Autenticare gli utenti con gli Account Google

Questa pagina illustra la procedura di deployment di un'applicazione dell'ambiente standard o flessibile di App Engine e la sua protezione con Identity-Aware Proxy (IAP). La guida rapida include codice campione per un'app web dell'ambiente standard di App Engine che verifica il nome di un utente che ha eseguito l'accesso. Questa guida rapida utilizza Cloud Shell per clonare ed eseguire il deployment dell'applicazione di esempio. Puoi utilizzare questa guida rapida per abilitare IAP per la tua app dell'ambiente standard di App Engine o dell'ambiente flessibile di App Engine.

Se prevedi di pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.

Quando un'applicazione App Engine è composta da più servizi, è possibile configurare autorizzazioni IAP diverse sui diversi servizi, ad esempio rendere accessibili pubblicamente solo alcuni servizi mentre mantenendo protetti gli altri.

Per seguire le indicazioni dettagliate per questa attività direttamente nella Google Cloud console, fai clic su Procedura guidata:

Procedura guidata

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  7. Verify that billing is enabled for your Google Cloud project.

  8. Per abilitare IAP per App Engine, devi configurare l' istanza di App Engine. Se non hai ancora configurato l'istanza di App Engine, consulta Eseguire il deployment di App Engine per una procedura completa.

    IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all' applicazione abilitata per IAP. Se vuoi consentire l'accesso agli utenti esterni alla tua organizzazione, consulta Configurare client OAuth personalizzati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per autenticare gli utenti con gli Account Google, chiedi all'amministratore di concederti il ruolo IAM Amministratore delle policy IAP (roles/iap.policyAdmin) sul tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilitare IAP

Console

Il client OAuth gestito da Google non è disponibile quando si abilita IAP utilizzando la Google Cloud console.

File di inclusione dinamica

Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurazione della schermata per il consenso OAuth.

Configurazione dell'accesso IAP

  1. Vai alla pagina Identity-Aware Proxy.
    Vai alla pagina Identity-Aware Proxy
  2. Seleziona il progetto che vuoi proteggere con IAP.
  3. Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
  4. Nel riquadro laterale a destra, fai clic su Aggiungi entità.
  5. Nella finestra di dialogo Aggiungi entità visualizzata, inserisci gli indirizzi email dei gruppi o delle persone che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.

    I seguenti tipi di entità possono avere questo ruolo:

    • Account Google: user@gmail.com
    • Gruppo Google: admins@googlegroups.com
    • Service account: server@example.gserviceaccount.com
    • Dominio Google Workspace: example.com

    Assicurati di aggiungere un Account Google a cui hai accesso.

  6. Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
  7. Fai clic su Salva.

Attivazione di IAP

  1. Nella pagina Identity-Aware Proxy, nella sezione Applicazioni, trova l'applicazione a cui vuoi limitare l'accesso. Per attivare IAP per una risorsa,
  2. Nella finestra Attiva IAP visualizzata, fai clic su Attiva per confermare che vuoi che IAP protegga la tua risorsa. Dopo aver attivato IAP, sono necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo le entità con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor) nel progetto avranno accesso.

gcloud

Prima di configurare il progetto e gli acquisti in-app, devi disporre di una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.

  1. Per l'autenticazione, utilizza Google Cloud CLI ed esegui il comando seguente. 
    gcloud auth login
  2. Fai clic sull'URL visualizzato e accedi.
  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
  4. Esegui il seguente comando per specificare il progetto contenente le applicazioni che vuoi proteggere con IAP. 
    gcloud config set project PROJECT_ID
  5. Per abilitare gli acquisti in-app, esegui il seguente comando. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Aggiungi al progetto le entità che devono avere il ruolo Utente applicazione web con protezione IAP. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Sostituisci PROJECT_ID con l'ID progetto.
    • Sostituisci PRINCIPAL_IDENTIFIER con i principali necessari. Può trattarsi di un tipo di dominio, gruppo, account di servizio o utente. Ad esempio, user:myemail@example.com.

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando gcloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

API

  1. Esegui il comando seguente per preparare un file settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Esegui il comando seguente per attivare l'IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando Google Cloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

Testare l'autenticazione dell'utente di test

  1. Una volta concesso il ruolo, le entità possono accedere all'app dopo l'autenticazione con IAP. Accedi all'URL dell'app da un Account Google a cui è stato concesso IAP con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor).

  2. Utilizza una finestra in modalità incognito su Chrome per raggiungere l'app e accedere quando richiesto. Gli utenti a cui è stato concesso il ruolo Utente applicazione web con protezione IAP e che hanno eseguito l'autenticazione possono accedere all'app. Gli utenti a cui non è stato concesso il ruolo richiesto o che non riescono ad autenticarsi non possono accedere all'app.

Passaggi successivi