Passaggio 4: configura Identity-Aware Proxy (IAP)

In questo passaggio, configurerai Identity-Aware Proxy (IAP) per il provisioning di un di autorizzazione centralizzata per l'app di cui è stato eseguito il deployment in Cloud Run, nel seguente modo:

  1. Configura la schermata per il consenso OAuth: la schermata per il consenso OAuth è una richiesta che include un riepilogo del progetto, dei suoi criteri e degli ambiti di autorizzazione di accesso richiesti. Configurando la schermata per il consenso OAuth per la tua app, stabilisci cosa rendere disponibile per gli utenti e i revisori di app, nonché registrare la tua app per poterla pubblicare in un secondo momento. Per scoprire di più sulla schermata per il consenso OAuth, consulta Configurare la schermata per il consenso OAuth e scegliere gli ambiti.

  2. Crea credenziali di accesso OAuth:devi creare un ID client OAuth. per la tua app e il tuo dominio, in modo che la tua app possa chiamare le API richieste. Per scoprire di più Consulta l'articolo Creare credenziali di accesso per informazioni sulle credenziali OAuth.

  3. Abilita IAP sul bilanciatore del carico: utilizza l'ID client OAuth e secret per abilitare IAP sul bilanciatore del carico che hai creato la tua app.

  4. Attiva IAP: proteggi la tua app creando entità che possono accedere alla tua app e poi attivare IAP.

  1. Nella console Google Cloud, vai alla schermata di consenso OAuth.

    Vai alla schermata per il consenso OAuth

  2. Seleziona uno dei seguenti tipi di utenti per la tua app:

    • Esterno: qualsiasi utente con un Account Google può inviare richieste di autorizzazione. Ai fini del completamento di questo tutorial, ti consigliamo di selezionare Esterno.

    • Interno: solo i membri della tua organizzazione Google Cloud possono effettuare richieste di autorizzazione all'app.

  3. Fai clic su Crea.

  4. Nella sezione Domini autorizzati, Aggiungi dominio e specifica il nome di dominio utilizzato durante la creazione del certificato.

  5. Nella sezione Dati di contatto dello sviluppatore, inserisci il tuo indirizzo email.

  6. Fai clic su Salva e continua.

  7. Nella pagina Ambiti, fai clic su Salva e continua.

  8. (Facoltativo) Se hai selezionato Esterni come tipo di utente, aggiungi utenti di test nella pagina Utenti di test come segue:

    1. Fai clic su Add users (Aggiungi utenti).

    2. Inserisci il tuo indirizzo email e gli altri utenti di test autorizzati, quindi fai clic su Salva e continua.

  9. Esamina il riepilogo della registrazione dell'app. Per apportare modifiche, fai clic su Modifica. Se la registrazione dell'app sembra corretta, fai clic su Torna alla dashboard.

Crea credenziali di accesso OAuth

  1. Nella console Google Cloud, vai a Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi su ID client OAuth.

  3. Nell'elenco Tipo di applicazione, fai clic su Applicazione web.

  4. Nel campo Nome, inserisci gemini-streamlit-app.

  5. Nella sezione Origini JavaScript autorizzate, fai clic su Aggiungi URI, quindi inserisci il seguente URI:

    https://DOMAIN_NAME

    Sostituisci DOMAIN_NAME con il nome di dominio utilizzato durante la creazione del certificato.

  6. Fai clic su Crea.

    Viene visualizzata la schermata Client OAuth creato, con l'ID client e il Client secret.

  7. Copia il Client ID e il Client secret Avrai bisogno di informazioni dettagliate nel passaggio successivo del tutorial.

Abilita IAP sul bilanciatore del carico

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Nel terminale Cloud Shell, esegui il seguente comando:
    
      gcloud compute backend-services update gemini-streamlit-app-backend \
      --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET \
      --global

    Sostituisci quanto segue

    • CLIENT_ID: l'ID client OAuth delle credenziali OAuth che hai appena creato.
    • CLIENT_SECRET: il client secret OAuth delle credenziali OAuth che hai appena creato.

Configurare e utilizzare gli acquisti in-app

  1. Vai alla pagina Identity-Aware Proxy.

    Vai alla pagina di Identity-Aware Proxy

  2. Seleziona il progetto.

  3. Seleziona la casella di controllo accanto a gemini-streamlit-app-backend.

  4. Fai clic su Aggiungi entità.

  5. Inserisci i dettagli nei seguenti campi:

    • Nuove entità: inserisci gli indirizzi email di gruppi o singoli utenti a cui concedere loro l'accesso alla tua app. Un'entità può essere una delle seguenti:

      • Account Google

      • Gruppo Google

      • Service account

      • Dominio Google Workspace

      Assicurati di includere un Account Google a cui hai accesso.

  6. Nell'elenco Ruolo, seleziona Cloud IAP > Utente applicazione web con protezione IAP.

  7. Fai clic su Salva.

  8. Nella pagina Identity-Aware Proxy, in Applicazioni, fai clic su il pulsante di attivazione/disattivazione IAP nella riga corrispondente alla risorsa gemini-streamlit-app-backend.

  9. Nella finestra Attiva IAP visualizzata, seleziona la casella di controllo per confermare di aver letto i requisiti di configurazione e di aver configurato il backend di conseguenza.

  10. Fai clic su Attiva. Dopo l'attivazione IAP richiede le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo gli account con il ruolo Utente applicazione web con protezione IAP nel progetto ricevono l'accesso concesso.

Indietro
Crea un bilanciatore del carico
Avanti
Testa la tua app protetta da IAP