IAP für App Engine aktivieren

Auf dieser Seite wird erläutert, wie eine App Engine-Instanz mit Identity-Aware Proxy (IAP) gesichert wird.

Vorbereitung

Zum Aktivieren von IAP für App Engine benötigen Sie Folgendes:

  • Ein Google Cloud console-Projekt mit aktivierter Abrechnung.

Wenn Sie Ihre App Engine-Instanz noch nicht eingerichtet haben, lesen Sie die vollständige Schritt-für-Schritt-Anleitung unter App Engine bereitstellen.

IAP verwendet einen von Google verwalteten OAuth-Client, um Nutzer zu authentifizieren. Nur Nutzer innerhalb der Organisation können auf die IAP-aktivierte Anwendung zugreifen. Wenn Sie Nutzern außerhalb Ihrer Organisation Zugriff gewähren möchten, lesen Sie IAP für externe Anwendungen aktivieren.

IAP aktivieren

Console

Der von Google verwaltete OAuth-Client ist nicht verfügbar, wenn Sie IAP über die Google Cloud console aktivieren.

Dynamische Include-Datei

Wenn Sie den OAuth-Zustimmungsbildschirm Ihres Projekts noch nicht konfiguriert haben, werden Sie dazu aufgefordert. Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms finden Sie unter OAuth-Zustimmungsbildschirm einrichten.

IAP-Zugriff einrichten

  1. Rufen Sie die Seite Identity-Aware Proxy auf.
    Zur Seite "Identity-Aware Proxy"
  2. Wählen Sie das Projekt aus, das Sie mit IAP sichern möchten.
  3. Klicken Sie das Kästchen neben der Ressource an, für die Sie Zugriff gewähren möchten.
  4. Klicken Sie auf der rechten Seite auf Hauptkonto hinzufügen.
  5. Fügen Sie im daraufhin angezeigten Dialogfeld Hauptkonten hinzufügen die E-Mail-Adressen von Nutzergruppen oder einzelnen Nutzern hinzu, denen Sie für das Projekt die Rolle Nutzer von IAP-gesicherten Web-Apps zuweisen möchten.

    Die folgenden Arten von Hauptkonten können diese Rolle haben:

    • Google-Konto: nutzer@gmail.com
    • Google Group: admins@googlegroups.com
    • Dienstkonto: server@example.gserviceaccount.com
    • Google Workspace-Domain: beispiel.de

    Fügen Sie unbedingt ein Google-Konto hinzu, auf das Sie zugreifen können.

  6. Wählen Sie in der Drop-down-Liste Rollen den Eintrag Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
  7. Klicken Sie auf Speichern.

IAP aktivieren

  1. Suchen Sie auf der Seite Identity-Aware Proxy unter Anwendungen nach der Anwendung, auf die Sie den Zugriff einschränken möchten.
  2. Klicken Sie im angezeigten Fenster IAP aktivieren auf Aktivieren, um zu bestätigen, dass die Ressource durch IAP gesichert werden soll. Nachdem Sie IAP aktiviert haben, sind für alle Verbindungen zu Ihrem Load-Balancer Anmeldedaten erforderlich. Zugriff erhalten nur Hauptkonten mit der Rolle „Nutzer von IAP-gesicherten Web-Apps“ (roles/iap.httpsResourceAccessor) für das Projekt.

gcloud

Bevor Sie Ihr Projekt und IAP einrichten, benötigen Sie eine aktuelle Version der gcloud CLI. Eine Anleitung zur Installation der gcloud CLI finden Sie unter gcloud CLI installieren.

  1. Verwenden Sie die Google Cloud CLI, um sich zu authentifizieren, und führen Sie den folgenden Befehl aus. 
    gcloud auth login
  2. Klicken Sie auf die angezeigte URL und melden Sie sich an.
  3. Kopieren Sie, nachdem Sie sich angemeldet haben, den angezeigten Bestätigungscode und fügen Sie ihn in die Befehlszeile ein.
  4. Führen Sie den folgenden Befehl aus, um das Projekt anzugeben, das die Anwendungen enthält, die Sie mit IAP schützen möchten. 
    gcloud config set project PROJECT_ID
  5. Führen Sie den folgenden Befehl aus, um IAP zu aktivieren. 
    gcloud iap web enable --resource-type=app-engine --versions=version
  6. Fügen Sie dem Projekt Hauptkonten hinzu, die die Rolle „Nutzer von IAP-gesicherten Web-Apps“ haben sollen. 
    gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
    • Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
    • Ersetzen Sie PRINCIPAL_IDENTIFIER durch die erforderlichen Hauptkonten. Dies kann eine Domain, Gruppe, ein Dienstkonto oder ein Nutzer sein. Beispiel: user:myemail@example.com.

Nachdem Sie IAP aktiviert haben, können Sie mit der gcloud CLI die IAP-Zugriffsrichtlinie mithilfe der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

API

  1. Führen Sie den folgenden Befehl aus, um eine settings.json-Datei vorzubereiten. 

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

  2. Führen Sie den folgenden Befehl aus, um IAP zu aktivieren. 

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

Nachdem Sie IAP aktiviert haben, können Sie mit der Google Cloud CLI die IAP-Zugriffsrichtlinie mithilfe der IAM-Rolle roles/iap.httpsResourceAccessor ändern. Weitere Informationen zum Verwalten von Rollen und Berechtigungen.

Nutzerauthentifizierung testen

  1. Nachdem die Rolle gewährt wurde, können die Principals nach der Authentifizierung mit IAP auf die Anwendung zugreifen. Rufen Sie die App-URL über ein Google-Konto auf, dem die Rolle Nutzer von IAP-gesicherten Webanwendungen (roles/iap.httpsResourceAccessor) gewährt wurde.

  2. Für den Zugriff auf die Anwendung verwenden Sie ein Inkognitofenster in Chrome. Melden Sie sich an, wenn Sie dazu aufgefordert werden. Nutzer, denen die Rolle Nutzer von IAP-gesicherten Webanwendungen gewährt wurde und die sich erfolgreich authentifiziert haben, können auf die Anwendung zugreifen. Nutzer, denen die erforderliche Rolle nicht gewährt wurde oder die sich nicht authentifizieren können, können nicht auf die Anwendung zugreifen.