Configura IAP con la federación de identidades de personal

En esta página, se muestra cómo configurar Identity-Aware Proxy (IAP) para usar la federación de identidades de personal.

Cuando configuras la federación de identidades de personal con IAP, puedes usar un proveedor de identidad externo (IdP) para autenticar y autorizar a un personal (un grupo de usuarios, como empleados, socios y contratistas) que usa Identity and Access Management (IAM), de modo que los usuarios puedan acceder de forma segura a los servicios implementados enGoogle Cloud o en las instalaciones.

Configurar IAP con la federación de identidades de personal te permite hacer lo siguiente con respecto a tus aplicaciones protegidas por IAP:

  • Redirigir a un usuario final a un IdP externo, como Okta, para que acceda
  • Configura una sesión de acceso de entre 15 minutos y 12 horas.
  • Permite que solo usuarios finales o conjuntos de usuarios finales específicos de un IdP accedan a tu aplicación.
  • Especifica el contexto en el que un usuario final puede acceder a una aplicación. Por ejemplo, solo permitir el acceso durante un horario específico del día

Puedes usar IAP con la federación de identidades de personal en todos los recursos y balanceadores de cargas existentes que admite IAP.

Configura IAP con la federación de identidades de personal para una aplicación

La configuración de IAP con la federación de identidades de personal comprende las siguientes tareas principales:

  1. Configura un proveedor y un grupo de personal.
  2. Crea un ID y un secreto de cliente de OAuth.
  3. Habilita IAP y configúralo para que use la federación de identidades de personal.

Configura un proveedor y un grupo de personal

Para configurar un grupo y un proveedor de personal, sigue las instrucciones que se indican en Federación de identidades de personal y, cuando configures el tiempo de duración de la sesión, consulta Administra IAP con sesiones de federación de identidades de personal.

Si deseas asignar una dirección de correo electrónico de un IdP externo a Google Cloud, debes agregar una asignación de atributos en tu proveedor de grupos de trabajadores para google.email. Ejemplo: google.email=assertion.email.

Crea un ID y un secreto de cliente de OAuth

  1. Sigue las instrucciones para crear un ID y un secreto de cliente de OAuth en un proyecto de la misma organización que el grupo de personal que usarás para esta configuración. No es necesario que sea el mismo proyecto en el que se encuentra el recurso protegido con IAP. Cuando crees el ID y el secreto del cliente de OAuth, haz lo siguiente:

    1. Usa un marcador de posición para el URI de redireccionamiento cuando crees el ID de cliente. Después de crear el ID de cliente, ejecuta describe un cliente de OAuth para obtener el clientID generado.

    2. Cuando tengas el clientID, ejecuta update un cliente de OAuth para actualizar allowed-redirect-uris a lo siguiente: https://iap.googleapis.com/v1/oauth/clientIds/$CLIENT_ID:handleRedirect.

      En ese ejemplo, CLIENT_ID es el clientID recuperado en el paso anterior.

    3. Después de crear el secreto del cliente, ejecuta describe una credencial de cliente de OAuth para obtener el clientSecret generado.

    Guarda los valores de clientId y clientSecret porque los necesitarás en pasos posteriores.

Habilita IAP para usar la federación de identidades de personal

Para habilitar IAP con la federación de identidades de personal, completa los siguientes pasos.

Habilitar IAP

Habilita IAP en el recurso.

Console

  1. En la Google Cloud consola, abre la página de IAP.
    Ir a la página de IAP
  2. Selecciona un proyecto. El proyecto debe estar en la misma organización que el grupo de personal que creaste anteriormente. No es necesario que sea el proyecto en el que creaste el ID de cliente y el secreto de OAuth.
  3. Haz clic en la pestaña Aplicaciones y, luego, busca la aplicación a la que deseas restringir el acceso con IAP.
  4. En la columna IAP, activa la opción Activado (On).

gcloud

Para usar gcloud CLI y habilitar el IAP, sigue los procedimientos del servicio correspondiente:

API

  1. Crea un archivo settings.json.

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true,
 }
}
EOF

  2. Habilita IAP en App Engine.

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap.enabled"

    Para habilitar IAP en Compute Engine, usa la siguiente URL: https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME?updateMask=iap.enabled.

Actualiza la configuración de las IAP

Para configurar IAP de modo que use la federación de identidades de personal, debes configurar los siguientes parámetros:

  • WorkforceIdentitySettings: Es el ID de cliente y el secreto de OAuth que creaste anteriormente.
  • IdentitySources: Es la fuente de identidad.

Para obtener más información, consulta las APIs de IAP.

gcloud

  1. Con el siguiente ejemplo como referencia, crea un archivo iap_settings.yaml.

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.yaml
access_settings:
  identity_sources: ["WORKFORCE_IDENTITY_FEDERATION"]
  workforce_identity_settings:
    workforce_pools: ["$WORKFORCE_POOL_NAME"]
    oauth2:
      client_id: "$CLIENT_ID"
      client_secret: "$CLIENT_SECRET"
EOF

  2. Ejecuta el siguiente comando para actualizar la configuración de IAP de tu recurso.

    gcloud iap settings set iap_settings.yaml --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE

    Reemplaza lo siguiente:

    • PROJECT: El ID del proyecto

    • RESOURCE_TYPE: Es el tipo de recurso de la IAP. El tipo de recurso debe ser cloud-run (versión preliminar), app-engine, iap_web, compute, organization o folder.

      Para el tipo de recurso cloud-run, usa la marca --region para indicar la región en la que se implementa tu servicio de Cloud Run.

    • SERVICE: el nombre del servicio Este campo es opcional para app-engine y compute.

    Para obtener detalles sobre el comando, consulta gcloud iap settings set.

API

  1. Con el siguiente ejemplo como referencia, crea un archivo de configuración iap_settings.json.

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.json
{
   "access_settings": {
     "identity_sources": ["WORKFORCE_IDENTITY_FEDERATION"],
     "workforce_identity_settings": {
       "workforce_pools": ["$WORKFORCE_POOL_NAME"],
       "oauth2": {
         "client_id": "$CLIENT_ID",
         "client_secret": "$CLIENT_SECRET",
       }
    }
  }
}
EOF

  2. Usa gcloud CLI para obtener el nombre del recurso y, luego, copia RESOURCE_NAME del resultado, ya que lo necesitarás en el siguiente paso. 

    gcloud iap settings get \
    --project=PROJECT \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE

    Reemplaza lo siguiente:

    • PROJECT: El ID del proyecto
    • RESOURCE_TYPE: Es el tipo de recurso de la IAP. El tipo de recurso debe ser appengine, iap_web, compute, organization, folder o cloud_run-$REGION (vista previa), donde $REGION es la región en la que se implementa tu servicio de Cloud Run.
    • SERVICE: el nombre del servicio Esto es opcional para app-engine y compute.

  3. Reemplaza RESOURCE_NAME en el siguiente comando por el RESOURCE_NAME del paso anterior.

    curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.identitySources,iapSettings.accessSettings.workforceIdentitySettings.workforcePools,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientId,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientSecret"

Otorga acceso a los recursos protegidos con IAP

Para acceder a un recurso protegido con IAP, los usuarios finales deben tener el rol de usuario de aplicación web protegida con IAP en el recurso. Puedes otorgar el rol de usuario de aplicación web protegida con IAP a un solo usuario (principal) o a un conjunto de usuarios (conjunto de principales, que se asigna a un grupo, un atributo específico o un grupo completo de usuarios).

No se admite el acceso sin restricciones a los recursos protegidos por IAP.

Console

  1. En la Google Cloud consola, abre la página IAP.
    Ir a la página de IAP
  2. Selecciona el recurso que deseas proteger con IAP.
  3. Haz clic en Agregar principal y, luego, agrega los identificadores principales de los grupos o las personas a los que deseas otorgarles un rol de IAM para el recurso.
  4. En Asignar roles, selecciona Usuario de aplicación web protegida con IAP.
  5. Haz clic en Agregar.

gcloud

Ejecuta el siguiente comando.

gcloud iap web add-iam-policy-binding \
    --member=PRINCIPAL_IDENTIFIER \
    --role='roles/iap.httpsResourceAccessor' \
    --project=PROJECT_ID \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE \
    --condition=CONDITION

Reemplaza lo siguiente :

  • PRINCIPAL_IDENTIFIER: Son los identificadores principales.
  • PROJECT_ID: El ID del proyecto
  • RESOURCE_TYPE: Es el tipo de recurso de IAP, que puede ser app-engine o backend-services.
  • SERVICE: (Opcional) Es el nombre del servicio.
  • CONDITION: (Opcional) Condiciones de IAM. A continuación, se muestra un ejemplo de condición configurada con niveles de acceso:
expression="accessPolicies/12345678/accessLevels/iap_test_access_level" in request.auth.access_levels,title=iap-test-access-level,description=only access in weekdays

API

No se recomienda este método porque afecta a toda la política de IAM de un recurso. Un error podría quitar la política de un recurso.

  1. Obtén las vinculaciones de políticas de IAM existentes.

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d {} \
"https://iap.googleapis.com/v1/RESOURCE_NAME:getIamPolicy" -o iam_policy_bindings.json

    Reemplaza RESOURCE_NAME por el RESOURCE_NAME que obtuviste en un paso anterior.

  2. En el archivo iam_policy_bindings.json que obtuviste en el paso anterior, quita las líneas de versión y ETag, y agrega la vinculación que deseas agregar para el identificador principal. Para obtener más información, consulta Comprende las políticas de permisos.

    {
  "bindings": [
    {
      // existing bindings
    },
    {
      "role": "roles/iap.httpsResourceAccessor",
      "members": [
      "principal://iam.googleapis.com/locations/global/workforcePools/iap-test-pool/subject/iap-test-subject"
      ],
      "condition": {
        "expression": "\"accessPolicies/12345678/accessLevels/iap_test_access_level\" in request.auth.access_levels",
        "title": "iap-test-access-level",
        "description": "only access in week days"
      }
    }
  ]
}

  3. Actualiza las vinculaciones de políticas de IAM.

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d "{"policy":$(cat iam_policy_bindings.json)}" \
"https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"

    Reemplaza RESOURCE_NAME por el RESOURCE_NAME que obtuviste en un paso anterior.

Consulta GetIamPolicy y SetIamPolicy para obtener más información.

(Opcional) Configura el acceso adaptado al contexto

De manera opcional, puedes configurar reglas de acceso adaptado al contexto para la autorización avanzada.

Para configurar los niveles de acceso, consulta Crea y aplica niveles de acceso. Los niveles de acceso basados en la información del dispositivo no están disponibles cuando se usa la federación de identidades de personal. Aún puedes usar niveles de acceso basados en el contexto de la solicitud con condiciones sobre la dirección IP, y la fecha y hora.

Autenticación programática

IAP admite la autenticación de JWT de cuentas de servicio para aplicaciones configuradas con Workforce Identity Federation. Para obtener instrucciones, consulta Cómo autenticar con un JWT de cuenta de servicio.

Limitaciones cuando se trabaja con grupos de personal

  • Para cada aplicación habilitada para IAP, solo se puede configurar un grupo de personal, y este solo puede contener un proveedor.
  • El grupo de personal, el ID y el secreto del cliente de OAuth, y las aplicaciones habilitadas para IAP deben estar en la misma organización.
  • No se admiten los niveles de acceso para la información relacionada con el dispositivo.
  • Solo se admiten las siguientes configuraciones de IAP:
  • El acceso programático con la federación de identidades de personal solo se admite para las cuentas de servicio de Google.

Soluciona problemas

Para obtener información sobre la solución de problemas, consulta Preguntas frecuentes y solución de problemas.