Panoramica di Identity-Aware Proxy

Questa pagina descrive i concetti di base di Identity-Aware Proxy (IAP), un servizio globale di Google Cloud.

IAP consente di definire un livello di autorizzazione centrale per le applicazioni accessibili tramite HTTPS, che ti permette di utilizzare un modello di controllo dell'accesso dell'accesso a livello di applicazione invece di dover fare affidamento su firewall a livello di rete.

I criteri IAP sono scalabili in tutta l'organizzazione. Puoi definire i criteri di accesso in modo centralizzato e applicarli a tutte le tue applicazioni e risorse. Quando assegni un team dedicato alla creazione e all'applicazione dei criteri, proteggi il tuo progetto da una definizione o implementazione errata dei criteri in qualsiasi applicazione.

Quando utilizzare l'IAP

Utilizza IAP quando vuoi applicare i criteri di controllo dell'accesso per applicazioni e risorse. IAP funziona con le intestazioni con firma o con l'API Users dell'ambiente standard App Engine per proteggere la tua app. Con IAP, puoi configurare l'accesso alle applicazioni in base ai gruppi: una risorsa può essere accessibile ai dipendenti e inaccessibile ai fornitori o solo a un reparto specifico.

Come funzionano gli acquisti in-app

Quando un'applicazione o una risorsa è protetta da IAP, può essere acceduta tramite il proxy solo da entità, note anche come utenti, che dispongono del ruolo IAM (Identity and Access Management) corretto. Un utente a cui concedi l'accesso a un'applicazione o risorsa tramite IAP è soggetto ai controlli di accesso granulari implementati dal prodotto in uso, senza bisogno di una VPN. Quando un utente tenta di accedere a una risorsa protetta da IAP, IAP esegue i controlli di autenticazione e autorizzazione.

App Engine

Cloud Run

Compute Engine

GKE

On-premise

Autenticazione

Le richieste alle risorse Google Cloud arrivano tramite App Engine e Cloud Load Balancing (bilanciamento del carico HTTP(S) esterno e interno). Il codice dell'infrastruttura di pubblicazione per questi prodotti controlla se l'IAP è attivato per l'app o il servizio di backend. Se IAP è attivato, le informazioni sulla risorsa protetta vengono inviate al server di autenticazione IAP. Sono incluse informazioni quali il numero del progetto Google Cloud, l'URL della richiesta e eventuali credenziali IAP nelle intestazioni o nei cookie della richiesta.

Successivamente, IAP controlla le credenziali del browser dell'utente. Se non esistono, l'utente viene reindirizzato a un flusso di accesso all'Account Google OAuth 2.0 che memorizza un token in un cookie del browser per gli accessi futuri. Se devi creare Account Google per i tuoi utenti esistenti, puoi utilizzare Google Cloud Directory Sync per eseguire la sincronizzazione con il tuo server Active Directory o LDAP.

Se le credenziali della richiesta sono valide, il server di autenticazione le utilizza per ottenere l'identità dell'utente (indirizzo email e ID utente). Il server di autenticazione utilizza quindi l'identità per verificare il ruolo IAM dell'utente e se l'utente è autorizzato ad accedere alla risorsa.

Se utilizzi Compute Engine o Google Kubernetes Engine, gli utenti che possono accedere alla porta di servizio dell'applicazione della macchina virtuale (VM) possono bypassare l'autenticazione IAP. Le regole del firewall di Compute Engine e GKE non possono proteggere dall'accesso da codice in esecuzione sulla stessa VM dell'applicazione protetta da IAP. Le regole firewall possono proteggere dall'accesso da un'altra VM, ma solo se configurate correttamente. Scopri le responsabilità che ti incombono per garantire la sicurezza.

Se utilizzi Cloud Run, gli utenti che possono accedere all'URL assegnato automaticamente possono bypassare l'autenticazione IAP. I controlli in entrata possono limitare l'accesso all'utilizzo del bilanciamento del carico, ma solo se configurati correttamente. Scopri di più sulle tue responsabilità per garantire la sicurezza.

Autorizzazione

Dopo l'autenticazione, IAP applica il criterio IAM pertinente per verificare se l'utente è autorizzato ad accedere alla risorsa richiesta. Se l'utente dispone del ruolo Utente di app web protetta da IAP nel progetto della console Google Cloud in cui esiste la risorsa, è autorizzato ad accedere all'applicazione. Per gestire l'elenco dei ruoli Utente applicazione web con protezione IAP, utilizza il pannello IAP nella console Google Cloud.

Quando attivi IAP per una risorsa, vengono creati automaticamente un ID client e un segreto OAuth 2.0. Se elimini le credenziali OAuth 2.0 generate automaticamente, l'IAP non funzionerà correttamente. Puoi visualizzare e gestire le credenziali OAuth 2.0 in API e servizi della console Google Cloud.

Le tue responsabilità

IAP garantisce l'autenticazione e l'autorizzazione di tutte le richieste a App Engine, Cloud Load Balancing (HTTPS) o al bilanciamento del carico HTTP interno. L'IAP non protegge dalle attività all'interno di un progetto, ad esempio un'altra VM all'interno del progetto.

Per garantire la sicurezza, devi adottare le seguenti precauzioni:

• Configura il firewall e il bilanciatore del carico per proteggerti dal traffico che non passa per l'infrastruttura di pubblicazione.
  • In alternativa, se utilizzi Cloud Run, puoi limitare l'accesso utilizzando i controlli di ingresso.
• Utilizza le intestazioni con firma o l'API Users dell'ambiente standard App Engine.

Passaggi successivi

• Per iniziare a utilizzare IAP, completa una delle seguenti attività:
  • Completa la guida rapida di App Engine per gestire l'accesso con gli Account Google.
  • Abilita IAP per Compute Engine.
  • Abilita IAP per GKE.
  • Attiva IAP per le app on-premise.
• Scopri di più:
  • Autenticazione in Compute Engine
  • Opzioni di autenticazione utente di App Engine
  • Utilizzare OAuth 2.0 per accedere alle API di Google
  • Guida all'autenticazione di Google Cloud
  • Configurazione di un bilanciatore del carico
  • Configurazione di un bilanciatore del carico con Cloud Run (completamente gestito)
  • Limitare il traffico in entrata per Cloud Run