Autenticare gli utenti con gli Account Google

Questa pagina ti guida nel deployment di un'applicazione dell'ambiente standard o flessibile di App Engine e nella sua protezione con Identity-Aware Proxy (IAP). La guida rapida include un codice campione per un'app web dell'ambiente standard di App Engine che verifica il nome di un utente che ha eseguito l'accesso. Questa guida rapida utilizza Cloud Shell per clonare ed eseguire il deployment dell'applicazione di esempio. Puoi utilizzare questa guida rapida per attivare IAP per la tua app dell'ambiente standard App Engine o dell'ambiente flessibile App Engine.

Se prevedi di pubblicare risorse da una rete CDN (Content Delivery Network), consulta la guida alle best practice per informazioni importanti.

Quando un'applicazione App Engine è costituita da più servizi, è possibile configurare diverse autorizzazioni IAP sui diversi servizi, ad esempio rendendo solo alcuni dei servizi accessibili pubblicamente mantenendo gli altri protetti.

Per seguire le indicazioni dettagliate per questa attività direttamente nella console Google Cloud , fai clic su Procedura guidata:

Procedura guidata

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  7. Verify that billing is enabled for your Google Cloud project.

  8. Per abilitare IAP per App Engine, devi configurare l'istanza App Engine. Se non hai ancora configurato l'istanza App Engine, consulta Deployment di App Engine per una procedura dettagliata completa.

    IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all'applicazione abilitata per IAP-app. Se vuoi consentire l'accesso a utenti esterni all'organizzazione, consulta Configurare client OAuth personalizzati.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per autenticare gli utenti con gli Account Google, chiedi all'amministratore di concederti il ruolo IAM IAP Policy Admin (roles/iap.policyAdmin) sul progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Attivazione di IAP

Console

Il client OAuth gestito da Google non è disponibile quando abiliti IAP utilizzando la console Google Cloud .

File di inclusione dinamica

Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurazione della schermata per il consenso OAuth.

Configurazione dell'accesso IAP

  1. Vai alla pagina Identity-Aware Proxy.
    Vai alla pagina Identity-Aware Proxy
  2. Seleziona il progetto che vuoi proteggere con IAP.
  3. Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
  4. Nel riquadro laterale a destra, fai clic su Aggiungi entità.
  5. Nella finestra di dialogo Aggiungi entità visualizzata, inserisci gli indirizzi email dei gruppi o delle persone che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.

    I seguenti tipi di entità possono avere questo ruolo:

    • Account Google: user@gmail.com
    • Gruppo Google: admins@googlegroups.com
    • Service account: server@example.gserviceaccount.com
    • Dominio Google Workspace: example.com

    Assicurati di aggiungere un Account Google a cui hai accesso.

  6. Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
  7. Fai clic su Salva.

Attivazione di IAP

  1. Nella pagina Identity-Aware Proxy, nella sezione Applicazioni, trova l'applicazione a cui vuoi limitare l'accesso. Per attivare IAP per una risorsa,
  2. Nella finestra Attiva IAP visualizzata, fai clic su Attiva per confermare che vuoi che IAP protegga la tua risorsa. Dopo aver attivato IAP, sono necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo le entità con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor) nel progetto avranno accesso.

gcloud

Prima di configurare il progetto e IAP, devi avere una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, vedi Installa gcloud CLI.

  1. Per eseguire l'autenticazione, utilizza Google Cloud CLI ed esegui il seguente comando. 
    gcloud auth login
  2. Fai clic sull'URL visualizzato ed esegui l'accesso.
  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
  4. Esegui il seguente comando per specificare il progetto che contiene le applicazioni che vuoi proteggere con IAP. 
    gcloud config set project PROJECT_ID
  5. Per abilitare IAP, esegui il seguente comando. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Aggiungi le entità che devono avere il ruolo Utente applicazione web con protezione IAP al progetto. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Sostituisci PROJECT_ID con l'ID progetto.
    • Sostituisci PRINCIPAL_IDENTIFIER con le entità necessarie. Può trattarsi di un tipo di dominio, gruppo, serviceAccount o utente. Ad esempio, user:myemail@example.com.

Dopo aver abilitato IAP, puoi utilizzare gcloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

API

  1. Esegui il comando seguente per preparare un file settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Esegui il comando seguente per abilitare IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Dopo aver abilitato IAP, puoi utilizzare Google Cloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

Testare l'autenticazione dell'utente di test

  1. Una volta concesso il ruolo, le entità possono accedere all'app dopo l'autenticazione con IAP. Accedi all'URL dell'app da un Account Google a cui è stato concesso IAP con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor).

  2. Utilizza una finestra in modalità incognito su Chrome per raggiungere l'app e accedere quando richiesto. Gli utenti a cui viene concesso il ruolo Utente applicazione web con protezione IAP e che hanno eseguito l'autenticazione possono accedere all'app. Gli utenti a cui non viene concesso il ruolo richiesto o che non riescono a eseguire l'autenticazione non possono accedere all'app.

Passaggi successivi