Utiliser des clients OAuth personnalisés avec IAP

Ce document explique quand et comment utiliser des clients OAuth personnalisés pour Identity-Aware Proxy (IAP).

Par défaut, IAP utilise des clients OAuth gérés par Google pour authentifier les utilisateurs. Les clients OAuth gérés par Google ne peuvent être utilisés que pour gérer l'accès des utilisateurs internes qui font partie d'une organisation.

Vous devez utiliser une configuration OAuth personnalisée pour effectuer les opérations suivantes :

  • Gérer l'accès aux applications compatibles avec IAP pour les utilisateurs externes qui ne font pas partie de votre organisation.
  • Gérer l'accès aux applications Web qui se trouvent dans des projets qui ne font pas partie d'une Google Cloud organisation.
  • Afficher des informations de marque personnalisées sur les écrans de consentement lors de l'authentification.

Vous pouvez configurer des clients OAuth personnalisés sur IAP ou directement sur votre plate-forme.

Lorsque vous utilisez des clients OAuth personnalisés, vous devez configurer l'écran de consentement OAuth. Pour que votre branding personnalisé s'affiche sur l'écran de consentement, vous devez envoyer votre application pour vérification par Google. Pour en savoir plus sur le processus de vérification, consultez Configurer votre écran de consentement OAuth.

Lorsque vous configurez des clients OAuth personnalisés, vous êtes responsable de la création et de la gestion des identifiants, ce qui inclut le stockage sécurisé du code secret du client et son partage avec les clients autorisés si nécessaire.

Comparer les clients OAuth gérés par Google et les clients OAuth personnalisés

Les clients OAuth gérés par Google ne peuvent pas accéder par programmation aux applications protégées par IAP. Toutefois, les applications protégées par IAP qui utilisent le client OAuth géré par Google restent accessibles par programmation à l'aide d'un client OAuth distinct configuré via le programmatic_clients paramètre ou un JWT de compte de service.

Le tableau suivant compare le client OAuth géré par Google et un client OAuth personnalisé.

Client OAuth géré par Google Client OAuth personnalisé
Utilisateurs Interne uniquement Partenaires internes et externes
Marque Google Cloud marque Marque appartenant au client
Configuration OAuth Configurée par Google Configurée par le client
Identifiants OAuth Gérés par Google Gérés par le client
Accès à l'application Flux de navigateur uniquement Flux de navigateur et accès programmatique

Configurer la page de branding

Pour configurer la page de branding personnalisée à l'aide de la Google Cloud console, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Branding OAuth :

    Accéder à la page "Branding"

  2. Cliquez sur Commencer.

  3. Dans Nom de l'application, saisissez le nom de l'application pour l'écran de consentement.

  4. Dans Adresse e-mail d'assistance utilisateur, saisissez l'adresse e-mail de l'administrateur pour l'assistance.

  5. Pour Audience, sélectionnez Interne pour limiter l'accès aux utilisateurs de votre organisation ou Externe pour autoriser l'accès aux utilisateurs qui ne font pas partie de votre organisation.

  6. Dans Coordonnées, saisissez l'adresse e-mail de l'administrateur à contacter pour les applications protégées par les clients OAuth. Vous configurerez les clients OAuth lors d'une étape ultérieure.

  7. Pour créer la configuration OAuth, cliquez sur Créer.

Configurer des clients OAuth personnalisés dans IAP

Cette section explique comment configurer des clients OAuth personnalisés dans IAP.

Créer le client OAuth personnalisé

Cette section explique comment créer des clients OAuth personnalisés à l'aide de la Google Cloud console. Vous pouvez configurer des clients OAuth IAP personnalisés à n'importe quel niveau de la hiérarchie des ressources.

Pour créer des clients OAuth personnalisés pour une ressource à l'aide de la Google Cloud console, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page IAP.

    Accéder à IAP

  2. Dans l'onglet Applications, dans la liste des ressources, recherchez celle que vous souhaitez configurer.

    Pour les ressources au niveau du projet, procédez comme suit :

    • Créez le client OAuth à l'aide de la Google Cloud console:

      1. Dans la colonne Actions, cliquez sur Plus d'options > Paramètres.

      2. Dans la boîte de dialogue Paramètres, sélectionnez OAuth personnalisé.

      3. Si vous n'avez pas configuré d'écran de consentement, procédez comme suit :

        1. Cliquez sur Configurer l'écran d'autorisation.

        2. Suivez les instructions pour configurer la page de branding fournies plus haut dans ce document.

      4. Dans la boîte de dialogue des paramètres IAP, cliquez sur Générer automatiquement les identifiants. IAP génère un client OAuth et un code secret à utiliser avec cette ressource. Dans Google Auth Platform, le champ URI de redirection autorisés contient une entrée au format suivant :

        https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

      5. Pour accéder à l'ID client et au code secret, cliquez sur Télécharger les identifiants. Les identifiants sont enregistrés dans un fichier au format JSON. Comme le fichier contient des identifiants sensibles permettant d'accéder aux ressources, assurez-vous qu'il est sécurisé ou supprimé.

      6. Pour enregistrer la configuration OAuth IAP et appliquer le client OAuth à IAP, cliquez sur Enregistrer.

Appliquer des clients OAuth personnalisés à IAP

Cette section explique comment appliquer des clients OAuth à IAP. Vous pouvez utiliser cette méthode au lieu d'appliquer les clients directement sur votre plate-forme.

  1. Pour créer le client OAuth personnalisé, suivez les Google Cloud instructions de la console fournies plus haut dans ce document.

  2. Appliquez le client OAuth personnalisé.

    gcloud

    Pour appliquer le client OAuth personnalisé à l'aide de gcloud CLI, procédez comme suit :

    1. Créez un fichier YAML de paramètres.

      cat << EOF > iap-oauth.yaml
accessSettings:
oauthSettings:
  clientId: CLIENT_ID
  clientSecret: CLIENT_SECRET
EOF

      Remplacez les éléments suivants :

      • CLIENT_ID: ID client issu des identifiants OAuth que vous avez générés précédemment.
      • CLIENT_SECRET: code secret du client issu des identifiants OAuth que vous avez générés précédemment.

    2. Pour définir la configuration OAuth, effectuez l'une des opérations suivantes :

      • Pour définir la configuration OAuth au niveau du projet, exécutez la commande suivante :
      gcloud iap settings set iap-oauth.yaml

      Pour définir la configuration à un autre niveau de la hiérarchie des ressources, utilisez l'un des flags suivants à la place du flag --project. La définition de clients OAuth personnalisés à un niveau de la hiérarchie des ressources fournit le même branding personnalisé à tous les services qui s'exécutent à ce niveau.

      * <code>--folder=<var>FOLDER_ID</var></code>
* <code>--organization=<var>ORGANIZATION_ID</var></code>
      • Pour définir la configuration sur un service spécifique, exécutez la commande suivante :
      gcloud iap settings set iap-oauth.yaml \
    --project=PROJECT_ID \
    --resource-type= RESOURCE_TYPE \
    --region=REGION \
    --service=SERVICE_NAME

      Remplacez les éléments suivants :

      • PROJECT_ID: ID de la ressource de projet. Pour définir la configuration à un autre niveau, utilisez l'un des flags suivants à la place du flag --project :

        • --folder=FOLDER_ID
        • --organization=ORGANIZATION_ID

      • RESOURCE_TYPE: remplacez par l'un des types de ressources suivants, en fonction de la ressource :

        • app-engine
        • backend-services
        • cloud-run
        • compute
        • folder
        • forwarding-rule
        • iap_web
        • organization

      • REGION: région dans laquelle vous exécutez votre service Cloud Run.

      • SERVICE_NAME: nom de votre service.

    Terraform

    Pour appliquer le client OAuth personnalisé à l'aide de Terraform, procédez comme suit :

    resource "google_iap_settings" "iap_settings" {
name = IAP_RESOURCE_NAME
access_settings {
  oauth_settings {
      oauth_client_id = CLIENT_ID
      oauth_client_secret = CLIENT_SECRET
  }
}
}

    Remplacez les éléments suivants :

    • IAP_RESOURCE_NAME : nom de ressource de la ressource iap_settings pour le service, au format suivant : projects/PROJECT_NUMBER/iap_web/REGION/services/SERVICE_NAME
    • CLIENT_ID: ID client issu des identifiants OAuth que vous avez générés précédemment
    • CLIENT_SECRET: code secret du client issu des identifiants OAuth que vous avez générés précédemment

    API REST

    1. Créez un fichier JSON de paramètres.

      cat << EOF > iap-oauth.json
{
"accessSettings": {
  "oauthSettings": {
    "clientId": "CLIENT_ID",
    "clientSecret": "CLIENT_SECRET"
  }
}
}
EOF

      Remplacez les éléments suivants :

      • CLIENT_ID: ID client issu des identifiants OAuth que vous avez générés précédemment.
      • CLIENT_SECRET: code secret du client issu des identifiants OAuth que vous avez générés précédemment.

    2. Appliquez le fichier de paramètres.

      curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/yaml" \
"https://iap.googleapis.com/v1/projects/cb-managed-ingress-demo/iap_web/forwarding_rule-us-central1/services/psc-fr:iapSettings?update_mask=iapSettings.accessSettings.oauthSettings.oauthClientId,iapSettings.accessSettings.oauthSettings.oauthClientSecret" \
-d @iap-oauth.json

Pour vérifier que vos applications Web sont protégées par IAP avec les clients OAuth, consultez Tester l'accès.

Ancienne configuration de clients OAuth personnalisés sur une ressource

Les sections suivantes décrivent les anciennes méthodes de configuration de clients OAuth personnalisés dans IAP pour certains types de ressources. Vous pouvez ignorer cette section si vous avez utilisé la méthode décrite plus haut dans ce document.

App Engine

Cette section explique comment activer des clients OAuth personnalisés sur App Engine.

gcloud

Pour pouvoir configurer votre projet et IAP, vous devez disposer d'une version à jour de la gcloud CLI. Pour savoir comment installer la gcloud CLI, consultez Installer la gcloud CLI.

  1. Pour vous authentifier, utilisez la Google Cloud CLI et exécutez la commande suivante. 
    gcloud auth login
  2. Pour vous connecter, suivez l'URL qui s'affiche.
  3. Une fois la connexion effectuée, copiez le code de validation qui s'affiche et collez-le dans la ligne de commande.
  4. Exécutez la commande suivante pour spécifier le projet contenant la ressource que vous souhaitez protéger avec IAP. 
    gcloud config set project PROJECT_ID
  5. Suivez les instructions de la section Créer des clients OAuth pour IAP pour configurer l'écran de consentement OAuth et créer le client OAuth.
  6. Enregistrez l'ID client et le code secret OAuth.
  7. Pour activer IAP, exécutez la commande suivante. 
    gcloud iap web enable \
    --oauth2-client-id=CLIENT_ID \
    --oauth2-client-secret=CLIENT_SECRET \
    --resource-type=app-engine

Après avoir activé IAP, vous pouvez utiliser la gcloud CLI pour modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor. Découvrez comment gérer les rôles et les autorisations.

API

  1. Suivez les instructions de la section Créer des clients OAuth pour IAP afin de configurer l'écran de consentement OAuth et de créer le client OAuth.

  2. Enregistrez l'ID client et le code secret du client OAuth.

  3. Exécutez la commande suivante pour préparer un fichier settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled": true,
    "oauth2ClientId": "CLIENT_ID",
    "oauth2ClientSecret":" CLIENT_SECRET"
  }
}
EOF

  4. Exécutez la commande suivante pour activer IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Une fois que vous avez activé IAP, vous pouvez modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor via Google Cloud CLI. Découvrez comment gérer les rôles et les autorisations.

GKE

Cette section explique comment activer des clients OAuth personnalisés sur GKE.

Configurer BackendConfig

Si vous exécutez des clusters GKE version 1.24 ou ultérieure, vous pouvez configurer IAP et GKE à l'aide de l'API Kubernetes Gateway. Pour obtenir des instructions, consultez Configurer IAP.

  1. Suivez les instructions de la section Créer des clients OAuth pour IAP pour configurer l'écran de consentement OAuth et créer le client OAuth.

  2. Créez un secret Kubernetes pour encapsuler le client OAuth. 

    kubectl create secret generic MY_SECRET --from-literal=client_id=CLIENT_ID \
  --from-literal=client_secret=CLIENT_SECRET
    Remplacez les éléments suivants :

    • MY_SECRET : nom du secret à créer.
    • CLIENT_ID : ID client OAuth
    • CLIENT_SECRET : code secret du client OAuth

    Vous devriez recevoir une confirmation, comme celle ci-dessous, indiquant que le Secret a bien été créé : 

    secret "MY_SECRET" created

  3. Ajoutez les identifiants OAuth à BackendConfig. 

    apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: CONFIG_DEFAULT
  namespace: my-namespace
spec:
iap:
  enabled: true
  oauthclientCredentials:
    secretName: MY_SECRET

  4. Activez IAP en associant des ports de service à votre BackendConfig. Consultez Associer BackendConfig à votre ressource Ingress. Pour ce faire, vous pouvez par exemple définir tous les ports du service comme ports par défaut pour votre ressource BackendConfig. Pour cela, ajoutez l'annotation suivante à votre ressource Service : 

    metadata:
  annotations:
      beta.cloud.google.com/backend-config: '{"default": "CONFIG_DEFAULT"}}'

Après avoir activé IAP, vous pouvez utiliser la gcloud CLI pour modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor. Découvrez comment gérer les rôles et les autorisations.

Dépannage

Si le secret secretName que vous avez référencé n'existe pas ou n'est pas correctement structuré, l'un des messages d'erreur suivants s'affiche :

  • BackendConfig default/config-default is not valid: error retrieving secret "foo": secrets "foo" not found. Pour résoudre cette erreur, assurez-vous d'avoir correctement créé le Secret Kubernetes, comme décrit à l'étape 2.

  • BackendConfig default/config-default is not valid: secret "foo" missing client_secret data. Pour résoudre cette erreur, assurez-vous d'avoir correctement créé les identifiants OAuth. Vérifiez également que vous avez référencé les clés client_id et client_secret correctes.

Service de backend d'équilibreur de charge

Pour les utilisateurs de Compute Engine et de Cloud Run, cette section explique comment configurer des clients OAuth dans IAP pour le service de backend de l'équilibreur de charge.

gcloud

Pour pouvoir configurer votre projet et IAP, vous devez disposer d'une version à jour de la gcloud CLI. Pour obtenir des instructions sur l'installation de la gcloud CLI, consultez la page Installer la gcloud CLI.

  1. Pour vous authentifier, utilisez la Google Cloud CLI et exécutez la commande suivante. 
    gcloud auth login
  2. Pour vous connecter, suivez l'URL qui s'affiche.
  3. Une fois la connexion effectuée, copiez le code de validation qui s'affiche et collez-le dans la ligne de commande.
  4. Exécutez la commande suivante pour spécifier le projet contenant la ressource que vous souhaitez protéger avec IAP. 
    gcloud config set project PROJECT_ID
  5. Suivez les instructions de la section Créer des clients OAuth pour IAP afin de configurer l'écran de consentement OAuth et de créer le client OAuth.
  6. Enregistrez l'ID client et le code secret OAuth.
  7. Pour activer IAP, exécutez la commande à champ d'application global ou régional.

    Champ d'application global 
    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --global \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
     Champ d'application régional 
    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --region REGION_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

Une fois que vous avez activé IAP, vous pouvez modifier la stratégie d'accès IAP à l'aide de la gcloud CLI et du rôle IAM roles/iap.httpsResourceAccessor. Découvrez comment gérer les rôles et les autorisations.

API

  1. Suivez les instructions de la section Créer des clients OAuth pour IAP afin de configurer l'écran de consentement OAuth et de créer le client OAuth.

  2. Enregistrez l'ID client et le code secret du client OAuth.

  3. Exécutez la commande suivante pour préparer un fichier settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled": true,
    "oauth2ClientId": "CLIENT_ID",
    "oauth2ClientSecret": "CLIENT_SECRET"
  }
}
EOF

  4. Exécutez la commande suivante pour activer IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

Une fois que vous avez activé IAP, vous pouvez modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor via gcloud CLI. Découvrez comment gérer les rôles et les autorisations.

Tester l'accès

Une fois que vous avez configuré votre client OAuth personnalisé, vous pouvez vérifier qu'IAP l'utilise pour protéger votre service en procédant comme suit :

  1. Sur la page IAP, dans l'onglet Applications, affichez les applications gérées par IAP.

  2. Accédez à l'URL de l'une des applications. Si vous accédez à l'application pour la première fois depuis que vous avez configuré l'écran de consentement, celui que vous avez configuré précédemment s'affiche.