Mengautentikasi pengguna dengan identitas eksternal

Panduan memulai ini menunjukkan cara mengamankan aplikasi menggunakan Identity-Aware Proxy (IAP) dan identitas eksternal. Dengan menggabungkan IAP dan Identity Platform, Anda dapat mengautentikasi pengguna dengan berbagai penyedia identitas, seperti OAuth, SAML, dan OIDC, selain Akun Google.

Dalam panduan memulai ini, Anda akan mengamankan aplikasi contoh App Engine menggunakan autentikasi Facebook.

Sebelum memulai

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Verify that billing is enabled for your Google Cloud project.

  3. Menginstal Google Cloud CLI. Setelah penginstalan, lakukan inisialisasi Google Cloud CLI dengan menjalankan perintah berikut: 

    gcloud init

    Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  4. Lakukan inisialisasi App Engine untuk project Anda:

    gcloud app create --project=project-id

  5. Instal Git.

  6. Instal Node.js versi saat ini.

  7. Instal alat command line Firebase:

    npm install -g firebase-tools

Mengaktifkan API

Pertama, aktifkan Identity Platform:

  1. Buka halaman Identity Platform Marketplace di konsol Google Cloud .

    Buka halaman Identity Platform Marketplace

  2. Klik Aktifkan Identity Platform. Halaman Identity Platform akan muncul di konsol Google Cloud .

Kemudian, aktifkan IAP:

  1. Buka halaman IAP di konsol Google Cloud .

    Buka halaman IAP

  2. Pilih project yang sama dengan yang Anda gunakan untuk Identity Platform. Menggunakan project yang berbeda tidak didukung.

  3. Klik Enable API.

Mendownload dan men-deploy kode contoh

Kode untuk panduan memulai ini memiliki dua komponen: aplikasi klien dan aplikasi autentikasi.

Aplikasi klien dilindungi oleh IAP. Saat menerima permintaan dari pengguna yang tidak diautentikasi, aplikasi akan mengalihkan permintaan ke aplikasi autentikasi untuk memverifikasi identitas pengguna. Jika pengguna berhasil login, aplikasi autentikasi akan merespons dengan Token Web JSON (JWT). Untuk tujuan demonstrasi, aplikasi klien menampilkan JWT.

Pertama, download kode, lalu deploy aplikasi klien:

  1. Download kode contoh:

    git clone https://github.com/GoogleCloudPlatform/iap-gcip-web-toolkit.git

  2. Ubah ke direktori aplikasi klien:

    cd iap-gcip-web-toolkit/sample/app

  3. Instal dependensi:

    npm install

  4. Deploy aplikasi klien ke App Engine:

    npm run deploy

    Aplikasi klien diluncurkan di URL:

    https://[PROJECT-ID].appspot.com

Selanjutnya, deploy aplikasi autentikasi:

  1. Ubah ke direktori untuk aplikasi autentikasi:

    cd ../authui-firebaseui

  2. Instal dependensi:

    npm install
export NODE_OPTIONS=--openssl-legacy-provider

  3. Konfigurasi aplikasi autentikasi untuk menggunakan Firebase Hosting. Tentukan Google Cloud project ID dari project Google Cloud yang berisi aplikasi klien yang dilindungi IAP:

    firebase use project-id

  4. Deploy aplikasi:

    npm run deploy

    Aplikasi autentikasi diluncurkan di URL:

    https://[PROJECT-ID].firebaseapp.com

Anda telah men-deploy aplikasi klien dan autentikasi. Langkah berikutnya adalah mengonfigurasi Identity Platform dan IAP.

Menyiapkan Identity Platform

IAP menggunakan Identity Platform untuk mengautentikasi identitas eksternal. Panduan memulai ini menggunakan Facebook sebagai contoh, tetapi Identity Platform mendukung berbagai penyedia identitas.

Buat aplikasi Facebook

Untuk mengautentikasi pengguna dengan Facebook, Anda memerlukan App ID dan App Secret.

  1. Login ke Facebook for Developers. Jika belum memiliki akun Facebook, Anda harus membuatnya.

  2. Buka halaman Aplikasi Facebook.

  3. Klik Tambahkan Aplikasi Baru.

  4. Di menu kiri, pilih Setelan > Dasar.

  5. Di kotak URL Kebijakan Privasi, masukkan URL yang valid. Jika men-deploy aplikasi ke produksi nanti, Anda dapat memperbarui URL untuk mengarah ke kebijakan privasi Anda.

  6. Catat ID Aplikasi dan Rahasia Aplikasi Anda. Anda akan memerlukannya di bagian berikutnya.

Menambahkan Facebook sebagai penyedia identitas

Konfigurasi Identity Platform untuk menggunakan Facebook sebagai autentikasi:

  1. Buka halaman Penyedia Identitas di konsol Google Cloud .

    Buka halaman Identity Provider

  2. Klik Tambahkan Penyedia.

  3. Pilih Facebook dari daftar penyedia.

  4. Masukkan ID Aplikasi dan Rahasia Aplikasi yang Anda peroleh di bagian sebelumnya.

  5. Klik Simpan.

Mengonfigurasi URI pengalihan OAuth

Saat Facebook selesai memproses permintaan dari aplikasi autentikasi, Facebook memerlukan URI untuk mengalihkan.

  1. Kembali ke halaman Aplikasi Facebook dan pilih aplikasi Anda.

  2. Di menu kiri, klik Produk.

  3. Temukan produk Login dengan Facebook, lalu klik Siapkan.

  4. Di menu navigasi kiri, pilih Setelan (Anda tidak perlu menyelesaikan alur mulai cepat terpandu).

  5. Di kotak Valid OAuth Redirect URIs, masukkan URI pengalihan:

    https://project-id.firebaseapp.com/__/auth/handler

    Anda juga dapat menemukan URI ini di halaman konfigurasi penyedia Identity Platform.

  6. Klik Simpan Perubahan.

Anda telah selesai menyiapkan Identity Platform. Sekarang Anda dapat mengonfigurasi IAP untuk menggunakannya dalam autentikasi.

Mengaktifkan IAP untuk menggunakan identitas eksternal

  1. Buka halaman IAP di konsol Google Cloud .

    Buka halaman IAP

  2. Klik tab APLIKASI.

  3. Pilih aplikasi App Engine contoh yang Anda deploy sebelumnya. URL dalam kategori Dipublikasikan akan terlihat seperti:

    https://project-id.appspot.com

  4. Di kolom IAP, alihkan tombol ke Aktif.

  5. Di panel samping, klik Mulai untuk Gunakan identitas eksternal untuk otorisasi.

  6. Di bagian Halaman login, pilih Saya akan menyediakannya sendiri.

  7. Di kolom Authentication URL, masukkan URL aplikasi autentikasi. URL tersebut akan terlihat seperti:

    https://project-id.firebaseapp.com/

    Setelah Anda memasukkan URL, konsol Google Cloud akan otomatis menambahkan kunci API Anda.

  8. Centang kotak dengan nama project Anda. Facebook harus tercantum sebagai penyedia identitas.

  9. Klik Simpan.

Anda telah selesai menyiapkan IAP.

Menguji autentikasi pengguna

Untuk menguji bahwa IAP melindungi aplikasi Anda dan mengautentikasi pengguna dengan Facebook:

  1. Buka aplikasi App Engine klien di browser Anda:

    https://project-id.appspot.com

    Setelah layar pemuatan singkat, Anda akan dialihkan ke halaman login Identity Platform.

  2. Ikuti perintah di layar untuk melakukan autentikasi dengan Facebook.

  3. Anda akan dialihkan kembali ke aplikasi klien, yang akan menampilkan JWT yang ditampilkan oleh Identity Platform.

Untuk logout sepenuhnya, Anda harus logout dari aplikasi contoh yang Anda buat dan Facebook. Anda harus logout dari kedua aplikasi karena Firebase membuat sesi dengan Facebook yang valid selama satu jam. Untuk mengetahui informasi selengkapnya, lihat Mengelola Sesi Pengguna.

Selamat! Anda berhasil men-deploy aplikasi ke App Engine dan melindunginya dengan IAP dan identitas eksternal.

Pembersihan

Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Selain itu, Anda mungkin ingin menghapus aplikasi Facebook yang Anda buat.

Langkah berikutnya