Autentica usuarios con Cuentas de Google

En esta página, se explica cómo implementar una aplicación de entorno flexible o estándar de App Engine y cómo protegerla con Identity-Aware Proxy (IAP). En la guía de inicio rápido, se incluye un código de muestra para una aplicación web de entorno estándar de App Engine que verifica el nombre de un usuario que accedió a ella. En esta guía de inicio rápido, se usa Cloud Shell para clonar y también implementar la aplicación de muestra. Puedes usarla a fin de habilitar IAP para tu aplicación en el entorno estándar o entorno flexible de App Engine.

Si tienes pensado publicar recursos desde una red de distribución de contenidos (CDN), consulta la guía de prácticas recomendadas para obtener información importante.

Cuando una aplicación de App Engine consta de varios servicios, es posible configurar diferentes permisos de IAP en los distintos servicios, lo que incluye hacer que solo algunos de los servicios sean de acceso público y, a su vez, mantener protegidos a otros.

Para seguir la guía paso a paso sobre esta tarea directamente en la Google Cloud consola, haz clic en Guiarme:

Guiarme

Antes de comenzar

Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Para habilitar IAP para App Engine, debes configurar la instancia de App Engine. Si aún no configuraste tu instancia de App Engine, consulta Implementa App Engine para obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios externos a tu organización, consulta cómo configurar clientes de OAuth personalizados.

Nota: La capacidad de autenticar usuarios con un cliente de OAuth administrado por Google está disponible en versión preliminar.

Roles obligatorios

Si quieres obtener los permisos que necesitas para autenticar usuarios con Cuentas de Google, pídele a tu administrador que te otorgue el el rol de IAM de administrador de políticas de IAP (roles/iap.policyAdmin) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Habilita IAP

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la Google Cloud consola.

Archivo de inclusión dinámico

Si aún no has configurado la pantalla de consentimiento de OAuth para tu proyecto, se te solicitará hacerlo. Para configurar la pantalla de consentimiento de OAuth, consulta Configura tu pantalla de consentimiento de OAuth.

Configura el acceso de IAP

Ve a la página Identity-Aware Proxy.
Ir a la página Identity-Aware Proxy
Selecciona el proyecto que deseas proteger con IAP.
Selecciona la casilla de verificación junto al recurso al que deseas otorgar acceso.
En el panel de la derecha, haz clic en Agregar principal.
En el cuadro de diálogo Agregar principales que aparece, ingresa las direcciones de correo electrónico de los grupos o personas a quienes se debe asignar la función Usuario de app web protegida con IAP para el proyecto.
Los siguientes tipos de principales pueden tener este rol:
- Cuenta de Google: usuario@gmail.com
- Grupo de Google: administradores@googlegroups.com
- Cuenta de servicio: servidor@ejemplo.gserviceaccount.com
- Dominio de Google Workspace: example.com
Asegúrate de agregar una Cuenta de Google a la que tengas acceso.
En la lista desplegable Funciones, selecciona Cloud IAP > Usuario de aplicación web protegida con IAP.
Haz clic en Guardar.

Activa IAP

En la página Identity-Aware Proxy, en Aplicaciones, busca la aplicación a la que deseas restringir el acceso. Para activar IAP para un recurso,
En la ventana Activar IAP que aparece, haz clic en Activar para confirmar que deseas que IAP proteja tu recurso. Después de activar IAP, se requieren credenciales de acceso para todas las conexiones a tu balanceador de cargas. Solo se otorgará acceso a las principales con el rol Usuario de la aplicación web protegida con IAP (roles/iap.httpsResourceAccessor) en el proyecto.

gcloud

Antes de configurar tu IAP y tu proyecto, necesitas una versión actualizada de la gcloud CLI. Para obtener instrucciones sobre cómo instalar la CLI de gcloud, consulta Instala la CLI de gcloud.

Para autenticarte, usa Google Cloud CLI y ejecuta el siguiente comando.
```
gcloud auth login
```
Haz clic en la URL que aparece y accede.
Después de acceder, copia el código de verificación que aparece y pégalo en la línea de comandos.
Ejecuta el siguiente comando para especificar el proyecto que contiene las aplicaciones que deseas proteger con IAP.
```
gcloud config set project PROJECT_ID
```

Para habilitar IAP, ejecuta el siguiente comando.

gcloud iap web enable --resource-type=app-engine --versions=version

Agrega al proyecto las principales que deben tener el rol de usuario de aplicación web protegida con IAP.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Reemplaza PROJECT_ID con el ID del proyecto.
- Reemplaza PRINCIPAL_IDENTIFIER por los principales necesarios. Puede ser un tipo de dominio, grupo, cuenta de servicio o usuario. Por ejemplo, user:myemail@example.com.

Después de habilitar IAP, puedes usar la CLI de gcloud para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.

API

Ejecuta el siguiente comando para preparar un archivo settings.json.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Ejecuta el siguiente comando para habilitar la IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Después de habilitar IAP, puedes usar Google Cloud CLI para modificar la política de acceso de IAP con el rol de IAM roles/iap.httpsResourceAccessor. Obtén más información sobre cómo administrar funciones y permisos.

Nota: Cuando una aplicación de App Engine consta de varios servicios, para que algunos puedan ser de acceso público y mantener otros restringir, habilitar IAP en toda la aplicación y, luego, otorgar la función de Usuario de aplicación web protegida con IAP a allUsers o allAuthenticatedUsers en los servicios que deben ser públicos.

Acceso basado en roles: Solo se otorga acceso a las principales con el rol Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor) en este proyecto. El acceso a las aplicaciones protegidas por IAP no se otorga automáticamente, incluso a los roles con permisos extensos, como Owner o Editor.

Prueba la autenticación de usuarios

Una vez que se otorga el rol, las principales pueden acceder a la app después de autenticarse con IAP. Accede a la URL de la app desde una Cuenta de Google a la que se le otorgó IAP con el rol Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor).
Usa una ventana de incógnito en Chrome para acceder a la aplicación y cuando se te solicite. Los usuarios a los que se les otorga el rol Usuario de aplicación web protegida con IAP y que se autenticaron correctamente pueden acceder a la app. Los usuarios a los que no se les otorga el rol requerido o que no se autentican no pueden acceder a la app.

¿Qué sigue?

Aprende cómo obtener la identidad del usuario y desarrollar tu propia aplicación de App Engine.