Habilita identidades externas

En este artículo, se muestra cómo configurar Identity-Aware Proxy (IAP) para usar identidades externas. Si combinas IAP y Identity Platform, puedes autenticar usuarios con una amplia variedad de Proveedores de identidad (como OAuth, SAML, OIDC y más), en lugar de solo Cuentas de Google.

Habilita y configura Identity Platform

IAP usa Identity Platform para autenticar identidades externas. Consulta la Guía de inicio rápido para Identity Platform con el fin de obtener información sobre cómo habilitarla.

Si deseas utilizar varias instancias, también deberás seguir los pasos en Cómo comenzar a usar multiusuarios. Si no necesitas aislar recursos, puedes omitir este paso y configurar todos tus proveedores a nivel de proyecto. Consulta la descripción general de las identidades externas si no estás seguro de si debes activar la función multiusuario.

Por último, deberás habilitar los proveedores. La guía de inicio rápido muestra cómo usar la autenticación simple de nombre de usuario y contraseña, pero Identity Platform es compatible con una amplia variedad de tipos de proveedores, incluidos los siguientes:

• Correo electrónico y contraseña
• OAuth (como Google, Facebook, Twitter y más)
• SAML
• OIDC
• Número de teléfono
• Anónimo

Consulte el resto de la documentación de Identity Platform para obtener información sobre cómo configurar otros proveedores. Ten en cuenta que el número de teléfono la autenticación no son compatibles con la función multiusuario. No se admite el acceso sin contraseña a través de un vínculo de correo electrónico con IAP.

Habilita IAP para usar identidades externas

Una vez que hayas configurado Identity Platform, puedes configurar IAP para usarlo en la autenticación.

1. Abre la página IAP en la consola de Google Cloud.
   Abrir la página IAP

2. Selecciona el mismo proyecto con el que configuraste Identity Platform. No se admite el uso de proyectos diferentes.

3. Selecciona la pestaña Aplicaciones.

4. Busca el servicio al que deseas restringir el acceso con IAP.

5. Mueve el interruptor de la columna IAP a Activado.

6. En el panel lateral, haz clic en Inicio en el cuadro Usar identidades externas para autorización.

7. Confirma tu selección.

8. En el panel lateral de Identity Platform, haz lo siguiente:

   1. Elige si deseas compilar tu propia página de acceso o hacer que IAP cree una por ti.

      Permitir que IAP cree la página de acceso es lo más rápido manera de comenzar. No es necesario implementar servicios adicionales ni escribir cualquier código nuevo y puede especificar personalizaciones menores con JSON. Consulta Aloja una IU de autenticación en Cloud Run. para obtener más información.

      Uso compartido de dominio restringido: Si el proyecto está sujeto a la restricción de uso compartido de dominio restringido en una política de la organización, no podrás crear servicios públicos de forma predeterminada. Puedes utilizar etiquetas y una política condicional para excluir servicios específicos de esta restricción. Para obtener más información, consulta la entrada de blog sobre crear servicios públicos de Cloud Run cuando se aplica de manera forzosa el uso compartido restringido del dominio.

      Crear tu propia página es más complejo, pero te proporciona un control total del flujo de autenticación y la experiencia. Consulta Crea una IU de autenticación con FirebaseUI y Crea una IU de autenticación personalizada para obtener más información.

   2. Si elegiste compilar tu propia IU, ingresa una URL de autenticación. IAP redireccionará las solicitudes no autenticadas recibe a esta URL.

      De manera opcional, puedes incluir tu clave de API en la URL. Si no proporcionas una clave, la consola de Google Cloud agregará tu clave predeterminada de manera automática.

   3. Selecciona si deseas usar proveedores de proyectos o instancias.

   4. Marca las casillas de los proveedores o instancias que deseas habilitar. Selecciona Configurar proveedores si necesitas modificar tus proveedores o instancias.

9. Haz clic en Guardar.

¡Felicitaciones! IAP está configurado para autenticar usuarios con identidades externas.

Vuelve a las identidades de Google

No puedes usar la autorización de IAM cuando usas identidades externas. Si deseas volver a las identidades de Google para aprovechar IAM, sigue estos pasos:

1. Regresa a la página IAP en la consola de Google Cloud.
   Abrir la página IAP

2. Selecciona el recurso configurado para usar IAP.

3. Abre el panel de información de Identity Platform.

4. Selecciona Usa IAM para administrar este recurso.

Ten en cuenta que si vuelves a las identidades de Google, se borrará la URL de autenticación y los proyectos y las instancias asociados.

¿Qué sigue?

• Aloja una página de acceso en Cloud Run.
• Crea una página de acceso con FirebaseUI.
• Crea una página de acceso personalizada.
• Obtén una comprensión más profunda sobre cómo funcionan las identidades externas con IAP.