A partir de 29 de abril de 2025, os modelos Gemini 1.5 Pro e Gemini 1.5 Flash não estarão disponíveis em projetos que não os usaram antes, incluindo novos projetos. Para mais detalhes, consulte Versões e ciclo de vida do modelo.
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Nesta etapa, você configura o Identity-Aware Proxy (IAP) para provisionar uma
camada de autorização centralizada para o app implantado no Cloud Run,
fazendo o seguinte:
Configure a tela de permissão OAuth: essa tela é um prompt que
inclui um resumo do seu projeto, suas políticas e os
escopos de acesso de autorização solicitados. Ao configurar a tela de consentimento do OAuth para
seu app, você define o que está disponível para usuários e revisores de apps e também
registra o app para poder publicá-lo mais tarde. Para saber mais sobre
a tela de consentimento OAuth, consulte
Configurar a tela de consentimento OAuth e escolher escopos.
Criar credenciais de acesso OAuth: é necessário criar um ID do cliente OAuth
para seu app e domínio, para que o app possa chamar as APIs necessárias. Para saber mais
sobre credenciais OAuth, consulte Criar credenciais de acesso.
Ative o IAP no balanceador de carga: use o ID do cliente OAuth e
um secret para ativar o IAP no balanceador de carga em que você criou
seu app.
Ative o IAP: proteja seu aplicativo criando
principais que podem acessar o aplicativo e ativar o IAP.
Configure a tela de consentimento OAuth
No console do Google Cloud, acesse a tela de permissão OAuth.
Selecione um dos seguintes tipos de usuário para seu app:
Externo: qualquer usuário com uma Conta do Google pode fazer solicitações de autorização. Para concluir este tutorial, recomendamos
selecionar Externo.
Interno: somente os membros da sua organização do Google Cloud podem fazer solicitações de autorização para o app.
Clique em Criar.
Na seção Domínios autorizados, em Adicionar domínio, especifique o nome de domínio usado durante a criação do certificado.
Na seção Informações de contato do desenvolvedor, insira seu endereço de e-mail.
Clique em Salvar e continuar.
Na página Escopos, clique em Salvar e continuar.
Opcional: se você selecionou Externo como o tipo de usuário, adicione usuários de teste na página Usuários de teste da seguinte maneira:
Clique em Add users.
Insira seu endereço de e-mail e os outros usuários de teste autorizados. Depois, clique em Salvar e continuar.
Analise o resumo do registro do app. Para fazer alterações, clique em Editar. Se o registro do app estiver correto, clique em Voltar ao painel.
At the bottom of the Google Cloud console, a
Cloud Shell
session starts and displays a command-line prompt. Cloud Shell is a shell environment
with the Google Cloud CLI
already installed and with values already set for
your current project. It can take a few seconds for the session to initialize.
No terminal do Cloud Shell, execute o comando a seguir:
Marque a caixa de seleção ao lado de gemini-streamlit-app-backend.
Clique em Adicionar principal.
Insira os detalhes nos seguintes campos:
Novos principais: insira os endereços de e-mail de grupos ou indivíduos para
conceder a eles acesso ao seu app. Qualquer uma das seguintes opções pode ser um principal:
Conta do Google
Grupo do Google
Conta de serviço
Domínio do Google Workspace
Inclua uma Conta do Google a que você tenha acesso.
Na lista Papel, selecione Cloud IAP > Usuário do app da Web protegido pelo IAP.
Clique em Salvar.
Na página do Identity-Aware Proxy, em Aplicativos, clique no botão de alternância do IAP para a posição de ativação na linha correspondente
para o recurso gemini-streamlit-app-backend.
Na janela Ativar IAP que aparece, marque a caixa de seleção para confirmar que você leu os requisitos de configuração e configurou o back-end de acordo com eles.
Clique em Ativar. Depois disso, será necessário usar credenciais de login para todas as conexões com o balanceador de carga.
Somente contas com o papel Usuário do app da Web protegido pelo IAP no projeto recebem o acesso.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[],[],null,["# Step 4: Configure Identity-Aware Proxy (IAP)\n\nIn this step, you configure Identity-Aware Proxy (IAP) to provision a\ncentralized authorization layer for the app deployed in Cloud Run, by\ndoing the following:\n\n1. **Configure the OAuth consent screen:** The OAuth consent screen is a prompt that\n includes a summary of your project, its policies, and the requested\n authorization scopes of access. By configuring the OAuth consent screen for\n your app, you define what is available to users and app reviewers, and also\n register your app so you can publish it later. To learn more about\n the OAuth consent screen, see\n [Configure the OAuth consent screen and choose scopes](https://developers.google.com/workspace/guides/configure-oauth-consent).\n\n2. **Create OAuth access credentials:** You need to create an OAuth client ID\n for your app and domain, so your app can call the required APIs. To learn more\n about OAuth credentials, see [Create access credentials](https://developers.google.com/workspace/guides/create-credentials).\n\n3. **Enable IAP on the load balancer**: Use the OAuth client ID and\n secret to enable IAP on the load balancer that you created for\n your app.\n\n4. **Turn on IAP**: Secure your app by creating\n principals who can access your app and then turning on IAP.\n\nConfigure the OAuth consent screen\n----------------------------------\n\n1. In the Google Cloud console, go to the **OAuth consent screen**.\n\n [Go to OAuth consent screen](https://console.cloud.google.com/apis/credentials/consent)\n2. Select one of the following user types for your app:\n\n - **External** : Any user with a Google Account can make authorization\n requests. For the purpose of completing this tutorial, we recommend\n selecting **External**.\n\n - **Internal**: Only members of your Google Cloud organization can make\n authorization requests to the app.\n\n3. Click **Create**.\n\n4. In the **Authorized domains** section, **Add domain**, and specify the domain name used during certificate creation.\n\n5. In the **Developer contact information** section, enter your email address.\n\n6. Click **Save and Continue**.\n\n7. On the **Scopes** page, click **Save and Continue**.\n\n8. Optional: If you selected **External** as the user type, add test users on the **Test users** page, as follows:\n\n 1. Click **Add users**.\n\n 2. Enter your email address and any other authorized test users, and then click **Save and continue**.\n\n9. Review your app registration summary. To make changes, click **Edit** . If the app registration looks OK, click **Back to dashboard**.\n\nCreate OAuth access credentials\n-------------------------------\n\n1. In the Google Cloud console, go to the **Credentials**.\n\n [Go to Credentials](https://console.cloud.google.com/apis/credentials)\n2. Click **Create credentials** and then click **OAuth client ID**.\n\n3. In the **Application type** list, click **Web application**.\n\n4. In the **Name** field, enter `gemini-streamlit-app`.\n\n5. In the **Authorized JavaScript origins** section, click **Add URI** and then\n enter the following URI:\n\n https://\u003cvar translate=\"no\"\u003eDOMAIN_NAME\u003c/var\u003e\n\n Replace \u003cvar translate=\"no\"\u003eDOMAIN_NAME\u003c/var\u003e with the domain name used during certificate creation.\n6. Click **Create**.\n\n The **Oauth client created** screen appears, displaying the **Client ID** and **Client secret**.\n7. Copy the **Client ID** and **Client secret**. You'll need details in the next step of the tutorial.\n\nEnable IAP on the load balancer\n-------------------------------\n\n1. In the Google Cloud console, activate Cloud Shell.\n\n [Activate Cloud Shell](https://console.cloud.google.com/?cloudshell=true)\n\n\n At the bottom of the Google Cloud console, a\n [Cloud Shell](/shell/docs/how-cloud-shell-works)\n session starts and displays a command-line prompt. Cloud Shell is a shell environment\n with the Google Cloud CLI\n already installed and with values already set for\n your current project. It can take a few seconds for the session to initialize.\n2. In the Cloud Shell terminal, run the following command: \n\n\n gcloud compute backend-services update gemini-streamlit-app-backend \\\n --iap=enabled,oauth2-client-id=\u003cvar label=\"client_id\" translate=\"no\"\u003eCLIENT_ID\u003c/var\u003e,oauth2-client-secret=\u003cvar label=\"client_secret\" translate=\"no\"\u003eCLIENT_SECRET\u003c/var\u003e \\\n --global\n \n Replace the following\n - \u003cvar translate=\"no\"\u003eCLIENT_ID\u003c/var\u003e: The OAuth client ID from the OAuth credentials that you just created.\n - \u003cvar translate=\"no\"\u003eCLIENT_SECRET\u003c/var\u003e: The OAuth client secret from the OAuth credentials that you just created.\n\nSet up and use IAP\n------------------\n\n| **Caution:** When IAP is turned off, a resource is accessible to anyone with the URL. Ensure that IAP is turned on, so that the resource is accessible only by the configured principals.\n\n1. Go to the **Identity-Aware Proxy** page.\n\n [Go to the Identity-Aware Proxy page](https://console.cloud.google.com/security/iap)\n2. Select your project.\n\n3. Select the checkbox next to `gemini-streamlit-app-backend`.\n\n4. Click **Add principal**.\n\n5. Enter the details in the following fields:\n\n - **New principals**: Enter the email addresses of groups or individuals to\n grant them access to your app. Any of the following can be a principal:\n\n - Google Account\n\n - Google Group\n\n - Service account\n\n - Google Workspace domain\n\n Ensure that you include a Google Account that you have access to.\n6. In the **Role** list, select **Cloud IAP** \\\u003e **IAP-secured Web App User**.\n\n7. Click **Save**.\n\n8. On the **Identity-Aware Proxy** page, under **Applications** , click\n the **IAP** toggle to the on position in the row corresponding\n to the `gemini-streamlit-app-backend` resource.\n\n9. In the **Turn on IAP** window that appears, select the checkbox to acknowledge that you've read the configuration requirements and configured your backend accordingly.\n\n10. Click **Turn on** . After you turn on\n IAP, it requires login credentials for all connections to your load balancer.\n Only accounts with the **IAP-Secured Web App User** role on the project are granted\n given access."]]
