Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אימות משתמשים באמצעות חשבונות Google

בדף הזה מוסבר איך לפרוס אפליקציה בסביבה סטנדרטית או גמישה של App Engine ולאבטח אותה באמצעות שרת proxy לאימות זהויות (IAP). המדריך למתחילים כולל קוד לדוגמה לאפליקציית אינטרנט בסביבה הרגילה של App Engine, שמאמת את השם של משתמש מחובר. במדריך הזה למתחילים נשתמש ב-Cloud Shell כדי לשכפל ולפרוס את האפליקציה לדוגמה. אתם יכולים להשתמש במדריך הזה להפעלה מהירה כדי להפעיל IAP באפליקציה שלכם בסביבה הרגילה של App Engine או בסביבה הגמישה של App Engine.

אם אתם מתכננים להציג משאבים מרשת להעברת תוכן (CDN), כדאי לעיין במדריך לשיטות מומלצות כדי לקבל מידע חשוב.

כשאפליקציית App Engine מורכבת מכמה שירותים, אפשר להגדיר הרשאות שונות של IAP בשירותים השונים, כולל הגדרה של חלק מהשירותים כנגישים לציבור והגנה על השאר.

לחצו על תראו לי איך כדי לקרוא הסבר מפורט על המשימה ישירות במסוף Google Cloud :

תראו לי איך

לפני שמתחילים

נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

כדי להפעיל את IAP ב-App Engine, צריך להגדיר את מופע App Engine. אם עדיין לא הגדרתם את מופע App Engine, תוכלו לעיין במדריך המלא בנושא פריסת App Engine.

מערכת IAP משתמשת בלקוח OAuth שמנוהל על ידי Google כדי לאמת את המשתמשים. רק משתמשים בארגון יכולים לגשת לאפליקציה שמופעלת בה רכישה מתוך האפליקציה. אם רוצים לאפשר גישה למשתמשים מחוץ לארגון, אפשר לעיין במאמר בנושא הגדרת לקוחות OAuth בהתאמה אישית.

הערה: האפשרות לאמת משתמשים באמצעות לקוח OAuth שמנוהל על ידי Google זמינה בגרסת טרום-השקה.

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות לאימות משתמשים באמצעות חשבונות Google, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של מדיניות IAP (roles/iap.policyAdmin) בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

הפעלת IAP

המסוף

לקוח ה-OAuth שמנוהל על ידי Google לא זמין כשמפעילים את IAP באמצעות Google Cloud המסוף.

קובץ דינמי להכללה

אם לא הגדרתם את מסך ההסכמה ל-OAuth של הפרויקט, תוצג לכם בקשה לעשות זאת. כדי להגדיר את מסך ההסכמה ל-OAuth, אפשר לעיין במאמר הגדרת מסך ההסכמה ל-OAuth.

הגדרת גישה ל-IAP

עוברים אל הדף של שרת proxy לאימות זהויות (IAP).
עוברים לדף של שרת proxy לאימות זהויות (IAP)
בוחרים את הפרויקט שרוצים לאבטח באמצעות IAP.
מסמנים את התיבה לצד המשאב שרוצים להעניק לו גישה.
בחלונית הצדדית בצד שמאל, לוחצים על הוספת ישות.
בתיבת הדו-שיח Add principals שמופיעה, מזינים את כתובות האימייל של קבוצות או של אנשים פרטיים שצריכים לקבל את התפקיד IAP-secured Web App User בפרויקט.
התפקיד הזה יכול להיות מוקצה לסוגים הבאים של חשבונות משתמשים:
- חשבון Google: user@gmail.com
- קבוצת Google: admins@googlegroups.com
- חשבון שירות: server@example.gserviceaccount.com
- דומיין ב-Google Workspace: example.com
חשוב להוסיף חשבון Google שיש לכם גישה אליו.
בתפריט הנפתח תפקידים, בוחרים באפשרות Cloud IAP > IAP-secured Web App User (Cloud IAP > משתמש באפליקציית אינטרנט מאובטחת באמצעות IAP).
לוחצים על Save.

הפעלת IAP

בדף שרת proxy לאימות זהויות (IAP), בקטע Applications, מוצאים את האפליקציה שרוצים להגביל את הגישה אליה. כדי להפעיל את IAP למשאב,
בחלון Turn on IAP שמופיע, לוחצים על Turn On כדי לאשר שרוצים ש-IAP יאבטח את המשאב. אחרי שמפעילים את IAP, נדרשים פרטי כניסה לכל החיבורים למאזן העומסים. רק לחשבונות ראשיים עם התפקיד 'משתמש באפליקציית אינטרנט מאובטחת ב-IAP' (roles/iap.httpsResourceAccessor) בפרויקט תהיה גישה.

gcloud

לפני שמגדירים את הפרויקט ואת הרכישות מתוך האפליקציה, צריך לוודא שיש לכם גרסה עדכנית של ה-CLI של gcloud. הוראות להתקנת ה-CLI של gcloud מופיעות במאמר התקנת gcloud CLI.

כדי לבצע אימות, משתמשים ב-CLI של Google Cloud ומריצים את הפקודה הבאה.
```
gcloud auth login
```
לוחצים על כתובת ה-URL שמופיעה ונכנסים לחשבון.
אחרי הכניסה לחשבון, מעתיקים את קוד האימות שמופיע ומדביקים אותו בשורת הפקודה.
מריצים את הפקודה הבאה כדי לציין את הפרויקט שמכיל את האפליקציות שרוצים להגן עליהן באמצעות IAP.
```
gcloud config set project PROJECT_ID
```
כדי להפעיל את IAP, מריצים את הפקודה הבאה.
```
gcloud iap web enable --resource-type=app-engine --versions=version
```
מוסיפים לפרויקט את הגורמים הראשיים שצריכה להיות להם הרשאה של משתמש באפליקציית אינטרנט מאובטחת באמצעות IAP.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- מחליפים את PROJECT_ID במזהה הפרויקט.
- מחליפים את PRINCIPAL_IDENTIFIER בחשבונות הראשיים הנדרשים. זה יכול להיות סוג של דומיין, קבוצה, חשבון שירות או משתמש. לדוגמה, user:myemail@example.com.

אחרי שמפעילים את IAP, אפשר להשתמש ב-CLI של gcloud כדי לשנות את מדיניות הגישה של IAP באמצעות תפקיד ה-IAM‏ roles/iap.httpsResourceAccessor. מידע נוסף על ניהול תפקידים והרשאות

API

מריצים את הפקודה הבאה כדי להכין קובץ settings.json.
```
cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF
```

מריצים את הפקודה הבאה כדי להפעיל את IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

אחרי שמפעילים את IAP, אפשר להשתמש ב-Google Cloud CLI כדי לשנות את מדיניות הגישה של IAP באמצעות תפקיד ה-IAM‏ roles/iap.httpsResourceAccessor. מידע נוסף על ניהול תפקידים והרשאות

הערה: אם אפליקציית App Engine מורכבת מכמה שירותים, כדי להפוך חלק מהשירותים לנגישים לכולם ולשמור על שירותים אחרים כמוגבלים, צריך להפעיל IAP באפליקציה כולה, ואז להעניק את התפקיד 'משתמש באפליקציית אינטרנט מאובטחת באמצעות IAP' ל-allUsers או ל-allAuthenticatedUsers בשירותים שצריכים להיות נגישים לכולם.

גישה מבוססת-תפקידים: רק לחשבונות ראשיים עם התפקיד 'משתמש באפליקציית אינטרנט מאובטחת ב-IAP' (roles/iap.httpsResourceAccessor) בפרויקט הזה יש גישה. הגישה לאפליקציות שמוגנות על ידי IAP לא ניתנת באופן אוטומטי, גם לא לתפקידים עם הרשאות נרחבות כמו Owner או Editor.

בדיקת אימות משתמשים

אחרי שהתפקיד מוקצה, חשבונות המשתמש יכולים לגשת לאפליקציה אחרי אימות באמצעות IAP. ניגשים לכתובת ה-URL של האפליקציה מחשבון Google שקיבל את תפקיד המשתמש של אפליקציית אינטרנט באבטחת IAP ‏ (roles/iap.httpsResourceAccessor) עם IAP.
משתמשים בחלון פרטי ב-Chrome כדי לגשת לאפליקציה ונכנסים לחשבון כשמוצגת בקשה. משתמשים שקיבלו את התפקיד 'משתמש באפליקציית אינטרנט מאובטחת באמצעות IAP' ועברו אימות בהצלחה יכולים לגשת לאפליקציה. משתמשים שלא קיבלו את התפקיד הנדרש או שלא עברו אימות לא יכולים לגשת לאפליקציה.

המאמרים הבאים

אפשר לקרוא על קבלת הזהות של המשתמש ולפתח אפליקציית App Engine משלכם.