Mengaktifkan identitas eksternal

Artikel ini menunjukkan cara mengonfigurasi Identity-Aware Proxy (IAP) untuk menggunakan identitas eksternal. Dengan menggabungkan IAP dan Identity Platform, Anda dapat mengautentikasi pengguna dengan berbagai penyedia identitas (seperti OAuth, SAML, OIDC, dan lainnya), bukan hanya akun Google.

Mengaktifkan dan mengonfigurasi Identity Platform

IAP menggunakan Identity Platform untuk mengautentikasi identitas eksternal. Lihat Panduan Memulai untuk Identity Platform untuk mempelajari cara mengaktifkannya.

Jika ingin menggunakan beberapa tenant, Anda juga harus mengikuti langkah-langkah di artikel Memulai multi-tenancy. Jika tidak perlu mengisolasi resource, Anda dapat melewati langkah ini dan mengonfigurasi semua penyedia di tingkat project. Lihat ringkasan tentang identitas eksternal jika Anda tidak yakin apakah harus mengaktifkan multi-tenancy.

Terakhir, Anda harus mengaktifkan penyedia. Panduan memulai menunjukkan cara menggunakan autentikasi nama pengguna dan sandi sederhana, tetapi Identity Platform mendukung berbagai jenis penyedia, termasuk:

• Email dan sandi
• OAuth (seperti Google, Facebook, Twitter, dan lainnya)
• SAML
• OIDC
• Nomor telepon
• Anonim

Lihat dokumentasi Identity Platform lainnya untuk mempelajari cara mengonfigurasi penyedia lain. Perhatikan bahwa nomor telepon dan autentikasi anonim tidak didukung untuk digunakan dengan multi-tenancy. Login tanpa sandi menggunakan link email tidak didukung dengan IAP.

Mengaktifkan IAP untuk menggunakan identitas eksternal

Setelah menyiapkan Identity Platform, Anda dapat mengonfigurasi IAP untuk menggunakannya dalam autentikasi.

1. Buka halaman IAP di Google Cloud console.
   Buka halaman IAP

2. Pilih project yang sama dengan project yang Anda gunakan untuk mengonfigurasi Identity Platform. Penggunaan project yang berbeda tidak didukung.

3. Pilih tab Aplikasi.

4. Temukan layanan yang aksesnya ingin Anda batasi menggunakan IAP.

5. Alihkan tombol di kolom IAP ke Aktif.

6. Di panel samping, klik Mulai di kotak berlabel Gunakan identitas eksternal untuk otorisasi.

7. Konfirmasi pilihan Anda.

8. Di panel samping Identity Platform:

   1. Pilih apakah akan membuat halaman login Anda sendiri, atau meminta IAP membuatkan halaman login untuk Anda.

      Mengizinkan IAP membuat halaman login adalah cara tercepat untuk memulai. Anda tidak perlu men-deploy layanan tambahan atau menulis kode baru, dan dapat menentukan penyesuaian kecil menggunakan JSON. Lihat Menghosting UI autentikasi di Cloud Run untuk mempelajari lebih lanjut.

      Berbagi yang dibatasi domain: Jika project tunduk pada batasan berbagi yang dibatasi domain dalam kebijakan organisasi, Anda tidak akan dapat membuat layanan publik secara default. Anda dapat menggunakan tag dan kebijakan kondisional untuk mengecualikan layanan tertentu dari batasan ini. Untuk informasi selengkapnya, lihat postingan blog tentang membuat layanan Cloud Run publik saat fitur berbagi yang dibatasi domain diterapkan.

      Membuat halaman sendiri lebih rumit, tetapi memberi Anda kontrol penuh atas alur dan pengalaman autentikasi. Lihat Membuat UI autentikasi dengan FirebaseUI dan Membuat UI autentikasi kustom untuk mengetahui informasi selengkapnya.

   2. Jika Anda memilih untuk membuat UI sendiri, masukkan URL Autentikasi. IAP akan mengalihkan permintaan yang tidak diautentikasi yang diterimanya ke URL ini.

      Menyertakan kunci API dalam URL bersifat opsional. Jika Anda tidak memberikan kunci, konsol Google Cloud akan menambahkan kunci default secara otomatis.

   3. Pilih apakah akan menggunakan penyedia project atau tenant.

   4. Centang kotak penyedia atau tenant yang akan diaktifkan. Pilih Konfigurasikan penyedia jika Anda perlu mengubah penyedia atau tenant.

9. Klik Simpan.

Selamat! IAP dikonfigurasi untuk mengautentikasi pengguna dengan identitas eksternal.

Beralih kembali ke identitas Google

Anda tidak dapat menggunakan IAM untuk otorisasi saat menggunakan identitas eksternal. Jika Anda ingin beralih kembali ke identitas Google agar dapat memanfaatkan IAM, ikuti langkah-langkah berikut:

1. Kembali ke halaman IAP di Google Cloud console.
   Buka halaman IAP

2. Pilih resource yang dikonfigurasi untuk menggunakan IAP.

3. Buka panel informasi Identity Platform.

4. Pilih Gunakan IAM untuk mengelola resource ini.

Perhatikan bahwa beralih kembali ke identitas Google akan menghapus URL autentikasi Anda, project, dan tenant terkait.

Langkah berikutnya

• Menghosting halaman login di Cloud Run.
• Buat halaman login dengan FirebaseUI.
• Buat halaman login kustom.
• Dapatkan pemahaman yang lebih mendalam tentang cara kerja identitas eksternal dengan IAP.