使用 Workforce Identity Federation 設定 IAP

本頁面說明如何設定 Identity-Aware Proxy (IAP),以便使用Workforce Identity Federation

使用 IAP 設定員工身分聯盟時,您可以使用外部身分提供者 (IdP) 驗證並授權員工 (一組使用者,例如員工、合作夥伴和承包商),讓他們透過身分與存取權管理 (IAM) 安全存取在Google Cloud 或內部部署的服務。

您可以使用 Workforce Identity 聯盟設定 IAP,針對受 IAP 保護的應用程式執行下列操作:

  • 將使用者重新導向至外部 IdP (例如 Okta) 進行登入。
  • 將登入工作階段設為 15 分鐘至 12 小時。
  • 只允許特定的使用者或 IdP 中的使用者集合存取應用程式。
  • 指定使用者可在哪些情境下存取應用程式。例如,只在每天的特定時段允許存取。

您可以在 IAP 支援的所有現有資源和負載平衡器上,搭配 Workforce Identity 聯盟使用 IAP。

為應用程式設定 IAP 與 Workforce Identity 聯盟

使用員工身分聯盟設定 IAP 包含下列主要工作:

  1. 設定工作團隊集區和提供者。
  2. 建立 OAuth 用戶端 ID 和密鑰。
  3. 啟用 IAP,並設定使用 Workforce Identity Federation。

設定工作團隊集區和提供者

如要設定員工身分聯盟集區和提供者,請按照「員工身分聯盟」中的指示操作,並在設定工作階段時間時參考「透過員工身分聯盟工作階段管理 IAP」一文。

如果您想將第三方 IdP 的電子郵件地址對應至 Google Cloud,就必須在工作團隊集區提供者中為 google.email 新增屬性對應。範例:google.email=assertion.email

建立 OAuth 用戶端 ID 和密鑰

  1. 按照指示在同一機構的專案中建立 OAuth 用戶端 ID 和密鑰,這個專案必須與要用於這項設定的工作團隊集區相同。專案不必與 IAP 安全性資源所在的專案相同。建立 OAuth 用戶端 ID 和密鑰時,請執行下列操作:

    1. 建立用戶端 ID 時,請使用重新導向 URI 的預留位置。建立用戶端 ID 後,請執行 describe OAuth 用戶端,取得產生的 clientID

    2. 取得 clientID 後,請執行 update OAuth 用戶端,將 allowed-redirect-uris 更新為以下內容:https://iap.googleapis.com/v1/oauth/clientIds/$CLIENT_ID:handleRedirect

      其中 CLIENT_ID 是上一個步驟中擷取的 clientID

    3. 建立用戶端密鑰後,請執行 describe OAuth 用戶端憑證,取得產生的 clientSecret

    請儲存 clientIdclientSecret,因為後續步驟會用到。

啟用 IAP 以使用 Workforce Identity 聯盟

如要透過 Workforce Identity Federation 啟用 IAP,請完成下列步驟。

啟用 IAP

在資源上啟用 IAP。

主控台

  1. 在 Google Cloud 控制台中,開啟「應用程式內購」頁面。
    前往 IAP 頁面
  2. 選取專案。專案必須與先前建立的工作力資源池位於相同機構。專案不必是您建立 OAuth 用戶端 ID 和密碼的專案。
  3. 按一下「應用程式」分頁,然後找出您要使用 IAP 限制存取權的應用程式。
  4. 在 IAP 資料欄中,將切換鈕切換為「On」

gcloud

如要使用 gcloud CLI 啟用 IAP,請按照適用服務的程序操作:

API

  1. 建立 settings.json 檔案。

    cat << EOF > settings.json
{
"iap":
  {
    "enabled":true,
 }
}
EOF

  2. 在 App Engine 上啟用 IAP。

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://appengine.googleapis.com/v1/apps/PROJECT_ID?updateMask=iap.enabled"

    如要在 Compute Engine 上啟用 IAP,請使用以下網址:https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/REGION/backendServices/BACKEND_SERVICE_NAME?updateMask=iap.enabled

更新 IAP 設定

如要將 IAP 設定為使用員工身分聯盟,您必須設定下列設定:

  • WorkforceIdentitySettings:先前建立的 OAuth 用戶端 ID 和密鑰。
  • IdentitySources:識別資訊來源。

詳情請參閱 IAP API

gcloud

  1. 請參考下列範例,建立 iap_settings.yaml 檔案。

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.yaml
access_settings:
  identity_sources: ["WORKFORCE_IDENTITY_FEDERATION"]
  workforce_identity_settings:
    workforce_pools: ["$WORKFORCE_POOL_NAME"]
    oauth2:
      client_id: "$CLIENT_ID"
      client_secret: "$CLIENT_SECRET"
EOF

  2. 執行下列指令,更新資源的 IAP 設定。

    gcloud iap settings set iap_settings.yaml --project=PROJECT --resource-type=RESOURCE_TYPE --service=SERVICE

    更改下列內容:

    • PROJECT:專案 ID。

    • RESOURCE_TYPE:IAP 資源類型。資源類型必須為 cloud-run「(預先發布版)」app-engineiap_webcomputeorganizationfolder

      針對 cloud-run 資源類型,請使用 --region 標記來表示 Cloud Run 服務部署的區域。

    • SERVICE:服務名稱。app-enginecompute 都會使用這個選項。

    如要進一步瞭解這項指令,請參閱 gcloud iap settings set

API

  1. 請參考下列範例,建立 iap_settings.json 設定檔。

    CLIENT_ID=clientId
CLIENT_SECRET=clientSecret
WORKFORCE_POOL_NAME=locations/global/workforcePools/test-pool
cat <<EOF > iap_settings.json
{
   "access_settings": {
     "identity_sources": ["WORKFORCE_IDENTITY_FEDERATION"],
     "workforce_identity_settings": {
       "workforce_pools": ["$WORKFORCE_POOL_NAME"],
       "oauth2": {
         "client_id": "$CLIENT_ID",
         "client_secret": "$CLIENT_SECRET",
       }
    }
  }
}
EOF

  2. 請使用 gcloud CLI 取得資源名稱,然後從輸出內容中複製 RESOURCE_NAME,因為您會在後續步驟中使用這項資訊。

    gcloud iap settings get \
    --project=PROJECT \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE

    更改下列內容:

    • PROJECT:專案 ID。
    • RESOURCE_TYPE:IAP 資源類型。資源類型必須是 appengineiap_webcomputeorganizationfoldercloud_run-$REGION ((預先發布版)),其中 $REGION 是部署 Cloud Run 服務的地區。
    • SERVICE:服務名稱。app-enginecompute 都會使用這個選項。

  3. 將下列指令中的 RESOURCE_NAME 替換為上一個步驟中的 RESOURCE_NAME

    curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @iap_settings.json \
"https://iap.googleapis.com/v1/RESOURCE_NAME:iapSettings?updateMask=iapSettings.accessSettings.identitySources,iapSettings.accessSettings.workforceIdentitySettings.workforcePools,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientId,iapSettings.accessSettings.workforceIdentitySettings.oauth2.clientSecret"

授予 IAP 保護資源的存取權

如要存取受 IAP 保護的資源,使用者必須擁有該資源的 IAP-Secured Web App User 角色。您可以將 IAP 安全性網頁應用程式使用者角色授予單一使用者 (主要使用者) 或一組使用者 (主要使用者集,會對應至群組、特定屬性或整個使用者集區)。

系統不支援對受 IAP 保護的資源提供無限制的存取權。

主控台

  1. 在 Google Cloud 控制台中,開啟「應用程式內購」頁面。
    前往 IAP 頁面
  2. 選取要使用 IAP 保護的資源。
  3. 按一下「新增主體」,然後新增您要為資源授予 IAM 角色的群組或個人主體 ID
  4. 在「指派角色」中,選取「受 IAP 保護的網路應用程式使用者」
  5. 按一下「新增」。

gcloud

執行下列指令。

gcloud iap web add-iam-policy-binding \
    --member=PRINCIPAL_IDENTIFIER \
    --role='roles/iap.httpsResourceAccessor' \
    --project=PROJECT_ID \
    --resource-type=RESOURCE_TYPE \
    --service=SERVICE \
    --condition=CONDITION

請使用下列內容取代:

  • PRINCIPAL_IDENTIFIER主要 ID
  • PROJECT_ID:專案 ID。
  • RESOURCE_TYPE:IAP 資源類型,可以是 app-enginebackend-services
  • SERVICE:(選用) 服務名稱。
  • CONDITION:(選用) IAM 條件。以下是使用存取層級設定的條件範例:
expression="accessPolicies/12345678/accessLevels/iap_test_access_level" in request.auth.access_levels,title=iap-test-access-level,description=only access in weekdays

API

我們不建議使用這個方法,因為它會影響資源的整個 IAM 政策。系統可能會因錯誤而從資源中移除政策。

  1. 取得現有的 IAM 政策繫結。

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d {} \
"https://iap.googleapis.com/v1/RESOURCE_NAME:getIamPolicy" -o iam_policy_bindings.json

    RESOURCE_NAME 替換為您在先前步驟中取得的 RESOURCE_NAME

  2. 針對您在先前步驟中取得的 iam_policy_bindings.json 檔案,請移除版本和 etag 行,然後新增要為主體 ID 新增的繫結。詳情請參閱「瞭解允許政策」。

    {
  "bindings": [
    {
      // existing bindings
    },
    {
      "role": "roles/iap.httpsResourceAccessor",
      "members": [
      "principal://iam.googleapis.com/locations/global/workforcePools/iap-test-pool/subject/iap-test-subject"
      ],
      "condition": {
        "expression": "\"accessPolicies/12345678/accessLevels/iap_test_access_level\" in request.auth.access_levels",
        "title": "iap-test-access-level",
        "description": "only access in week days"
      }
    }
  ]
}

  3. 更新身分與存取權管理政策繫結。

    curl -X POST \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Accept: application/json" \
  -H "Content-Type: application/json" \
  -d "{"policy":$(cat iam_policy_bindings.json)}" \
"https://iap.googleapis.com/v1/RESOURCE_NAME:setIamPolicy"

    RESOURCE_NAME 替換為您在先前步驟中取得的 RESOURCE_NAME

詳情請參閱 GetIamPolicySetIamPolicy

(選用) 設定情境感知存取權

您可以視需要設定進階授權的依情境存取權規則。

如要設定存取層級,請參閱「建立及套用存取層級」。使用 Workforce Identity Federation 時,系統不會提供以裝置資訊為依據的存取權層級。您仍可使用以要求內容為依據的存取層級,並設定 IP 位址、時間和日期的條件。

程式輔助驗證

IAP 支援服務帳戶 JWT 驗證,適用於使用 Workforce Identity 聯盟功能設定的應用程式。如需操作說明,請參閱「以服務帳戶 JWT 進行驗證」。

使用工作團隊集區時的限制

  • 每個啟用 IAP 的應用程式只能設定一個工作站集區,且工作站集區只能包含一個供應者。
  • 工作團隊集區、OAuth 用戶端 ID 和密鑰,以及啟用 IAP 的應用程式,都必須位於同一個機構。
  • 不支援裝置相關資訊的存取層級。
  • 僅支援以下 IAP 設定:
  • 只有 Google 服務帳戶支援透過 Workforce Identity Federation 的程式碼存取權。