透過 Google 帳戶驗證使用者

這個頁面會逐步引導您部署 App Engine 標準或彈性環境應用程式,並使用 Identity-Aware Proxy (IAP) 保護其安全。本快速入門導覽課程包含 App Engine 標準環境網頁應用程式的程式碼範例,可驗證登入使用者的名稱;並使用 Cloud Shell 複製及部署應用程式範例。您可運用此快速入門導覽課程,啟用 App Engine 標準環境或彈性環境應用程式的 IAP。

若您預計從內容傳遞聯播網 (CDN) 提供資源,請參閱最佳做法指南取得重要資訊。

如果 App Engine 應用程式包含多項服務,您可以針對不同服務設定不同的 IAP 權限,包括只讓部分服務公開存取,同時保護其他服務。

如要直接在 Google Cloud 控制台按照逐步指南操作,請按一下「Guide me」(逐步引導)

逐步引導

事前準備

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

事前準備

如要為 App Engine 啟用 IAP,請先準備好下列項目:

  • 啟用計費功能的 Google Cloud 主控台專案。

如果您尚未設定 App Engine 執行個體,請參閱部署 App Engine 一文,取得完整逐步操作說明。

IAP 會使用 Google 代管的 OAuth 用戶端驗證使用者。只有機構內的使用者可以存取啟用 IAP 的應用程式。 如要允許機構外部使用者存取,請參閱「為外部應用程式啟用 IAP」。

啟用 IAP

控制台

使用 Google Cloud 控制台啟用 IAP 時,無法使用 Google 代管的 OAuth 用戶端。

動態包含檔案

如果您尚未設定專案的 OAuth 同意畫面,系統會提示您進行設定。如要設定 OAuth 同意畫面,請參閱「設定 OAuth 同意畫面」。

設定 IAP 存取權

  1. 前往「Identity-Aware Proxy」頁面
    前往「Identity-Aware Proxy」頁面
  2. 選取要使用 IAP 保護的專案。
  3. 找出您要授予存取權的資源,然後勾選旁邊的核取方塊。
  4. 在右側面板中,按一下「Add principal」(新增管理員)
  5. 在隨即顯示的「Add principals」(新增主體) 對話方塊中,輸入群組或個別使用者的電子郵件地址,這些群組或個別使用者應擁有專案的「IAP-Secured Web App User」(受 IAP 保護的網路應用程式使用者) 角色。

    以下類型的主體可以擁有這個角色:

    • Google 帳戶:user@gmail.com
    • Google 群組:admins@googlegroups.com
    • 服務帳戶:server@example。gserviceaccount.com
    • Google Workspace 網域:example.com

    請務必新增您可以存取的 Google 帳戶。

  6. 從「Roles」(角色) 下拉式清單中選取「Cloud IAP」>「IAP-secured Web App User」(受 IAP 保護的網路應用程式使用者)
  7. 按一下「Save」(儲存)

正在啟用 IAP

  1. 在「Identity-Aware Proxy」頁面的「APPLICATIONS」下方,尋找您要限制存取權的應用程式。如要為資源啟用 IAP,請在「IAP」欄中
  2. 在隨即顯示的「Turn on IAP」(開啟 IAP) 視窗中,按一下「Turn On」(開啟),確認您要使用 IAP 保護資源。啟用 IAP 後,系統會要求您提供負載平衡器所有連線的登入憑證。只有在專案中擁有「IAP-Secured Web App User」角色的帳戶才能取得存取權。

gcloud

Before you set up your project and IAP, you need an up-to-date version of the gcloud CLI. For instructions on how to install the gcloud CLI, see Install the gcloud CLI.

  1. To authenticate, use the Google Cloud CLI and run the following command. 
    gcloud auth login
  2. Click the URL that appears and sign in.
  3. After you sign in, copy the verification code that appears and paste it in the command line.
  4. Run the following command to specify the project that contains the applications that you want to protect with IAP. 
    gcloud config set project PROJECT_ID
  5. To enable IAP, run the following command. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Add principals who should have the IAP-secured Web App user role to the project. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Replace PROJECT_ID with your project ID.
    • Replace PRINCIPAL_IDENTIFIER with the necessary principals. This can be a type of domain, group, serviceAccount, or user. For example, user:myemail@example.com.

After you enable IAP, you can use the gcloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

API

  1. Run the following command to prepare a settings.json file. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Run the following command to enable IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

測試使用者驗證

  1. 如要存取應用程式網址,請使用您新增至 IAP 的 Google 帳戶,並指派「受 IAP 保護的網頁應用程式使用者」角色,您對應用程式的存取權應不受限制。

  2. 使用 Chrome 的無痕式視窗存取應用程式,並在系統提示時登入。如果您嘗試使用未經授權的帳戶存取應用程式,並具備 IAP 安全網頁應用程式使用者角色,系統會顯示訊息,說明您沒有存取權。

後續步驟