es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • ¿Cómo agregar propietarios de proyectos como proveedores externos para IAP en GCP para AppEngine?

¿Cómo agregar propietarios de proyectos como proveedores externos para IAP en GCP para AppEngine?

15 Jun, 2023 Programación

Diseño del problema:
Estoy trabajando con la interfaz de AppEngine y el cliente tiene AD/Azure para la autenticación.

He configurado IAP con un proveedor externo (siendo la configuración de Azure).
La pantalla de inicio de sesión la proporciona Google.

Eso funciona.

Pero la página de inicio de sesión no muestra la posibilidad de iniciar sesión con las cuentas de Google del proyecto, lo cual es realmente molesto como desarrollador.

Me gustaría que los propietarios/editores del proyecto o personas con roles específicos también pudieran acceder a la interfaz.

He configurado Google, así como un proveedor externo con el ID y el secreto del cliente web del proyecto.

La página de inicio de sesión ahora muestra dos botones de inicio de sesión. Bien.

Pero no funciona como se esperaba. Quedo atrapado detrás de la página de consentimiento de OAuth. Hay 3 opciones: interno, prueba o producción.

  • Interno no funciona.
  • Supongo que la prueba funcionaría, pero tengo que agregar manualmente los usuarios/desarrolladores. No hay enlace con los usuarios de IAM.
  • La producción funciona, pero todos los usuarios con una cuenta de Gmail obtienen acceso.

¿Qué me falta?

Habría pensado que el proveedor externo de Google vinculado al proyecto habría limitado el acceso de los usuarios.

¿Qué debo verificar?

¿Hay una mejor manera de obtener la configuración deseada?

Tags:  , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Solución:

    En este escenario, el problema parece estar relacionado con la configuración de Google como proveedor externo, que no está funcionando como se esperaba.

    Para abordar este problema y proporcionar acceso a propietarios, editores o usuarios con roles específicos del proyecto, considere los siguientes pasos:

    1. Verifique los permisos de IAM: asegúrese de que los usuarios que necesitan acceso tengan los permisos de IAM adecuados para el proyecto, ya que los permisos de IAM controlan quiénes pueden acceder y administrar recursos en GCP.

    2. Use Cloud Identity-Aware Proxy (IAP): IAP proporciona una capa centralizada de autorización para aplicaciones a las que se accede mediante HTTPS, lo que permite aplicar políticas de control de acceso a recursos individuales. Además, IAP admite varios tipos de autenticación, incluidos OAuth, OIDC y SAML.

    3. Use Google como proveedor externo: si bien el uso de un proveedor externo puede agregar complejidad, también puede ser útil para administrar el acceso en organizaciones grandes. Para usar Google como proveedor externo, cree un nuevo ID de cliente y un secreto de OAuth para el proyecto, luego agréguelo a los proveedores de identidad externos en la Consola de Google Cloud.

    4. Pruebe el acceso: es una buena idea probar el acceso con múltiples identidades, incluidos usuarios internos y externos, para asegurarse de que los controles de acceso estén configurados correctamente. Puede utilizar la función “Probar con proveedor de identidad externo” en la Consola de Cloud para simular diferentes usuarios y verificar los controles de acceso.

    En general, la solución a este problema dependerá de los requisitos específicos del proyecto y del nivel deseado de control de acceso. Siguiendo los pasos anteriores, puede crear un modelo de control de acceso seguro y flexible para su proyecto.

Comments are closed.