Attivazione di IAP per App Engine

Questa pagina spiega come proteggere un'istanza App Engine con Identity-Aware Proxy (IAP).

Prima di iniziare

Per abilitare IAP per App Engine, devi disporre di:

  • Un progetto della console Google Cloud con la fatturazione abilitata.

Se non hai ancora configurato l'istanza App Engine, consulta Deployment di App Engine per una procedura dettagliata completa.

IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all'applicazione abilitata per IAP-app. Se vuoi consentire l'accesso a utenti esterni all'organizzazione, consulta Attivare IAP per applicazioni esterne.

Attivazione di IAP

Console

Il client OAuth gestito da Google non è disponibile quando abiliti IAP utilizzando la console Google Cloud .

File di inclusione dinamica

Se non hai configurato la schermata per il consenso OAuth del progetto, ti verrà chiesto di farlo. Per configurare la schermata per il consenso OAuth, consulta Configurazione della schermata per il consenso OAuth.

Configurazione dell'accesso IAP

  1. Vai alla pagina Identity-Aware Proxy.
    Vai alla pagina Identity-Aware Proxy
  2. Seleziona il progetto che vuoi proteggere con IAP.
  3. Seleziona la casella di controllo accanto alla risorsa a cui vuoi concedere l'accesso.
  4. Nel riquadro laterale a destra, fai clic su Aggiungi entità.
  5. Nella finestra di dialogo Aggiungi entità visualizzata, inserisci gli indirizzi email dei gruppi o delle persone che devono avere il ruolo Utente applicazione web con protezione IAP per il progetto.

    I seguenti tipi di entità possono avere questo ruolo:

    • Account Google: user@gmail.com
    • Gruppo Google: admins@googlegroups.com
    • Service account: server@example.gserviceaccount.com
    • Dominio Google Workspace: example.com

    Assicurati di aggiungere un Account Google a cui hai accesso.

  6. Seleziona Cloud IAP > Utente applicazione web con protezione IAP dall'elenco a discesa Ruoli.
  7. Fai clic su Salva.

Attivazione di IAP

  1. Nella pagina Identity-Aware Proxy, nella sezione Applicazioni, trova l'applicazione a cui vuoi limitare l'accesso. Per attivare IAP per una risorsa,
  2. Nella finestra Attiva IAP visualizzata, fai clic su Attiva per confermare che vuoi che IAP protegga la tua risorsa. Dopo aver attivato IAP, sono necessarie le credenziali di accesso per tutte le connessioni al bilanciatore del carico. Solo le entità con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor) nel progetto avranno accesso.

gcloud

Prima di configurare il progetto e gli acquisti in-app, devi disporre di una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, consulta Installare gcloud CLI.

  1. Per l'autenticazione, utilizza Google Cloud CLI ed esegui il comando seguente. 
    gcloud auth login
  2. Fai clic sull'URL visualizzato e accedi.
  3. Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
  4. Esegui il seguente comando per specificare il progetto contenente le applicazioni che vuoi proteggere con IAP. 
    gcloud config set project PROJECT_ID
  5. Per abilitare gli acquisti in-app, esegui il seguente comando. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Aggiungi al progetto le entità che devono avere il ruolo Utente applicazione web con protezione IAP. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Sostituisci PROJECT_ID con l'ID progetto.
    • Sostituisci PRINCIPAL_IDENTIFIER con i principali necessari. Può trattarsi di un tipo di dominio, gruppo, account di servizio o utente. Ad esempio, user:myemail@example.com.

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando gcloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

API

  1. Esegui il comando seguente per preparare un file settings.json. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Esegui il comando seguente per attivare l'IAP. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Dopo aver attivato l'IAP, puoi utilizzare l'interfaccia a riga di comando Google Cloud per modificare il criterio di accesso IAP utilizzando il ruolo IAMroles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

Testare l'autenticazione utente

  1. Una volta concesso il ruolo, le entità possono accedere all'app dopo l'autenticazione con IAP. Accedi all'URL dell'app da un Account Google a cui è stato concesso IAP con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor).

  2. Utilizza una finestra in modalità incognito su Chrome per raggiungere l'app e accedere quando richiesto. Gli utenti a cui viene concesso il ruolo Utente applicazione web con protezione IAP e che hanno eseguito l'autenticazione possono accedere all'app. Gli utenti a cui non viene concesso il ruolo richiesto o che non riescono a eseguire l'autenticazione non possono accedere all'app.