Attivazione di IAP per App Engine

Questa pagina spiega come proteggere un'istanza App Engine con Identity-Aware Proxy (IAP).

Prima di iniziare

Per abilitare IAP per App Engine, devi disporre di:

Un progetto della console Google Cloud con la fatturazione abilitata.

Se non hai ancora configurato l'istanza App Engine, consulta Deployment di App Engine per una procedura dettagliata completa.

IAP utilizza un client OAuth gestito da Google per autenticare gli utenti. Solo gli utenti all'interno dell'organizzazione possono accedere all'applicazione abilitata per IAP-app. Se vuoi consentire l'accesso a utenti esterni all'organizzazione, consulta Attivare IAP per applicazioni esterne.

Attivazione di IAP

Console

Il client OAuth gestito da Google non è disponibile quando abiliti IAP utilizzando la console Google Cloud .

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under Applications, find the application you want to restrict access to. To turn on IAP for a resource,
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only principals with the IAP-Secured Web App User (roles/iap.httpsResourceAccessor) role on the project will be given access.

gcloud

Prima di configurare il progetto e IAP, devi avere una versione aggiornata di gcloud CLI. Per istruzioni su come installare gcloud CLI, vedi Installa gcloud CLI.

Per eseguire l'autenticazione, utilizza Google Cloud CLI ed esegui il seguente comando.
```
gcloud auth login
```
Fai clic sull'URL visualizzato ed esegui l'accesso.
Dopo aver eseguito l'accesso, copia il codice di verifica visualizzato e incollalo nella riga di comando.
Esegui il seguente comando per specificare il progetto che contiene le applicazioni che vuoi proteggere con IAP.
```
gcloud config set project PROJECT_ID
```

Per abilitare IAP, esegui il seguente comando.

gcloud iap web enable --resource-type=app-engine --versions=version

Aggiungi le entità che devono avere il ruolo Utente applicazione web con protezione IAP al progetto.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Sostituisci PROJECT_ID con l'ID progetto.
- Sostituisci PRINCIPAL_IDENTIFIER con le entità necessarie. Può trattarsi di un tipo di dominio, gruppo, serviceAccount o utente. Ad esempio, user:myemail@example.com.

Dopo aver abilitato IAP, puoi utilizzare gcloud CLI per modificare il criterio di accesso IAP utilizzando il ruolo IAM roles/iap.httpsResourceAccessor. Scopri di più sulla gestione di ruoli e autorizzazioni.

API

Run the following command to prepare a settings.json file.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Run the following command to enable IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Nota: quando un'applicazione App Engine è costituita da più servizi, per rendere alcuni servizi accessibili pubblicamente e mantenere altri con accesso limitato, attiva IAP sull'intera applicazione, quindi assegna il ruolo Utente app web protetta da IAP a allUsers o allAuthenticatedUsers sui servizi che devono essere accessibili pubblicamente.

Accesso basato sui ruoli:solo le entità con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor) in questo progetto hanno accesso. L'accesso alle applicazioni protette da IAP non viene concesso automaticamente, nemmeno ai ruoli con autorizzazioni estese come Owner o Editor.

Testare l'autenticazione dell'utente di test

Una volta concesso il ruolo, le entità possono accedere all'app dopo l'autenticazione con IAP. Accedi all'URL dell'app da un Account Google a cui è stato concesso IAP con il ruolo Utente applicazione web con protezione IAP (roles/iap.httpsResourceAccessor).
Utilizza una finestra in modalità incognito su Chrome per raggiungere l'app e accedere quando richiesto. Gli utenti a cui viene concesso il ruolo Utente applicazione web con protezione IAP e che hanno eseguito l'autenticazione possono accedere all'app. Gli utenti a cui non viene concesso il ruolo richiesto o che non riescono a eseguire l'autenticazione non possono accedere all'app.

Attivazione di IAP per App Engine Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Attivazione di IAP

Console

Setting up IAP access

Turning on IAP

gcloud

API

Testare l'autenticazione dell'utente di test

Attivazione di IAP per App Engine