Autenticare gli utenti con gli Account Google

Questa pagina illustra la procedura di deployment di un'applicazione dell'ambiente standard o flessibile di App Engine e la sua protezione con Identity-Aware Proxy (IAP). La guida rapida include codice campione per un'app web dell'ambiente standard di App Engine che verifica il nome di un utente che ha eseguito l'accesso. Questa guida rapida utilizza Cloud Shell per clonare ed eseguire il deployment dell'applicazione di esempio. Puoi utilizzare questa guida rapida per abilitare IAP per la tua app dell'ambiente standard di App Engine o dell'ambiente flessibile di App Engine.

Se prevedi di pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.

Quando un'applicazione App Engine è composta da più servizi, è possibile configurare autorizzazioni IAP diverse sui diversi servizi, ad esempio rendere accessibili pubblicamente solo alcuni servizi mentre mantenendo protetti gli altri.

Per seguire le indicazioni dettagliate per questa attività direttamente nella Google Cloud console, fai clic su Procedura guidata:

Procedura guidata

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  7. Verify that billing is enabled for your Google Cloud project.

  8. Per abilitare IAP per App Engine, devi configurare l' istanza di App Engine. Se non hai ancora configurato l'istanza di App Engine, consulta Eseguire il deployment di App Engine per una procedura completa.

    IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all' applicazione abilitata per IAP. Se vuoi consentire l'accesso agli utenti esterni alla tua organizzazione, consulta Configurare client OAuth personalizzati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per autenticare gli utenti con gli Account Google, chiedi all'amministratore di concederti il ruolo IAM Amministratore delle policy IAP (roles/iap.policyAdmin) sul tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilitare IAP

Console

Il client OAuth gestito da Google non è disponibile quando si abilita IAP utilizzando la Google Cloud console.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

  1. Go to the Identity-Aware Proxy page.
    Go to the Identity-Aware Proxy page
  2. Select the project you want to secure with IAP.
  3. Select the checkbox next to the resource you want to grant access to.
  4. On the right side panel, click Add principal.
  5. In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.

    The following kinds of principals can have this role:

    • Google Account: user@gmail.com
    • Google Group: admins@googlegroups.com
    • Service account: server@example.gserviceaccount.com
    • Google Workspace domain: example.com

    Make sure to add a Google Account that you have access to.

  6. Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
  7. Click Save.

Turning on IAP

  1. On the Identity-Aware Proxy page, under Applications, find the application you want to restrict access to. To turn on IAP for a resource,
  2. In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only principals with the IAP-Secured Web App User (roles/iap.httpsResourceAccessor) role on the project will be given access.

gcloud

Prima di configurare il progetto e IAP, devi avere una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, vedi Installa gcloud CLI.

  1. Per eseguire l'autenticazione, utilizza Google Cloud CLI ed esegui il seguente comando. 
    gcloud auth login
  2. Fai clic sull'URL visualizzato ed esegui l'accesso.
  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
  4. Esegui il seguente comando per specificare il progetto che contiene le applicazioni che vuoi proteggere con IAP. 
    gcloud config set project PROJECT_ID
  5. Per abilitare IAP, esegui il seguente comando. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Aggiungi le entità che devono avere il ruolo Utente applicazione web con protezione IAP al progetto. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Sostituisci PROJECT_ID con l'ID progetto.
    • Sostituisci PRINCIPAL_IDENTIFIER con le entità necessarie. Può trattarsi di un tipo di dominio, gruppo, serviceAccount o utente. Ad esempio, user:myemail@example.com.

Dopo aver abilitato IAP, puoi utilizzare gcloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

API

  1. Run the following command to prepare a settings.json file. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Run the following command to enable IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Testare l'autenticazione dell'utente di test

  1. Una volta concesso il ruolo, le entità possono accedere all'app dopo l'autenticazione con IAP. Accedi all'URL dell'app da un Account Google a cui è stato concesso IAP con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor).

  2. Utilizza una finestra in modalità incognito su Chrome per raggiungere l'app e accedere quando richiesto. Gli utenti a cui è stato concesso il ruolo Utente applicazione web con protezione IAP e che hanno eseguito l'autenticazione possono accedere all'app. Gli utenti a cui non è stato concesso il ruolo richiesto o che non riescono ad autenticarsi non possono accedere all'app.

Passaggi successivi