Per utilizzare le identità esterne con Identity-Aware Proxy (IAP), la tua app ha bisogno di una pagina di accesso. IAP reindirizzerà gli utenti a questa pagina per l'autenticazione prima che possano accedere alle risorse protette.
Questo documento mostra come eseguire il deployment e personalizzare una pagina di accesso predefinita utilizzando Cloud Run. Questo è il modo più rapido per iniziare a utilizzare le identità esterne e non richiede la scrittura di codice.
Puoi anche creare una pagina di accesso autonomamente. Creare una pagina personalizzata è più difficile, ma aumenta il controllo sul flusso di autenticazione e sull'esperienza utente. Per saperne di più, consulta Creazione di una pagina di accesso con FirebaseUI e Creazione di una pagina di accesso personalizzata.
Limitazioni della pagina di accesso
Non puoi utilizzare la pagina di accesso predefinita se il tuo progetto ha attivato la protezione dall'enumerazione delle email.
Se nel tuo progetto è abilitata la protezione dall'enumerazione delle email, disabilita email-enumeration-protection prima di continuare con le procedure descritte in questo documento.
Prima di iniziare
Abilita l'API Compute Engine
Attiva identità esterne e seleziona l'opzione Crea una pagina di accesso per me durante la configurazione. In questo modo Cloud Run e FirebaseUI possono creare una pagina di accesso per te.
Assicurati che il account di servizio utilizzato da Cloud Run, PROJECT_NUMBER-compute@developer.gserviceaccount.com, disponga dei seguenti ruoli predefiniti:
roles/identitytoolkit.viewerroles/iap.settingsAdminroles/compute.networkViewer
Impostazione dell'URI di reindirizzamento autorizzato per i provider Identity Platform
Se utilizzi provider Identity Platform che richiedono il reindirizzamento dell'accesso (reindirizzamento alla pagina di accesso IdP esterno). Devi aggiungere l'URL della pagina di accesso ospitata come URL di reindirizzamento autorizzato nella configurazione del provider.
Ad esempio, per un fornitore Google, devi:
Copia l'URL di accesso dopo aver selezionato l'applicazione protetta da IAP.
Nella console Google Cloud , vai alla pagina Credenziali.
Aggiungi
LOGIN_URL/__/auth/handlercome uno degli URI di reindirizzamento autorizzati per il client OAuth 2.0 della tua app. Seleziona lo stesso ID client OAuth che hai utilizzato durante la configurazione del provider Google.
Per gli altri provider SAML e OIDC, fai lo stesso aggiungendo LOGIN_URL/__/auth/handler come URI di reindirizzamento autorizzato o URL ACS.
Test della pagina di accesso
La pagina di accesso iniziale creata da IAP è completamente funzionante. Per provarlo:
Vai a una risorsa protetta da IAP. Dovresti essere reindirizzato automaticamente alla pagina di accesso.
Seleziona un tenant e un fornitore con cui accedere. Se non vedi tenant o provider elencati, assicurati di averne configurato uno utilizzando Identity Platform.
Accedi con le tue credenziali.
Dovresti essere reindirizzato alla risorsa protetta.
Personalizzare la pagina di accesso
Puoi personalizzare la pagina di accesso utilizzando un file di configurazione JSON. Alcune opzioni includono:
- Aggiunta di un'intestazione e di un logo alla pagina di accesso.
- Specifica i tenant e i provider disponibili.
- Personalizzazione delle icone e dello stile di ogni pulsante del tenant e del fornitore.
- Aggiunta di link alle norme sulla privacy e ai termini di servizio della tua app.
Le sezioni seguenti spiegano come accedere al file di configurazione JSON e aggiornarlo.
Ottenere un token di accesso
Per amministrare la pagina di accesso, devi disporre di un token di accesso Google. Il modo più semplice per ottenerne uno è abilitare Google come provider per Identity Platform. Se la tua app utilizza già Google come provider di identità, puoi saltare questa sezione.
Vai alla pagina Provider Identity Platform nella consoleGoogle Cloud .
Fai clic su Aggiungi un provider.
Seleziona Google dall'elenco dei provider.
Configura l'ID client web e il client secret web:
Nella console Google Cloud , vai alla pagina Credenziali.
Utilizza un client OAuth 2.0 esistente o creane uno nuovo. Configura
Client IDeClient secretsu ID client web e client secret web. AggiungiLOGIN_URL/__/auth/handlercome uno degli URI di reindirizzamento autorizzati per il client OAuth 2.0.LOGIN_URLè l'URL di accesso creato da IAP dopo aver selezionato l'opzione Crea una pagina di accesso per me. Puoi trovarlo nella pagina IAP della console Google Cloud selezionando la risorsa protetta da IAP.
Fai clic su Salva in entrambe le pagine.
Accedere al pannello di amministrazione
La configurazione JSON per la pagina di accesso ospitata da Cloud Run nel riquadro LOGIN_URL/admin.
I seguenti passaggi mostrano come accedere al pannello. Tieni presente che devi disporre del ruolo
Storage Admin (roles/storage.admin).
Vai alla pagina IAP nella console Google Cloud .
Seleziona la risorsa dall'elenco.
Avvia l'URL elencato in Personalizza pagina nel riquadro delle informazioni. Dovrebbe avere un aspetto simile a
https://servicename-xyz-uc.a.run.app/admin.Accedi con lo stesso Account Google che hai utilizzato per configurare IAPp. Viene visualizzato un editor di testo contenente il file di configurazione JSON.
Modifica della configurazione
Lo schema di configurazione per la pagina di accesso si basa su
FirebaseUI
e ne eredita molte proprietà. Anziché utilizzare LOGIN_URL creato da IAP come authDomain predefinito, puoi utilizzare PROJECT_ID.firebaseapp.com.
Se vuoi utilizzare PROJECT_ID.firebaseapp.com come authDomain,
modifica signInFlow come popup per evitare problemi di accesso allo spazio di archiviazione di terze parti sui browser principali(vedi Best practice per l'utilizzo di signInWithRedirect sui browser che bloccano l'accesso allo spazio di archiviazione di terze parti). Inoltre, segui le istruzioni riportate in Impostazione dell'URI di reindirizzamento autorizzato per i provider Identity Platform per aggiungere PROJECT_ID.firebaseapp.com/__/auth/handler come uno degli URI di reindirizzamento autorizzati o degli URL ACS per il provider Identity Platform con cui gli utenti eseguiranno l'accesso.
Il seguente codice mostra un esempio di configurazione con tre tenant:
{
"AIzaSyC5DtmRUR...": {
"authDomain": "awesomeco.firebaseapp.com",
"displayMode": "optionFirst",
"selectTenantUiTitle": "Awesome Company Portal",
"selectTenantUiLogo": "https://awesome.com/abcd/logo.png",
"styleUrl": "https://awesome.com/abcd/overrides/stylesheet.css",
"tosUrl": "https://awesome.com/abcd/tos.html",
"privacyPolicyUrl": "https://awesome.com/abcd/privacypolicy.html",
"tenants": {
"tenant-a-id": {
"fullLabel": "Company A Portal",
"displayName": "Company A",
"iconUrl": "https://companya.com/img/icon.png",
"logoUrl": "https://companya.com/img/logo.png",
"buttonColor": "#007bff",
"signInFlow": "popup",
"signInOptions": [
{
"provider": "password",
"requireDisplayName": false,
"disableSignUp": {
"status": true,
"adminEmail": "admin@example.com",
"helpLink": "https://www.example.com/trouble_signing_in"
}
},
"facebook.com",
"google.com",
"microsoft.com",
{
"provider": "saml.okta-cicp-app",
"providerName": "Corp Account",
"fullLabel": "Employee Corporate Login",
"buttonColor": "#ff0000",
"iconUrl": "https://companya.com/abcd/icon-1.png"
},
{
"provider": "oidc.okta-oidc",
"providerName": "Contractor Account",
"fullLabel": "Contractor Account Portal",
"buttonColor": "#00ff00",
"iconUrl": "https://companya.com/abcd/icon-2.png"
}
],
"tosUrl": "https://companya.com/abcd/tos.html",
"privacyPolicyUrl": "https://companya.com/abcd/privacypolicy.html"
},
"tenant-b-id": {
"fullLabel": "Company B Portal",
"displayName": "Company B",
"iconUrl": "https://companyb.com/img/icon.png",
"logoUrl": "https://companyb.com/img/logo.png",
"buttonColor": "#007bff",
"immediateFederatedRedirect": true,
"signInFlow": "popup",
"signInOptions": [
{
"provider": "saml.okta-bla-app",
"providerName": "Corp Account",
"buttonColor": "#0000ff",
"iconUrl": "https://companyb.com/abcd/icon.png"
}
],
"tosUrl": "https://companyb.com/abcd/tos.html",
"privacyPolicyUrl": "https://companyb.com/abcd/privacypolicy.html"
},
"tenant-c-id": {
"fullLabel": "Company C Portal",
"displayName": "Company C",
"iconUrl": "https://companyc.com/img/icon.png",
"logoUrl": "https://companyc.com/img/logo.png",
"buttonColor": "#007bff",
"immediateFederatedRedirect": true,
"signInFlow": "popup",
"signInOptions": [
{
"provider": "password",
"requireDisplayName": false
},
{
"provider": "google.com",
"scopes": ["scope1", "scope2", "https://example.com/scope3"],
"loginHintKey": "login_hint",
"customParameters": {
"prompt": "consent",
},
}
],
"tosUrl": "https://companyc.com/abcd/tos.html",
"privacyPolicyUrl": "https://companyc.com/abcd/privacypolicy.html",
"adminRestrictedOperation": {
"status": true,
"adminEmail": "admin@example.com",
"helpLink": "https://www.example.com/trouble_signing_in"
}
},
}
}
}
Per un elenco completo delle proprietà disponibili, consulta la documentazione di riferimento.
Override del CSS
Puoi utilizzare la proprietà styleUrl per specificare un file CSS personalizzato. Gli stili in
questo file sostituiranno il CSS predefinito. Il file deve essere accessibile pubblicamente
tramite HTTPS (ad esempio, ospitato in un bucket Cloud Storage).
L'esempio seguente mostra l'override del CSS predefinito:
/** Change header title style. */
.heading-center {
color: #7181a5;
font-family: Arial, Helvetica, sans-serif;
font-size: 20px;
font-weight: bold;
}
/** Use round edged borders for container. */
.main-container {
border-radius: 5px;
}
/** Change page background color. */
body {
background-color: #f8f9fa;
}
Eseguire nuovamente il deployment dell'istanza Cloud Run
In alcuni casi, potresti voler eseguire nuovamente il deployment dell'istanza Cloud Run che ospita la pagina di accesso. Ecco alcuni scenari di esempio:
- Aggiunta, modifica o rimozione di provider di identità
- Modifica delle configurazioni dei tenant
- Imposta le variabili di ambiente
- Aggiornamento dell'immagine container all'ultima versione
L'aggiornamento e il redeployment regolari dell'immagine container garantiscono di avere le correzioni di bug e le patch di sicurezza più recenti. Puoi visualizzare l'elenco delle modifiche tra le versioni su GitHub.
Puoi ottenere la versione corrente del container di cui è stato eseguito il deployment utilizzando l'endpoint /versionz. Ad esempio:
curl 'https://servicename-xyz-uc.a.run.app/versionz'
Per eseguire nuovamente il deployment dell'istanza Cloud Run:
Vai alla pagina Cloud Run nella console Google Cloud .
Seleziona l'istanza che ospita la pagina di accesso.
Fai clic su Modifica ed esegui il deployment di una nuova revisione.
(Facoltativo) Specifica le impostazioni avanzate per la revisione o aggiungi una variabile di ambiente facendo clic sulla scheda Variabili e secret.
Fai clic su Esegui il deployment.
Opzioni avanzate
Personalizzare la pagina di accesso in modo programmatico
Oltre a utilizzare la console /admin, puoi aggiornare la configurazione JSON in modo programmatico.
Per ottenere la configurazione corrente, utilizza l'endpoint /get_admin_config.
Ad esempio:
curl -H 'Authorization: Bearer [TOKEN]'
'https://servicename-xyz-uc.a.run.app/get_admin_config'
Per aggiornare la configurazione, utilizza /set_admin_config. Ad esempio:
curl -XPOST -H 'Authorization: Bearer [TOKEN]' -H "Content-type: application/json"
-d '[UPDATED-CONFIG]' 'https://servicename-xyz-uc.a.run.app/set_admin_config'
Entrambe le chiamate REST richiedono
l'ambito https://www.googleapis.com/auth/devstorage.read_write e un token OAuth
valido deve essere allegato all'intestazione Authorization.
Imposta le variabili di ambiente
Puoi impostare le variabili di ambiente nell'istanza Cloud Run per personalizzare le impostazioni avanzate. La tabella seguente elenca le variabili disponibili:
| Variabile | Descrizione |
|---|---|
DEBUG_CONSOLE |
Un valore booleano (0 o 1) che indica se
registrare tutti gli errori e i dettagli delle richieste di rete. I dati sensibili non verranno
registrati. Disabilitato (0) per impostazione predefinita.
|
UI_CONFIG |
Una stringa contenente la configurazione JSON per la pagina di accesso. L'utilizzo
di questa variabile anziché del riquadro /admin evita la lettura e
la scrittura in Cloud Storage durante l'accesso alla configurazione. Le configurazioni non valide vengono ignorate. L'utilizzo del riquadro /admin per
convalidare il codice JSON prima di impostare questa variabile può contribuire a ridurre al minimo gli errori di sintassi.
|
GCS_BUCKET_NAME |
Una stringa che esegue l'override del bucket Cloud Storage predefinito utilizzato per archiviare
la configurazione JSON. Il file si chiama config.json e
la posizione predefinita è
gcip-iap-bucket-[CLOUD-RUN-SERVICE-NAME]-[PROJECT-NUMBER].
|
ALLOW_ADMIN |
Un valore booleano (0 o 1) che indica se
consentire l'accesso al pannello di configurazione /admin.
Abilitato (1) per impostazione predefinita.
|
Dopo aver aggiornato le variabili, devi eseguire il deployment di una nuova revisione dell'istanza Cloud Run prima che le modifiche abbiano effetto. Per saperne di più sulle variabili di ambiente, consulta la documentazione di Cloud Run.
Personalizzazione del dominio
Per impostazione predefinita, gli utenti vedranno l'URL dell'istanza Cloud Run al momento dell'accesso. Per specificare un dominio personalizzato:
Segui i passaggi descritti in Mappatura di domini personalizzati per impostare un dominio personalizzato per l'istanza Cloud Run.
Configura IAP in modo che utilizzi il nuovo URL di autenticazione:
Vai alla pagina IAP nella console Google Cloud .
Seleziona la risorsa protetta da IAP.
Nel riquadro laterale, seleziona l'icona Modifica accanto al campo URL di accesso.
Seleziona Usa una pagina di accesso ospitata esistente e scegli il tuo dominio dal menu a discesa.
Fai clic su Salva.
Utilizzo di un'unica pagina di accesso per più risorse IAP
Puoi proteggere più risorse IAP utilizzando la stessa pagina di accesso. In questo modo si riduce il lavoro associato alla gestione di più configurazioni.
Per riutilizzare una pagina di accesso:
Segui i passaggi descritti in questo articolo per eseguire il deployment della pagina di autenticazione per la prima risorsa protetta da IAP.
Abilita IAP per la seconda risorsa. Quando ti viene chiesto di specificare una pagina di accesso, seleziona Fornirò il mio URL e inserisci l'URL del servizio Cloud Run come URL.
Esegui nuovamente il deployment del servizio Cloud Run.
Risoluzione dei problemi
Cookie di terze parti e partizionamento dello spazio di archiviazione nei browser
Per i browser che disattivano i cookie di terze parti o implementano il partizionamento dell'archiviazione, la pagina di accesso o la pagina amministratore potrebbero non funzionare correttamente. Per risolvere il problema, segui questi passaggi:
Esegui nuovamente il deployment della pagina di accesso per utilizzare l'ultima versione 1.0.1.
Se utilizzi la funzionalità Personalizzazione della pagina di accesso, assicurati che
authDomainsia impostato comeLOGIN_URLcreato da IAP. In alternativa, puoi impostareauthDomaincomePROJECT_ID.firebaseapp.comsesignInFlowè impostato comepopup.{ "AIzaSyC5DtmRUR...": { "authDomain": "LOGIN_URL", ... } }o
{ "AIzaSyC5DtmRUR...": { "authDomain": "PROJECT_ID.firebaseapp.com", "tenants": { "tenant-a-id": { ... "signInFlow": "popup" ... } } ... } }
Passaggi successivi
- Crea un'interfaccia utente per l'autenticazione con FirebaseUI.
- Crea un'interfaccia utente per l'autenticazione personalizzata.
- Acquisisci una comprensione più approfondita di come le identità esterne funzionano con IAP.