Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Autentica usuarios con Cuentas de Google

En esta página, se explica cómo implementar una aplicación de entorno flexible o estándar de App Engine y cómo protegerla con Identity-Aware Proxy (IAP). En la guía de inicio rápido, se incluye un código de muestra para una aplicación web de entorno estándar de App Engine que verifica el nombre de un usuario que accedió a ella. En esta guía de inicio rápido, se usa Cloud Shell para clonar y también implementar la aplicación de muestra. Puedes usar esta guía de inicio rápido a fin de habilitar IAP para tu aplicación en el entorno estándar o flexible de App Engine.

Si tienes pensado publicar recursos desde una red de distribución de contenidos (CDN), consulta la guía de prácticas recomendadas para obtener información importante.

Cuando una aplicación de App Engine consta de varios servicios, es posible configurar diferentes permisos de IAP en los distintos servicios, lo que incluye hacer que solo algunos de los servicios sean de acceso público y, a su vez, mantener protegidos a otros.

Para seguir la guía paso a paso sobre esta tarea directamente en la Google Cloud consola, haz clic en Guiarme:

Guiarme

Antes de comenzar

Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Para habilitar IAP para App Engine, debes configurar la instancia de App Engine. Si aún no configuraste tu instancia de App Engine, consulta Implementa App Engine para obtener una explicación completa.

IAP usa un cliente de OAuth administrado por Google para autenticar los usuarios. Solo los usuarios de la organización pueden acceder a la aplicación habilitada para IAP. Si deseas permitir el acceso a usuarios externos a tu organización, consulta cómo configurar clientes de OAuth personalizados.

Nota: La capacidad de autenticar usuarios con un cliente de OAuth administrado por Google está disponible en versión preliminar.

Roles obligatorios

Si quieres obtener los permisos que necesitas para autenticar usuarios con Cuentas de Google, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de IAP (roles/iap.policyAdmin) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Habilita IAP

Console

El cliente de OAuth administrado por Google no está disponible cuando se habilita IAP con la Google Cloud consola.

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under Applications, find the application you want to restrict access to. To turn on IAP for a resource,
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only principals with the IAP-Secured Web App User (roles/iap.httpsResourceAccessor) role on the project will be given access.

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

To authenticate, use the Google Cloud CLI and run the following command.
```
gcloud auth login
```
Click the URL that appears and sign in.
After you sign in, copy the verification code that appears and paste it in the command line.
Run the following command to specify the project that contains the applications that you want to protect with IAP.
```
gcloud config set project PROJECT_ID
```

To enable IAP, run the following command.

gcloud iap web enable --resource-type=app-engine --versions=version

Add principals who should have the IAP-secured Web App user role to the project.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Replace PROJECT_ID with your project ID.
- Replace PRINCIPAL_IDENTIFIER with the necessary principals. This can be a type of domain, group, serviceAccount, or user. For example, user:myemail@example.com.

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

Run the following command to prepare a settings.json file.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Run the following command to enable IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Nota: Cuando una aplicación de App Engine consta de varios servicios, para que algunos puedan ser de acceso público y mantener otros restringidos, habilita IAP en toda la aplicación y, luego, otorga la función de Usuario de aplicación web protegida con IAP a allUsers o allAuthenticatedUsers en los servicios que deben ser públicos.

Acceso basado en roles: Solo se otorga acceso a las principales con el rol Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor) en este proyecto. El acceso a las aplicaciones protegidas por IAP no se otorga automáticamente, incluso a los roles con permisos extensos, como Owner o Editor.

Prueba la autenticación de usuarios de prueba

Una vez que se otorga el rol, las principales pueden acceder a la aplicación después de autenticarse con IAP. Accede a la URL de la app desde una Cuenta de Google a la que se le otorgó IAP con el rol Usuario de aplicación web protegida con IAP (roles/iap.httpsResourceAccessor).
Usa una ventana de incógnito en Chrome para acceder a la aplicación y cuando se te solicite. Los usuarios a los que se les otorga el rol Usuario de aplicación web protegida con IAP y que se autenticaron correctamente pueden acceder a la aplicación. Los usuarios a los que no se les otorga el rol requerido o que no se autentican no pueden acceder a la aplicación.

¿Qué sigue?

Aprende cómo obtener la identidad del usuario y desarrollar tu propia aplicación de App Engine.