Autenticare gli utenti con gli Account Google

Questa pagina descrive la procedura per il deployment di un'applicazione dell'ambiente standard o flessibile di App Engine e la sua protezione con Identity-Aware Proxy (IAP). La guida rapida include codice campioneo per un'app web dell'ambiente standard di App Engine che verifica il nome di un utente che ha eseguito l'accesso. Questa guida rapida utilizza Cloud Shell per clonare ed eseguire il deployment dell'applicazione di esempio. Puoi utilizzare questa guida rapida per attivare IAP per la tua app per l'ambiente standard App Engine o l'ambiente flessibile App Engine.

Se prevedi di pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.

Quando un'applicazione App Engine è composta da più servizi, è possibile configurare diverse autorizzazioni IAP sui diversi servizi, ad esempio rendendo solo alcuni dei servizi accessibili pubblicamente mantenendo gli altri protetti.

Per seguire le indicazioni dettagliate per questa attività direttamente nella Google Cloud console, fai clic su Procedura guidata:

Procedura guidata

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

Prima di iniziare

Per abilitare IAP per App Engine, devi disporre di:

  • Un progetto della console Google Cloud con la fatturazione abilitata.

Se non hai ancora configurato l'istanza App Engine, consulta Deployment di App Engine per una procedura dettagliata completa.

IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all'applicazione abilitata per IAP-app. Se vuoi consentire l'accesso a utenti esterni all'organizzazione, consulta Abilitare IAP per applicazioni esterne.

Attivazione di IAP

Console

Il client OAuth gestito da Google non è disponibile quando abiliti IAP utilizzando la console Google Cloud .

🌐 Guida rapida: autenticare gli utenti con Account Google  |  Identity-Aware Proxy  |  Google CloudFile di inclusione dinamico - cloud.google.com

Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurare la schermata per il consenso OAuth.

Configurare l'accesso IAP

  1. Vai alla pagina Identity-Aware Proxy.
    Vai alla pagina di Identity-Aware Proxy
  2. Seleziona il progetto che vuoi proteggere con IAP.
  3. Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
  4. Nel riquadro laterale a destra, fai clic su Aggiungi entità.
  5. Nella finestra di dialogo Aggiungi entità che viene visualizzata, inserisci gli indirizzi email dei gruppi o delle persone che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.

    I seguenti tipi di entità possono avere questo ruolo:

    • Account Google: user@gmail.com
    • Gruppo Google: admins@googlegroups.com
    • Account di servizio: server@example.gserviceaccount.com
    • Dominio Google Workspace: example.com

    Assicurati di aggiungere un Account Google a cui hai accesso.

  6. Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
  7. Fai clic su Salva.

Attivazione di IAP

  1. Nella pagina Identity-Aware Proxy, in APPLICAZIONI, trova l'applicazione a cui vuoi limitare l'accesso. Per attivare IAP per una risorsa,
  2. Nella finestra Attiva IAP visualizzata, fai clic su Attiva per confermare che vuoi che la risorsa venga protetta da IAP. Dopo aver attivato IAP, sono necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo agli account con il ruolo Utente applicazione web con protezione IAP nel progetto verrà fornito l'accesso.

gcloud

Prima di configurare il progetto e gli acquisti in-app, devi disporre di una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.

  1. Per l'autenticazione, utilizza Google Cloud CLI ed esegui il comando seguente. 
    gcloud auth login
  2. Fai clic sull'URL visualizzato e accedi.
  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
  4. Esegui il seguente comando per specificare il progetto contenente le applicazioni che vuoi proteggere con IAP. 
    gcloud config set project PROJECT_ID
  5. Per abilitare gli acquisti in-app, esegui il seguente comando. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Aggiungi al progetto le entità che devono avere il ruolo Utente applicazione web con protezione IAP. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Sostituisci PROJECT_ID con l'ID progetto.
    • Sostituisci PRINCIPAL_IDENTIFIER con i principali necessari. Può trattarsi di un tipo di dominio, gruppo, account di servizio o utente. Ad esempio, user:myemail@example.com.

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando gcloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

API

  1. Esegui il comando seguente per preparare un file settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Esegui il comando seguente per attivare l'IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando Google Cloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

Testare l'autenticazione utente

  1. Accedi all'URL dell'app da un Account Google che hai aggiunto a IAP con il ruolo Utente applicazione web con protezione IAP come descritto sopra. Dovresti avere accesso senza limitazioni all'app.

  2. Utilizza una finestra in modalità incognito su Chrome per raggiungere l'app e accedere quando richiesto. Se provi ad accedere all'app con un account non autorizzato con il ruolo Utente app web protetta da IAP, verrà visualizzato un messaggio che ti comunica che non hai accesso.

Passaggi successivi