Utiliser des clients OAuth personnalisés avec IAP

Ce document explique quand et comment utiliser des clients OAuth personnalisés pour Identity-Aware Proxy (IAP).

Par défaut, IAP utilise des clients OAuth gérés par Google pour authentifier les utilisateurs. Les clients OAuth gérés par Google ne peuvent être utilisés que pour gérer l'accès des utilisateurs internes d'une organisation.

Vous devez utiliser une configuration OAuth personnalisée pour effectuer les opérations suivantes :

  • Gérez l'accès aux applications compatibles avec IAP pour les utilisateurs externes qui ne font pas partie de votre organisation.
  • Gérez l'accès aux applications Web qui se trouvent dans des projets qui ne font pas partie d'une organisationGoogle Cloud .
  • Affichez des informations de marque personnalisées sur les écrans d'autorisation lors de l'authentification.

Vous pouvez configurer des clients OAuth personnalisés dans IAP ou directement sur votre plate-forme.

Lorsque vous utilisez des clients OAuth personnalisés, vous devez configurer l'écran de consentement OAuth. Pour que votre branding personnalisé s'affiche sur l'écran de consentement, vous devez envoyer votre application pour validation par Google. Pour en savoir plus sur la procédure de validation, consultez Configurer votre écran de consentement OAuth.

Lorsque vous configurez des clients OAuth personnalisés, vous êtes responsable de la création et de la gestion des identifiants. Cela inclut le stockage sécurisé du code secret du client et son partage avec les clients autorisés si nécessaire.

Comparer les clients OAuth gérés par Google et les clients OAuth personnalisés

Les clients OAuth gérés par Google ne peuvent pas accéder par programmation aux applications protégées par IAP. Toutefois, les applications protégées par IAP qui utilisent le client OAuth géré par Google restent accessibles par programmation à l'aide d'un client OAuth distinct configuré avec le paramètre programmatic_clients ou un jeton JWT de compte de service.

Le tableau suivant compare le client OAuth géré par Google et un client OAuth personnalisé.

Client OAuth géré par Google Client OAuth personnalisé
Utilisateurs Interne uniquement Partenaires internes et externes
Marque Google Cloud  marque Marque appartenant au client
Configuration OAuth Google configuré Configuration client
Identifiants OAuth Géré par Google Géré par le client
Accès aux applications Parcours dans le navigateur uniquement Flux du navigateur et accès programmatique

Configurer la page de personnalisation

Pour configurer la page de branding personnalisée à l'aide de la console Google Cloud  :

  1. Dans la console Google Cloud , accédez à la page Branding d'OAuth :

    Accéder à la page "Branding"

  2. Cliquez sur Commencer.

  3. Dans Nom de l'application, saisissez le nom de l'application pour l'écran d'autorisation.

  4. Dans Adresse e-mail d'assistance utilisateur, saisissez l'adresse e-mail de l'administrateur pour l'assistance.

  5. Pour Audience, sélectionnez Interne pour limiter l'accès aux utilisateurs de votre organisation ou Externe pour autoriser l'accès aux utilisateurs extérieurs à votre organisation.

  6. Dans Coordonnées, saisissez l'adresse e-mail de l'administrateur à contacter pour les applications protégées par les clients OAuth. Vous configurerez les clients OAuth lors d'une étape ultérieure.

  7. Pour créer la configuration OAuth, cliquez sur Créer.

Configurer des clients OAuth personnalisés dans IAP

Cette section explique comment configurer des clients OAuth personnalisés dans IAP.

Créer le client OAuth personnalisé

Cette section explique comment créer des clients OAuth personnalisés à l'aide de la consoleGoogle Cloud . Vous pouvez configurer des clients OAuth IAP personnalisés à n'importe quel niveau de la hiérarchie des ressources.

Pour créer des clients OAuth personnalisés pour une ressource à l'aide de la console Google Cloud  :

  1. Dans la console Google Cloud , accédez à la page IAP.

    Accéder à IAP

  2. Dans l'onglet Applications, dans la liste des ressources, recherchez celle que vous souhaitez configurer.

    Pour les ressources au niveau du projet, procédez comme suit :

    • Créez le client OAuth à l'aide de la console Google Cloud :

      1. Dans la colonne Actions, cliquez sur  Plus d'options > Paramètres.

      2. Dans la boîte de dialogue Paramètres, sélectionnez OAuth personnalisé.

      3. Si vous n'avez pas configuré d'écran de consentement, procédez comme suit :

        1. Cliquez sur Configurer l'écran d'autorisation.

        2. Suivez les instructions pour configurer la page de personnalisation fournies plus haut dans ce document.

      4. Dans la boîte de dialogue des paramètres IAP, cliquez sur Générer automatiquement les identifiants. IAP génère un nouveau client et un nouveau code secret OAuth à utiliser avec cette ressource. Dans la plate-forme d'authentification Google, le champ URI de redirection autorisés contient une entrée au format suivant :

        https://iap.googleapis.com/v1/oauth/clientIds/CLIENT_ID:handleRedirect

      5. Pour accéder à l'ID client et au code secret, cliquez sur Télécharger les identifiants. Les identifiants sont enregistrés dans un fichier au format JSON. Comme le fichier contient des identifiants sensibles permettant d'accéder aux ressources, assurez-vous qu'il est sécurisé ou supprimé.

      6. Pour enregistrer la configuration OAuth d'IAP et appliquer le client OAuth à IAP, cliquez sur Enregistrer.

Appliquer des clients OAuth personnalisés à IAP

Cette section explique comment appliquer des clients OAuth à IAP. Vous pouvez utiliser cette méthode au lieu d'appliquer les clients directement sur votre plate-forme.

  1. Pour créer le client OAuth personnalisé, suivez les instructions de la consoleGoogle Cloud fournies plus haut dans ce document.

  2. Appliquez le client OAuth personnalisé.

    gcloud

    Pour appliquer le client OAuth personnalisé à l'aide de gcloud CLI, procédez comme suit :

    1. Créez un fichier YAML de paramètres.

      cat << EOF > iap-oauth.yaml
accessSettings:
oauthSettings:
  clientId: CLIENT_ID
  clientSecret: CLIENT_SECRET
EOF

      Remplacez les éléments suivants :

      • CLIENT_ID : ID client issu des identifiants OAuth que vous avez générés précédemment.
      • CLIENT_SECRET : code secret du client issu des identifiants OAuth que vous avez générés précédemment.

    2. Pour définir la configuration OAuth, effectuez l'une des opérations suivantes :

      • Pour définir la configuration OAuth au niveau du projet, exécutez la commande suivante :
      gcloud iap settings set iap-oauth.yaml

      Pour définir la configuration à un autre niveau de la hiérarchie des ressources, utilisez l'un des indicateurs suivants au lieu de l'indicateur --project. La définition de clients OAuth personnalisés à un niveau de la hiérarchie des ressources permet d'appliquer la même personnalisation à tous les services exécutés à ce niveau.

      * <code>--folder=<var>FOLDER_ID</var></code>
* <code>--organization=<var>ORGANIZATION_ID</var></code>
      • Pour définir la configuration sur un service spécifique, exécutez la commande suivante :
      gcloud iap settings set iap-oauth.yaml \
    --project=PROJECT_ID \
    --resource-type= RESOURCE_TYPE \
    --region=REGION \
    --service=SERVICE_NAME

      Remplacez les éléments suivants :

      • PROJECT_ID : ID de la ressource de projet. Pour définir la configuration à un autre niveau, utilisez l'un des indicateurs suivants au lieu de l'indicateur --project :

        • --folder=FOLDER_ID
        • --organization=ORGANIZATION_ID

      • RESOURCE_TYPE : remplacez par l'un des types de ressources suivants, en fonction de la ressource :

        • app-engine
        • backend-services
        • cloud-run
        • compute
        • folder
        • forwarding-rule
        • iap_web
        • organization

      • REGION : région dans laquelle vous exécutez votre service Cloud Run.

      • SERVICE_NAME : nom de votre service.

    Terraform

    Pour appliquer le client OAuth personnalisé à l'aide de Terraform, procédez comme suit :

    resource "google_iap_settings" "iap_settings" {
name = IAP_RESOURCE_NAME
access_settings {
  oauth_settings {
      oauth_client_id = CLIENT_ID
      oauth_client_secret = CLIENT_SECRET
  }
}
}

    Remplacez les éléments suivants :

    • IAP_RESOURCE_NAME : nom de ressource de la ressource iap_settings pour le service, au format suivant : projects/PROJECT_NUMBER/iap_web/REGION/services/SERVICE_NAME
    • CLIENT_ID : ID client issu des identifiants OAuth que vous avez générés précédemment
    • CLIENT_SECRET : code code secret du client issu des identifiants OAuth que vous avez générés précédemment

    API REST

    1. Créez un fichier JSON de paramètres.

      cat << EOF > iap-oauth.json
{
"accessSettings": {
  "oauthSettings": {
    "clientId": "CLIENT_ID",
    "clientSecret": "CLIENT_SECRET"
  }
}
}
EOF

      Remplacez les éléments suivants :

      • CLIENT_ID : ID client issu des identifiants OAuth que vous avez générés précédemment.
      • CLIENT_SECRET : code secret du client issu des identifiants OAuth que vous avez générés précédemment.

    2. Appliquez le fichier de paramètres.

      curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)"
-H "Content-Type: application/yaml" \
"https://iap.googleapis.com/v1/projects/cb-managed-ingress-demo/iap_web/forwarding_rule-us-central1/services/psc-fr:iapSettings?update_mask=iapSettings.accessSettings.oauthSettings.oauthClientId,iapSettings.accessSettings.oauthSettings.oauthClientSecret" \
-d @iap-oauth.json

Pour vérifier que vos applications Web sont protégées par IAP avec les clients OAuth, consultez Tester l'accès.

Ancienne configuration des clients OAuth personnalisés sur une ressource

Les sections suivantes décrivent les anciennes méthodes de configuration des clients OAuth personnalisés dans IAP pour certains types de ressources. Vous pouvez ignorer cette section si vous avez utilisé la méthode décrite précédemment dans ce document.

App Engine

Cette section explique comment activer les clients OAuth personnalisés sur App Engine.

gcloud

Avant de configurer votre projet et votre IAP, vous devez disposer d'une version à jour de la gcloud CLI. Pour savoir comment installer la CLI gcloud, consultez la page Installer la CLI gcloud.

  1. Pour vous authentifier, utilisez la Google Cloud CLI et exécutez la commande suivante. 
    gcloud auth login
  2. Pour vous connecter, suivez l'URL qui s'affiche.
  3. Une fois la connexion effectuée, copiez le code de validation qui s'affiche et collez-le dans la ligne de commande.
  4. Exécutez la commande suivante pour spécifier le projet contenant la ressource que vous souhaitez protéger avec IAP. 
    gcloud config set project PROJECT_ID
  5. Suivez les instructions de la section Créer des clients OAuth pour les achats intégrés pour configurer l'écran de consentement OAuth et créer le client OAuth.
  6. Enregistrez l'ID client et le secret OAuth.
  7. Pour activer les achats intégrés, exécutez la commande suivante. 
    gcloud iap web enable \
    --oauth2-client-id=CLIENT_ID \
    --oauth2-client-secret=CLIENT_SECRET \
    --resource-type=app-engine

Une fois que vous avez activé IAP, vous pouvez modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor via la gcloud CLI. Découvrez comment gérer les rôles et les autorisations.

API

  1. Suivez les instructions de la section Créer des clients OAuth pour les achats intégrés pour configurer l'écran de consentement OAuth et créer le client OAuth.

  2. Enregistrez l'ID client et le secret OAuth.

  3. Exécutez la commande suivante pour préparer un fichier settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled": true,
    "oauth2ClientId": "CLIENT_ID",
    "oauth2ClientSecret":" CLIENT_SECRET"
  }
}
EOF

  4. Exécutez la commande suivante pour activer les achats intégrés. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Une fois que vous avez activé IAP, vous pouvez modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor via la Google Cloud CLI. Découvrez comment gérer les rôles et les autorisations.

GKE

Cette section explique comment activer les clients OAuth personnalisés sur GKE.

Configurer BackendConfig

Si vous exécutez des clusters GKE version 1.24 ou ultérieure, vous pouvez configurer IAP et GKE à l'aide de l'API Kubernetes Gateway. Pour obtenir des instructions, consultez Configurer IAP.

  1. Suivez les instructions de la section Créer des clients OAuth pour IAP pour configurer l'écran de consentement OAuth et créer le client OAuth.

  2. Créez un secret Kubernetes pour encapsuler le client OAuth. 

    kubectl create secret generic MY_SECRET --from-literal=client_id=CLIENT_ID \
  --from-literal=client_secret=CLIENT_SECRET
    Remplacez les éléments suivants :

    • MY_SECRET : nom du secret à créer.
    • CLIENT_ID : ID client OAuth
    • CLIENT_SECRET : code secret du client OAuth

    Vous devriez recevoir une confirmation, comme celle ci-dessous, indiquant que le Secret a bien été créé : 

    secret "MY_SECRET" created

  3. Ajoutez les identifiants OAuth à BackendConfig. 

    apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: CONFIG_DEFAULT
  namespace: my-namespace
spec:
iap:
  enabled: true
  oauthclientCredentials:
    secretName: MY_SECRET

  4. Activez IAP en associant des ports de service à votre BackendConfig. Consultez Associer BackendConfig à votre ressource Ingress. Pour ce faire, vous pouvez par exemple définir tous les ports du service comme ports par défaut pour votre ressource BackendConfig. Pour cela, ajoutez l'annotation suivante à votre ressource Service : 

    metadata:
  annotations:
      beta.cloud.google.com/backend-config: '{"default": "CONFIG_DEFAULT"}}'

Après avoir activé IAP, vous pouvez utiliser la gcloud CLI pour modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor. Découvrez comment gérer les rôles et les autorisations.

Dépannage

Si le secret secretName que vous avez référencé n'existe pas ou n'est pas correctement structuré, l'un des messages d'erreur suivants s'affiche :

  • BackendConfig default/config-default is not valid: error retrieving secret "foo": secrets "foo" not found. Pour résoudre cette erreur, assurez-vous d'avoir correctement créé le Secret Kubernetes, comme décrit à l'étape 2.

  • BackendConfig default/config-default is not valid: secret "foo" missing client_secret data. Pour résoudre cette erreur, assurez-vous d'avoir correctement créé les identifiants OAuth. Vérifiez également que vous avez référencé les clés client_id et client_secret correctes.

Service de backend d'équilibreur de charge

Pour les utilisateurs de Compute Engine et Cloud Run, cette section explique comment configurer des clients OAuth dans IAP pour le service de backend de l'équilibreur de charge.

gcloud

Avant de configurer votre projet et votre IAP, vous devez disposer d'une version à jour de la CLI gcloud. Pour savoir comment installer la CLI gcloud, consultez Installer la CLI gcloud.

  1. Pour vous authentifier, utilisez la Google Cloud CLI et exécutez la commande suivante. 
    gcloud auth login
  2. Pour vous connecter, suivez l'URL qui s'affiche.
  3. Une fois la connexion effectuée, copiez le code de validation qui s'affiche et collez-le dans la ligne de commande.
  4. Exécutez la commande suivante pour spécifier le projet contenant la ressource que vous souhaitez protéger avec IAP. 
    gcloud config set project PROJECT_ID
  5. Suivez les instructions de la section Créer des clients OAuth pour les achats intégrés pour configurer l'écran de consentement OAuth et créer le client OAuth.
  6. Enregistrez l'ID client et le secret OAuth.
  7. Pour activer l'IAP, exécutez la commande à portée globale ou régionale.

    Champ d'application global 
    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --global \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET
     Champ d'application régional 
    gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --region REGION_NAME \
    --iap=enabled,oauth2-client-id=CLIENT_ID,oauth2-client-secret=CLIENT_SECRET

Une fois que vous avez activé IAP, vous pouvez modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor via la gcloud CLI. Découvrez comment gérer les rôles et les autorisations.

API

  1. Suivez les instructions de la section Créer des clients OAuth pour les achats intégrés pour configurer l'écran de consentement OAuth et créer le client OAuth.

  2. Enregistrez l'ID client et le secret OAuth.

  3. Exécutez la commande suivante pour préparer un fichier settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled": true,
    "oauth2ClientId": "CLIENT_ID",
    "oauth2ClientSecret": "CLIENT_SECRET"
  }
}
EOF

  4. Exécutez la commande suivante pour activer les achats intégrés. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME"

Une fois que vous avez activé IAP, vous pouvez modifier la stratégie d'accès IAP à l'aide du rôle IAM roles/iap.httpsResourceAccessor via la gcloud CLI. Découvrez comment gérer les rôles et les autorisations.

Tester l'accès

Une fois que vous avez configuré votre client OAuth personnalisé, vous pouvez vérifier qu'IAP l'utilise pour protéger votre service en procédant comme suit :

  1. Sur la page IAP, dans l'onglet Applications, affichez les applications gérées par IAP.

  2. Accédez à l'URL de l'une des applications. Si vous accédez à l'application pour la première fois depuis que vous avez configuré l'écran d'autorisation, vous voyez l'écran d'autorisation que vous avez configuré précédemment.