resource-type é app-engine.
CONDITION: (opcional) condições do IAM. Confira a seguir um exemplo de condição configurada com níveis de acesso:

expression="accessPolicies/12345678/accessLevels/iap_test_access_level" in request.auth.access_levels,title=iap-test-access-level,description=only access in weekdays

API

Esse método não é recomendado porque afeta toda a política do IAM de um recurso. Um erro pode remover a política de um recurso.

Consiga as vinculações de política do IAM.

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d {} \
"https://iap.googleapis.com/v1/RESOURCE_NAME:getIamPolicy" -o iam_policy_bindings.json

Substitua RESOURCE_NAME pelo RESOURCE_NAME que você recebeu em uma etapa anterior.

No arquivo iam_policy_bindings.json que você extraiu na etapa anterior, remova as linhas de versão e etag e adicione a vinculação que você quer adicionar ao identificador principal. Para mais informações, consulte Noções básicas sobre políticas de permissão.

{
  "bindings": [
    {
      // existing bindings
    },
    {
      "role": "roles/iap.httpsResourceAccessor",
      "members": [
      "principal://iam.googleapis.com/locations/global/workforcePools/iap-test-pool/subject/iap-test-subject"
      ],
      "condition": {
        "expression": "\"accessPolicies/12345678/accessLevels/iap_test_access_level\" in request.auth.access_levels",
        "title": "iap-test-access-level",
        "description": "only access in week days"
      }
    }
  ]
}

Atualizar as vinculações da política do IAM.

curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d "{"policy":$(cat iam_policy_bindings.json)}" \
"https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"

Substitua RESOURCE_NAME pelo RESOURCE_NAME que você recebeu em uma etapa anterior.

Consulte GetIamPolicy e SetIamPolicy para mais informações.

(Opcional) Configurar o acesso baseado no contexto

Também é possível configurar regras de acesso baseado no contexto para autorização avançada.

Para configurar níveis de acesso, consulte Como criar e aplicar níveis de acesso. Os níveis de acesso com base nas informações do dispositivo não estão disponíveis ao usar a federação de identidade de colaboradores. Ainda é possível usar níveis de acesso com base no contexto da solicitação com condições de endereço IP, hora e data.

Limitações ao trabalhar com pools de força de trabalho

O IAP aceita apenas um pool de força de trabalho, que só pode conter um provedor.
O pool de força de trabalho, o ID e a chave secreta do cliente OAuth e os aplicativos ativados para IAP precisam estar na mesma organização.
Os níveis de acesso a informações relacionadas ao dispositivo não são compatíveis.
Somente as seguintes configurações do IAP são compatíveis:
O acesso programático com a federação de identidade de colaboradores não é compatível.