Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Nutzer mit Google-Konten authentifizieren

Auf dieser Seite wird die Bereitstellung einer Anwendung für die App Engine-Standardumgebung oder für die flexible App Engine-Umgebung und deren Schutz mit Identity-Aware Proxy (IAP) erläutert. Die Kurzanleitung umfasst Beispielcode für eine Webanwendung in der App Engine-Standardumgebung, die den Namen eines angemeldeten Nutzers überprüft. Im Rahmen dieser Kurzanleitung wird mit Cloud Shell die Beispielanwendung geklont und bereitgestellt. Sie können diese Kurzanleitung dazu verwenden, um IAP für Ihre eigene App Engine-Standardumgebung oder die flexible App Engine-Umgebung zu aktivieren.

Wenn Sie Ressourcen aus einem Content Delivery Network (CDN) bereitstellen möchten, finden Sie wichtige Informationen dazu im Best-Practices-Leitfaden.

Wenn eine App Engine-Anwendung aus mehreren Diensten besteht, können Sie für die verschiedenen Dienste unterschiedliche IAP-Berechtigungen konfigurieren. So können Sie beispielsweise nur einige der Dienste öffentlich zugänglich machen und die anderen schützen.

Eine detaillierte Anleitung dazu finden Sie direkt in der Google Cloud Console. Klicken Sie dazu einfach auf Anleitung:

Anleitung

Hinweis

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Zum Aktivieren von IAP für App Engine müssen Sie die App Engine-Instanz einrichten. Wenn Sie Ihre App Engine-Instanz noch nicht eingerichtet haben, finden Sie unter App Engine bereitstellen eine vollständige Schritt-für-Schritt-Anleitung.

IAP verwendet einen von Google verwalteten OAuth-Client zur Authentifizierung von Nutzern. Nur Nutzer innerhalb der Organisation können auf die IAP-fähige Anwendung zugreifen. Wenn Sie Nutzern außerhalb Ihrer Organisation Zugriff gewähren möchten, lesen Sie den Abschnitt Benutzerdefinierte OAuth-Clients konfigurieren.

Hinweis:Die Möglichkeit, Nutzer mit einem von Google verwalteten OAuth-Client zu authentifizieren, ist in der Vorabversion verfügbar.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle IAP Policy Admin (roles/iap.policyAdmin) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Authentifizieren von Nutzern mit Google-Konten benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

IAP aktivieren

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn Sie IAP über die Google Cloud -Konsole aktivieren.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under Applications, find the application you want to restrict access to. To turn on IAP for a resource,
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only principals with the IAP-Secured Web App User (roles/iap.httpsResourceAccessor) role on the project will be given access.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

To authenticate, use the Google Cloud CLI and run the following command.
```
gcloud auth login
```
Click the URL that appears and sign in.
After you sign in, copy the verification code that appears and paste it in the command line.
Run the following command to specify the project that contains the applications that you want to protect with IAP.
```
gcloud config set project PROJECT_ID
```

To enable IAP, run the following command.

gcloud iap web enable --resource-type=app-engine --versions=version

Add principals who should have the IAP-secured Web App user role to the project.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Replace PROJECT_ID with your project ID.
- Replace PRINCIPAL_IDENTIFIER with the necessary principals. This can be a type of domain, group, serviceAccount, or user. For example, user:myemail@example.com.

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten.
```
cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF
```

Führen Sie den folgenden Befehl aus, um IAP zu aktivieren.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Nachdem Sie IAP aktiviert haben, können Sie mit der Google Cloud CLI die IAP-Zugriffsrichtlinie mithilfe der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Hinweis:Wenn eine App Engine-Anwendung aus mehreren Diensten besteht, aktivieren Sie IAP für die gesamte Anwendung, um einige Dienste öffentlich zugänglich zu machen und andere einzuschränken. Gewähren Sie dann die Rolle „IAP-secured Web App User“ (IAP-geschützter Web-App-Nutzer) für allUsers oder allAuthenticatedUsers für die Dienste, die öffentlich zugänglich sein sollen.

Rollenbasierter Zugriff:Nur Principals mit der Rolle „Nutzer von IAP-gesicherten Web-Apps“ (roles/iap.httpsResourceAccessor) für dieses Projekt erhalten Zugriff. Der Zugriff auf IAP-geschützte Anwendungen wird nicht automatisch gewährt, auch nicht für Rollen mit umfangreichen Berechtigungen wie Owner oder Editor.

Nutzerauthentifizierung testen

Nachdem die Rolle zugewiesen wurde, können die Hauptkonten nach der Authentifizierung mit IAP auf die App zugreifen. Rufen Sie die App-URL über ein Google-Konto auf, dem die Rolle „Nutzer von IAP-gesicherten Web-Apps“ (roles/iap.httpsResourceAccessor) für IAP zugewiesen wurde.
Für den Zugriff auf die Anwendung verwenden Sie ein Inkognitofenster in Chrome. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Nutzer, denen die Rolle „Nutzer von IAP-gesicherten Web-Apps“ zugewiesen wurde und die sich erfolgreich authentifiziert haben, können auf die App zugreifen. Nutzer, denen die erforderliche Rolle nicht zugewiesen wurde oder die sich nicht authentifizieren können, können nicht auf die App zugreifen.

Nächste Schritte

Mehr darüber erfahren, wie Sie die Identität des Nutzers abrufen und Ihre eigene App Engine-Anwendung entwickeln