Autenticar usuários com Contas do Google

Console

O cliente OAuth gerenciado pelo Google não está disponível ao ativar o IAP usando o console Google Cloud .

Se você ainda não tiver configurado a tela de consentimento do OAuth do seu projeto, precisará fazer isso. Para configurar a tela de consentimento do OAuth, consulte Como configurar a tela de consentimento do OAuth.

Como configurar o acesso do IAP

1. Acesse a página Identity-Aware Proxy.
   Acessar a página "Identity-Aware Proxy"
2. Selecione o projeto que você quer proteger com o IAP.
3. Marque a caixa de seleção ao lado do recurso que você quer conceder acesso.
4. No painel à direita, clique em Adicionar principal.
5. Na caixa de diálogo Adicionar membros que é exibida, insira os endereços de e-mail de grupos ou indivíduos que terão o papel Usuário do app da Web protegido pelo IAP no projeto.

   Os seguintes tipos de administradores podem ter esse papel:

   • Conta do Google: user@gmail.com
   • grupo do Google: admins@googlegroups.com
   • Conta de serviço: server@example.gserviceaccount.com
   • Domínio do Google Workspace: example.com

   Inclua uma Conta do Google a que você tenha acesso.

6. Selecione Cloud IAP > Usuário do app da Web protegido pelo IAP na lista suspensa Papéis.
7. Clique em Salvar.

Ativando o IAP

1. Na página Identity-Aware Proxy, em APLICAÇÕES, encontre o aplicativo a que você quer restringir o acesso. Para ativar o IAP para um recurso, alterne a chave para ativado ou desativado na coluna IAP.
   
2. Na janela Ativar IAP que é exibida, clique em Ativar para confirmar que você quer proteger seu recurso com o IAP. Depois disso, será necessário usar credenciais de login para todas as conexões com o balanceador de carga. O acesso será concedido apenas às contas com o papel usuário do app da Web protegido pelo IAP no projeto.

gcloud

Antes de configurar o projeto e o IAP, você precisa de uma versão atualizada da CLI gcloud. Para instruções sobre como instalar a CLI gcloud, consulte Instalar a CLI gcloud.

1. Para fazer a autenticação, use a CLI do Google Cloud e execute o comando a seguir.

   gcloud auth login

2. Clique no URL que aparece e faça login.
3. Depois de fazer login, copie o código de verificação que aparece e cole-o na linha de comando.
4. Execute o comando a seguir para especificar o projeto que contém os aplicativos que você quer proteger com o IAP.

   gcloud config set project PROJECT_ID

5. Para ativar o IAP, execute o comando a seguir.

   gcloud iap web enable --resource-type=app-engine --versions=version

6. Adicione participantes que terão o papel de usuário do app da Web protegido pelo IAP ao projeto.

   gcloud projects add-iam-policy-binding PROJECT_ID \
          --member=PRINCIPAL_IDENTIFIER \
          --role=roles/iap.httpsResourceAccessor

   • Substitua PROJECT_ID pela ID do seu projeto.
   • Substitua PRINCIPAL_IDENTIFIER pelos princípios necessários. Pode ser um tipo de domínio, grupo, serviceAccount ou usuário. Por exemplo, user:myemail@example.com.

Depois de ativar o IAP, será possível usar a CLI gcloud para modificar a política de acesso do IAP usando o papel roles/iap.httpsResourceAccessor do IAM. Saiba mais sobre como gerenciar papéis e permissões.

API

1. Execute o comando a seguir para preparar um arquivo settings.json.

   cat << EOF > settings.json
   {
   "iap":
     {
       "enabled":true
     }
   }
   EOF
   

2. Execute o comando abaixo para ativar o IAP.

   curl -X PATCH \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d @settings.json \
   "https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap"
   

Depois de ativar o IAP, será possível usar a CLI do Google Cloud para modificar a política de acesso do IAP usando o papel do IAM roles/iap.httpsResourceAccessor. Saiba mais sobre como gerenciar papéis e permissões.