במאמר הזה מוסבר איך להגדיר את Identity-Aware Proxy (IAP) לשימוש בזהויות חיצוניות. באמצעות שילוב של IAP ו-Identity Platform, אתם יכולים לאמת משתמשים עם מגוון רחב של ספקי זהויות (כמו OAuth, SAML, OIDC ועוד), במקום רק עם חשבונות Google.
הפעלה והגדרה של Identity Platform
שרת IAP משתמש ב-Identity Platform כדי לאמת זהויות חיצוניות. במדריך למתחילים בנושא Identity Platform מוסבר איך להפעיל את התכונה.
אם רוצים להשתמש בכמה דיירים, צריך גם לפעול לפי השלבים במאמר תחילת העבודה עם ריבוי דיירים. אם אתם לא צריכים לבודד משאבים, אתם יכולים לדלג על השלב הזה ולהגדיר את כל הספקים ברמת הפרויקט. אם אתם לא בטוחים אם כדאי להפעיל ריבוי דיירים, כדאי לעיין בסקירה הכללית על זהויות חיצוניות.
לבסוף, צריך להפעיל את הספקים. במדריך המקוצר מוסבר איך להשתמש באימות פשוט של שם משתמש וסיסמה, אבל פלטפורמת Identity Platform תומכת במגוון רחב של סוגי ספקים, כולל:
- כתובת אימייל וסיסמה
- OAuth (כמו Google, Facebook, Twitter ועוד)
- SAML
- OIDC
- מספר טלפון
- אנונימי
במאמרי העזרה של Identity Platform מוסבר איך להגדיר ספקים אחרים. שימו לב שאי אפשר להשתמש במספר טלפון ובאימות אנונימי עם ריבוי דיירים. כניסה ללא סיסמה באמצעות קישור באימייל לא נתמכת ב-IAP.
הפעלת IAP לשימוש בזהויות חיצוניות
אחרי שמגדירים את Identity Platform, אפשר להגדיר את IAP כך שישתמש בו לאימות.
פותחים את הדף IAP במסוף Google Cloud .
פתיחת הדף 'רכישות בתוך האפליקציה'בוחרים את אותו פרויקט שבו הגדרתם את Identity Platform. אין תמיכה בשימוש בפרויקטים שונים.
לוחצים על הכרטיסייה אפליקציות.
מאתרים את השירות שרוצים להגביל את הגישה אליו באמצעות IAP.
מעבירים את המתג בעמודה 'רכישות מתוך האפליקציה' למצב מופעל.
בחלונית הצדדית, לוחצים על התחלה בתיבה עם הכותרת שימוש בזהויות חיצוניות להרשאה.
מאשרים את הבחירה.
בחלונית הצדדית של Identity Platform:
בוחרים אם ליצור דף כניסה משלכם או לאפשר ל-IAP ליצור אותו בשבילכם.
הדרך הכי מהירה להתחיל היא לאפשר ל-IAP ליצור את דף הכניסה. אין צורך לפרוס שירותים נוספים או לכתוב קוד חדש, ואפשר לציין התאמות אישיות קלות באמצעות JSON. מידע נוסף זמין במאמר אירוח ממשק משתמש לאימות ב-Cloud Run.
הגבלת שיתוף לפי דומיין: אם הפרויקט כפוף לאילוץ הגבלת שיתוף לפי דומיין במדיניות הארגון, לא תוכלו ליצור שירותים ציבוריים כברירת מחדל. אתם יכולים להשתמש בתגים ובמדיניות מותנית כדי להחריג שירותים ספציפיים מהאילוץ הזה. מידע נוסף זמין בפוסט בבלוג בנושא יצירת שירותים ציבוריים של Cloud Run כשמופעלת הגבלת שיתוף בדומיין.
יצירת דף משלכם היא מורכבת יותר, אבל היא מאפשרת לכם שליטה מלאה בתהליך האימות ובחוויה. מידע נוסף זמין במאמרים יצירת ממשק משתמש לאימות באמצעות FirebaseUI ויצירת ממשק משתמש לאימות בהתאמה אישית.
אם בחרתם ליצור ממשק משתמש משלכם, מזינים כתובת URL לאימות. מערכת IAP תפנה אוטומטית בקשות לא מאומתות שהיא מקבלת לכתובת ה-URL הזו.
הכללת מפתח ה-API בכתובת ה-URL היא אופציונלית. אם לא תספקו מפתח, המסוף יצרף אוטומטית את מפתח ברירת המחדל שלכם. Google Cloud
בוחרים אם להשתמש בספקי פרויקטים או בדיירים.
מסמנים את התיבות של הספקים או הדיירים שרוצים להפעיל. בוחרים באפשרות הגדרת ספקים אם צריך לשנות את הספקים או הדיירים.
לוחצים על Save.
כל הכבוד! ה-IAP מוגדר לאימות משתמשים עם זהויות חיצוניות.
חזרה לזהויות ב-Google
אי אפשר להשתמש ב-IAM להרשאה כשמשתמשים בזהויות חיצוניות. כדי לחזור לזהויות Google כדי להשתמש ב-IAM, פועלים לפי השלבים הבאים:
חוזרים לדף IAP במסוף Google Cloud .
פתיחת הדף 'רכישות בתוך האפליקציה'בוחרים את המשאב שהוגדר לשימוש ב-IAP.
פותחים את חלונית המידע של Identity Platform.
בוחרים באפשרות שימוש ב-IAM לניהול המשאב הזה.
שימו לב: אם תחזרו לשימוש בזהויות של Google, כתובת ה-URL לאימות, הפרויקט והדיירים המשויכים יימחקו.
המאמרים הבאים
- אירוח דף כניסה ב-Cloud Run.
- יצירת דף כניסה באמצעות FirebaseUI.
- יצירת דף כניסה בהתאמה אישית
- איך זה עובד עם זהויות חיצוניות ב-IAP