Configurer IAP avec la fédération d'identité de personnel

Cette page explique comment configurer Identity-Aware Proxy (IAP) pour utiliser la fédération d'identité de personnel.

Lorsque vous configurez la fédération d'identité du personnel avec IAP, vous pouvez utiliser un fournisseur d'identité (IdP) externe pour authentifier et autoriser un personnel (un groupe d'utilisateurs tels que des employés, des partenaires et des sous-traitants) à l'aide d'Identity and Access Management (IAM), afin que les utilisateurs puissent accéder de manière sécurisée aux services déployés surGoogle Cloud ou sur site.

La configuration d'IAP avec la fédération des identités des employés vous permet d'effectuer les opérations suivantes concernant vos applications sécurisées par IAP :

  • Redirigez un utilisateur final vers un fournisseur d'identité externe, tel qu'Okta, pour qu'il se connecte.
  • Configurez une session de connexion d'une durée comprise entre 15 minutes et 12 heures.
  • Autorisez uniquement des utilisateurs finaux ou des ensembles d'utilisateurs finaux spécifiques dans un IdP à accéder à votre application.
  • Spécifiez le contexte dans lequel un utilisateur final peut accéder à une application. Par exemple, n'autorisez l'accès qu'à une heure spécifique de la journée.

Vous pouvez utiliser IAP avec la fédération d'identité de personnel sur toutes les ressources et tous les équilibreurs de charge existants compatibles avec IAP.

Configurer IAP avec la fédération d'identité de personnel pour une application

La configuration d'IAP avec la fédération d'identité de personnel comprend les tâches principales suivantes :

  1. Configurez un pool d'employés et un fournisseur.
  2. Créez un ID client et un code secret OAuth.
  3. Activez IAP et configurez-le pour qu'il utilise la fédération des identités des employés.

Configurer un pool d'employés et un fournisseur

Pour configurer un pool et un fournisseur de personnel, suivez les instructions de la section Fédération d'identité de personnel. Lorsque vous définissez la durée de la session, consultez Gérer les sessions IAP avec la fédération d'identité de personnel.

Si vous souhaitez mapper une adresse e-mail provenant d'un IdP tiers à Google Cloud, vous devez ajouter un mappage d'attribut dans votre fournisseur de pool d'employés pour google.email. Exemple : google.email=assertion.email.

Créer un ID client et un code secret OAuth

  1. Suivez les instructions pour créer un ID client et un secret OAuth dans un projet de la même organisation que le pool d'employés que vous utiliserez pour cette configuration. Le projet ne doit pas nécessairement être le même que celui dans lequel se trouve la ressource sécurisée par IAP. Lorsque vous créez l'ID client et le code secret OAuth, procédez comme suit :

    1. Utilisez un espace réservé pour l'URI de redirection lorsque vous créez l'ID client. Après avoir créé l'ID client, exécutez describe un client OAuth pour obtenir le clientID généré.

    2. Une fois que vous avez le clientID, exécutez update un client OAuth pour mettre à jour allowed-redirect-uris sur https://iap.googleapis.com/v1/oauth/clientIds/$CLIENT_ID:handleRedirect.

      CLIENT_ID correspond à la valeur clientID récupérée à l'étape précédente.

    3. Après avoir créé le code secret du client, exécutez describe des identifiants client OAuth pour obtenir le clientSecret généré.

    Enregistrez les valeurs clientId et clientSecret, car vous en aurez besoin lors d'une prochaine étape.

Activer IAP pour utiliser la fédération des identités des employés

Pour activer IAP avec la fédération d'identité des employés, procédez comme suit.

Activer IAP

Activez IAP sur la ressource.

Console

  1. Dans la console Google Cloud , ouvrez la page IAP.
    Accéder à la page IAP
  2. Sélectionnez un projet. Le projet doit appartenir à la même organisation que le pool d'employés que vous avez créé précédemment. Il n'est pas nécessaire que le projet soit celui dans lequel vous avez créé l'ID client et le secret OAuth.
  3. Cliquez sur l'onglet Applications, puis recherchez l'application dont vous souhaitez restreindre l'accès à l'aide d'IAP.
  4. Dans la colonne "IAP", basculez le bouton sur Activer.

gcloud

Pour utiliser la gcloud CLI afin d'activer IAP, suivez les procédures applicables au service :

API

  1. Créez un fichier settings.json.

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true,
 }
}
EOF

  2. Activez IAP sur App Engine.

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap.enabled"

    Pour activer IAP sur Compute Engine, utilisez l'URL suivante : https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME?updateMask=iap.enabled.

Modifier les paramètres d'IAP'application

Pour configurer IAP afin qu'il utilise la fédération d'identité de personnel, vous devez configurer les paramètres suivants :

  • WorkforceIdentitySettings : ID client et code secret OAuth créés précédemment.
  • IdentitySources : source d'identité.

Pour en savoir plus, consultez les API IAP.

gcloud

  1. En vous basant sur l'exemple suivant, créez un fichier iap_settings.yaml.

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.yaml
access_settings:
  identity_sources: ["WORKFORCE_IDENTITY_FEDERATION"]
  workforce_identity_settings:
    workforce_pools: ["$WORKFORCE_POOL_NAME"]
    oauth2:
      client_id: "$CLIENT_ID"
      client_secret: "$CLIENT_SECRET"
EOF

  2. Exécutez la commande suivante pour mettre à jour les paramètres d'IAP;application pour votre ressource.

    gcloud iap settings set iap_settings.yaml --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE

    Remplacez les éléments suivants :

    • PROJECT : ID du projet.

    • RESOURCE_TYPE : type de ressource IAP. Le type de ressource doit être cloud-run (bêta), app-engine, iap_web, compute, organization ou folder.

      Pour le type de ressource cloud-run, utilisez l'indicateur --region pour indiquer la région dans laquelle votre service Cloud Run est déployé.

    • SERVICE : le nom du service. Cette étape est facultative pour app-engine et compute.

    Pour en savoir plus sur cette commande, consultez gcloud iap settings set.

API

  1. En vous basant sur l'exemple suivant, créez un fichier de paramètres iap_settings.json.

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.json
{
   "access_settings": {
     "identity_sources": ["WORKFORCE_IDENTITY_FEDERATION"],
     "workforce_identity_settings": {
       "workforce_pools": ["$WORKFORCE_POOL_NAME"],
       "oauth2": {
         "client_id": "$CLIENT_ID",
         "client_secret": "$CLIENT_SECRET",
       }
    }
  }
}
EOF

  2. Utilisez la gcloud CLI pour obtenir le nom de la ressource, puis copiez le RESOURCE_NAME à partir de la sortie, car vous en aurez besoin à l'étape suivante. 

    gcloud iap settings get \
    --project=PROJECT \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE

    Remplacez les éléments suivants :

    • PROJECT : ID du projet.
    • RESOURCE_TYPE : type de ressource IAP. Le type de ressource doit être appengine, iap_web, compute, organization, folder ou cloud_run-$REGION (Preview), où $REGION est la région dans laquelle votre service Cloud Run est déployé.
    • SERVICE : le nom du service. Cette étape est facultative pour app-engine et compute.

  3. Dans la commande suivante, remplacez RESOURCE_NAME par le RESOURCE_NAME de l'étape précédente.

    curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.identitySources,iapSettings.accessSettings.workforceIdentitySettings.workforcePools,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientId,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientSecret"

Accorder l'accès aux ressources sécurisées par IAP

Pour accéder à une ressource sécurisée par IAP, les utilisateurs finaux doivent disposer du rôle Utilisateur de l'application Web sécurisée par IAP sur la ressource. Vous pouvez attribuer le rôle "Utilisateur de l'application Web sécurisée par IAP" à un seul utilisateur (principal) ou à un ensemble d'utilisateurs (ensemble de comptes principaux, qui correspond à un groupe, à un attribut spécifique ou à un pool d'utilisateurs entier).

L'accès illimité aux ressources sécurisées par IAP n'est pas autorisé.

Console

  1. Dans la console Google Cloud , ouvrez la page IAP.
    Accéder à la page IAP
  2. Sélectionnez le projet que vous souhaitez sécuriser avec IAP.
  3. Cliquez sur Ajouter un compte principal, puis ajoutez les identifiants de compte principal des groupes ou des personnes auxquels vous souhaitez attribuer un rôle IAM pour la ressource.
  4. Dans Attribuer des rôles, sélectionnez Utilisateur de l'application Web sécurisée par IAP.
  5. Cliquez sur Ajouter.

gcloud

Exécutez la commande ci-dessous.

gcloud iap web add-iam-policy-binding \
    --member=PRINCIPAL_IDENTIFIER \
    --role='roles/iap.httpsResourceAccessor' \
    --project=PROJECT_ID \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE \
    --condition=CONDITION

Remplacez les éléments suivants :

  • PRINCIPAL_IDENTIFIER : identifiants principaux.
  • PROJECT_ID : ID du projet.
  • RESOURCE_TYPE : type de ressource IAP, qui peut être app-engine ou backend-services.
  • SERVICE : (facultatif) nom du service.
  • CONDITION : (facultatif) conditions IAM. Voici un exemple de condition configurée avec des niveaux d'accès :
expression="accessPolicies/12345678/accessLevels/iap_test_access_level" in request.auth.access_levels,title=iap-test-access-level,description=only access in weekdays

API

Cette méthode n'est pas recommandée, car elle affecte l'intégralité de la stratégie IAM d'une ressource. Une erreur peut supprimer la règle d'une ressource.

  1. Obtenez les liaisons de stratégie IAM existantes.

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d {} \
"https://iap.googleapis.com/v1/RESOURCE_NAME:getIamPolicy" -o iam_policy_bindings.json

    Remplacez RESOURCE_NAME par le RESOURCE_NAME que vous avez obtenu lors d'une étape précédente.

  2. Dans le fichier iam_policy_bindings.json que vous avez obtenu à l'étape précédente, supprimez les lignes de version et d'etag, puis ajoutez la liaison que vous souhaitez ajouter pour l'identifiant principal. Pour en savoir plus, consultez Comprendre les stratégies d'autorisation.

    {
  "bindings": [
    {
      // existing bindings
    },
    {
      "role": "roles/iap.httpsResourceAccessor",
      "members": [
      "principal://iam.googleapis.com/locations/global/workforcePools/iap-test-pool/subject/iap-test-subject"
      ],
      "condition": {
        "expression": "\"accessPolicies/12345678/accessLevels/iap_test_access_level\" in request.auth.access_levels",
        "title": "iap-test-access-level",
        "description": "only access in week days"
      }
    }
  ]
}

  3. Mettez à jour les liaisons de stratégie IAM.

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d "{"policy":$(cat iam_policy_bindings.json)}" \
"https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"

    Remplacez RESOURCE_NAME par le RESOURCE_NAME que vous avez obtenu lors d'une étape précédente.

Pour en savoir plus, consultez GetIamPolicy et SetIamPolicy.

(Facultatif) Configurer l'accès contextuel

Vous pouvez également configurer des règles d'accès contextuel pour l'autorisation avancée.

Pour configurer des niveaux d'accès, consultez Créer et appliquer des niveaux d'accès. Les niveaux d'accès basés sur les informations sur les appareils ne sont pas disponibles lorsque vous utilisez la fédération des identités des employés. Vous pouvez toujours utiliser des niveaux d'accès basés sur le contexte de la requête avec des conditions sur l'adresse IP, ainsi que sur l'heure et la date.

Authentification automatisée

IAP est compatible avec l'authentification JWT de compte de service pour les applications configurées avec Workforce Identity Federation. Pour obtenir des instructions, consultez S'authentifier avec un JWT de compte de service.

Limites lorsque vous utilisez des pools d'employés

  • Pour chaque application compatible avec IAP, un seul pool de personnel peut être configuré, et ce pool ne peut contenir qu'un seul fournisseur.
  • Le pool d'employés, l'ID client et le code secret OAuth, ainsi que les applications compatibles avec IAP doivent tous se trouver dans la même organisation.
  • Les niveaux d'accès aux informations liées aux appareils ne sont pas acceptés.
  • Seules les configurations de paramètres IAP suivantes sont acceptées :
  • L'accès programmatique avec la fédération d'identité de personnel n'est compatible qu'avec les comptes de service Google.

Dépannage

Pour en savoir plus sur le dépannage, consultez Dépannage et questions fréquentes.