Paso 4: Configurar Identity-Aware Proxy (IAP)

En este paso, debes configurar Identity-Aware Proxy (IAP) para aprovisionar una capa de autorización centralizada para la aplicación implementada en Cloud Run. Para ello, haz lo siguiente:

  1. Configura la pantalla de consentimiento de OAuth: la pantalla de consentimiento de OAuth es una petición que incluye un resumen de tu proyecto, sus políticas y los permisos de acceso solicitados. Al configurar la pantalla de consentimiento de OAuth de tu aplicación, defines qué está disponible para los usuarios y los revisores de aplicaciones, y también registras tu aplicación para poder publicarla más adelante. Para obtener más información sobre la pantalla de consentimiento de OAuth, consulta el artículo Configurar la pantalla de consentimiento de OAuth y elegir los permisos.

  2. Crea credenciales de acceso de OAuth: debes crear un ID de cliente de OAuth para tu aplicación y tu dominio, de forma que tu aplicación pueda llamar a las APIs necesarias. Para obtener más información sobre las credenciales de OAuth, consulta Crear credenciales de acceso.

  3. Habilita IAP en el balanceador de carga: usa el ID de cliente y el secreto de OAuth para habilitar IAP en el balanceador de carga que has creado para tu aplicación.

  4. Activa IAP: protege tu aplicación creando principales que puedan acceder a ella y, a continuación, activando IAP.

  1. En la Google Cloud consola, ve a la pantalla de consentimiento de OAuth.

    Ir a la pantalla de consentimiento de OAuth

  2. Seleccione uno de los siguientes tipos de usuario para su aplicación:

    • Externo: cualquier usuario con una cuenta de Google puede enviar solicitudes de autorización. Para completar este tutorial, te recomendamos que selecciones Externo.

    • Interno: solo los miembros de tu Google Cloud organización pueden enviar solicitudes de autorización a la aplicación.

  3. Haz clic en Crear.

  4. En la sección Dominios autorizados, haz clic en Añadir dominio y especifica el nombre de dominio utilizado durante la creación del certificado.

  5. En la sección Información de contacto del desarrollador, introduce tu dirección de correo electrónico.

  6. Haz clic en Guardar y continuar.

  7. En la página Ámbitos, haz clic en Guardar y continuar.

  8. Opcional: Si has seleccionado Externo como tipo de usuario, añade usuarios de prueba en la página Usuarios de prueba de la siguiente manera:

    1. Haz clic en Add users (Añadir usuarios).

    2. Introduce tu dirección de correo y la de cualquier otro usuario de prueba autorizado y, a continuación, haz clic en Guardar y continuar.

  9. Revisa el resumen del registro de tu aplicación. Para hacer cambios, haz clic en Editar. Si el registro de la aplicación es correcto, haz clic en Volver al panel de control.

Crear credenciales de acceso de OAuth

  1. En la Google Cloud consola, ve a Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y, a continuación, en ID de cliente de OAuth.

  3. En la lista Tipo de aplicación, haz clic en Aplicación web.

  4. En el campo Name (Nombre), introduce gemini-streamlit-app.

  5. En la sección Orígenes de JavaScript autorizados, haz clic en Añadir URI y, a continuación, introduce el siguiente URI:

    https://DOMAIN_NAME

    Sustituye DOMAIN_NAME por el nombre de dominio que se usó durante la creación del certificado.

  6. Haz clic en Crear.

    Aparecerá la pantalla Cliente de OAuth creado, que muestra el ID de cliente y el secreto de cliente.

  7. Copia el ID de cliente y el secreto de cliente. Necesitarás estos datos en el siguiente paso del tutorial.

Habilitar IAP en el balanceador de carga

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. En el terminal de Cloud Shell, ejecuta el siguiente comando:
    
      gcloud compute backend-services update gemini-streamlit-app-backend \
      --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
      --global

    Sustituye lo siguiente:

    • CLIENT_ID: el ID de cliente de OAuth de las credenciales de OAuth que acabas de crear.
    • CLIENT_SECRET: el secreto de cliente de OAuth de las credenciales de OAuth que acabas de crear.

Configurar y usar compras en la aplicación

  1. Ve a la página Identity-Aware Proxy.

    Ir a la página Identity-Aware Proxy

  2. Selecciona el proyecto.

  3. Selecciona la casilla situada junto a gemini-streamlit-app-backend.

  4. Haz clic en Añadir principal.

  5. Introduce los datos en los siguientes campos:

    • Nuevos principales: introduce las direcciones de correo electrónico de los grupos o usuarios a los que quieras dar acceso a tu aplicación. Un principal puede ser cualquiera de los siguientes elementos:

      • Cuenta de Google

      • Grupo de Google

      • Cuenta de servicio

      • Dominio de Google Workspace

      Asegúrate de incluir una cuenta de Google a la que tengas acceso.

  6. En la lista Rol, selecciona Cloud IAP > Usuario de aplicaciones web protegidas mediante IAP.

  7. Haz clic en Guardar.

  8. En la página Identity-Aware Proxy, en Aplicaciones, haz clic en el interruptor IAP para activarlo en la fila correspondiente al recurso gemini-streamlit-app-backend.

  9. En la ventana Activar compras en aplicaciones que aparece, marca la casilla para confirmar que has leído los requisitos de configuración y que has configurado tu backend en consecuencia.

  10. Haz clic en Activar. Una vez que hayas activado IAP, se requerirán credenciales de inicio de sesión para todas las conexiones a tu balanceador de carga. Solo se concede acceso a las cuentas que tienen el rol Usuario de aplicaciones web protegidas mediante IAP en el proyecto.

Anterior
Crear un balanceador de carga
Siguiente
Probar la aplicación protegida mediante IAP