Como ativar o IAP para o App Engine

Nesta página, você vai aprender a proteger uma instância do App Engine com o Identity-Aware Proxy (IAP).

Antes de começar

Para ativar o IAP para o App Engine, você precisará destes elementos:

Um Google Cloud projeto do console com o faturamento ativado.

Se você ainda não configurou a instância do App Engine, consulte Como implantar o App Engine para um tutorial completo.

O IAP usa um cliente OAuth gerenciado pelo Google para autenticar usuários. Somente usuários na organização podem acessar o aplicativo ativado IAP app. Se você quiser permitir o acesso a usuários fora da sua organização, consulte Ativar o IAP para aplicativos externos.

Como ativar o IAP

Console

O cliente OAuth gerenciado pelo Google não está disponível ao ativar o IAP usando o console Google Cloud .

Dynamic include file

If you haven't configured your project's OAuth consent screen, you'll be prompted to do so. To configure your OAuth consent screen, see Setting up your OAuth consent screen.

Setting up IAP access

Go to the Identity-Aware Proxy page.
Go to the Identity-Aware Proxy page
Select the project you want to secure with IAP.
Select the checkbox next to the resource you want to grant access to.
On the right side panel, click Add principal.
In the Add principals dialog that appears, enter the email addresses of groups or individuals who should have the IAP-secured Web App User role for the project.
The following kinds of principals can have this role:
- Google Account: user@gmail.com
- Google Group: admins@googlegroups.com
- Service account: server@example.gserviceaccount.com
- Google Workspace domain: example.com
Make sure to add a Google Account that you have access to.
Select Cloud IAP > IAP-secured Web App User from the Roles drop-down list.
Click Save.

Turning on IAP

On the Identity-Aware Proxy page, under Applications, find the application you want to restrict access to. To turn on IAP for a resource,
In the Turn on IAP window that appears, click Turn On to confirm that you want IAP to secure your resource. After you turn on IAP, it requires login credentials for all connections to your load balancer. Only principals with the IAP-Secured Web App User (roles/iap.httpsResourceAccessor) role on the project will be given access.

gcloud

Antes de configurar o projeto e o IAP, você precisa de uma versão atualizada da CLI gcloud. Para instruções sobre como instalar a CLI gcloud, consulte Instalar a CLI gcloud.

Para fazer a autenticação, use a CLI do Google Cloud e execute o comando a seguir.
```
gcloud auth login
```
Clique no URL que aparece e faça login.
Depois de fazer login, copie o código de verificação que aparece e cole-o na linha de comando.
Execute o comando a seguir para especificar o projeto que contém os aplicativos que você quer proteger com o IAP.
```
gcloud config set project PROJECT_ID
```

Para ativar o IAP, execute o comando a seguir.

gcloud iap web enable --resource-type=app-engine --versions=version

Adicione participantes que terão o papel de usuário do app da Web protegido pelo IAP ao projeto.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=PRINCIPAL_IDENTIFIER \
       --role=roles/iap.httpsResourceAccessor
```
- Substitua PROJECT_ID pela ID do seu projeto.
- Substitua PRINCIPAL_IDENTIFIER pelos princípios necessários. Pode ser um tipo de domínio, grupo, serviceAccount ou usuário. Por exemplo, user:myemail@example.com.

Depois de ativar o IAP, será possível usar a CLI gcloud para modificar a política de acesso do IAP usando o papel roles/iap.httpsResourceAccessor do IAM. Saiba mais sobre como gerenciar papéis e permissões.

API

Run the following command to prepare a settings.json file.

cat << EOF > settings.json
{
"iap":
  {
    "enabled":true
  }
}
EOF

Run the following command to enable IAP.

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"

After you enable IAP, you can use the Google Cloud CLI to modify the IAP access policy using the IAM role roles/iap.httpsResourceAccessor. Learn more about managing roles and permissions.

Observação:quando um aplicativo do App Engine consiste em vários serviços, para tornar alguns serviços acessíveis publicamente e manter outros restritos, ative a IAP em todo o aplicativo e conceda a função de usuário do app da Web protegido pela IAP a allUsers ou allAuthenticatedUsers nos serviços que devem ser acessíveis publicamente.

Acesso baseado em papéis:somente os principais com o papel de usuário do app da Web protegido pelo IAP (roles/iap.httpsResourceAccessor) nesse projeto têm acesso. O acesso a aplicativos protegidos pela IAP não é concedido automaticamente, mesmo para funções com permissões extensas, como Owner ou Editor.

Testar a autenticação do usuário

Depois que a função é concedida, os principais podem acessar o app após a autenticação com o IAP. Acesse o URL do app usando uma Conta do Google que recebeu o IAP com o papel de usuário do app da Web protegido pelo IAP (roles/iap.httpsResourceAccessor).
Use uma janela anônima no Chrome para acessar o app e faça login quando solicitado. Os usuários que recebem o papel de usuário do app da Web protegido pelo IAP e se autenticam com sucesso podem acessar o app. Os usuários que não recebem o papel necessário ou não conseguem se autenticar não podem acessar o app.

Como ativar o IAP para o App Engine Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Como ativar o IAP

Console

Setting up IAP access

Turning on IAP

gcloud

API

Testar a autenticação do usuário

Como ativar o IAP para o App Engine