问题标签 [google-cloud-identity-aware-proxy]

如何通过像 Cloudflare Access 这样的 Google OAuth 设置对具有静态 IP 的 VM 实例的访问？

现在我只能为服务帐户、标签和某些 IP 地址范围设置访问权限 如何仅为特定的 gmail 用户配置它？

当我尝试使用静态 IP 地址连接到 VM 时 Cloudflare Access 的屏幕截图：

我在同一个 Google 项目中有多个 App Engine 服务。我希望为某些服务而不是其他服务启用 IAP（在同一个项目中），但是，我知道这是不可能的。对于我理想情况下不希望启用 IAP 的服务，我不想通过授予角色allUser将其向整个 Internet 开放。IAP-secured Web App User我仍然希望对谁可以访问资源进行某种 IP 限制。但是，谷歌在文档中明确表示（https://cloud.google.com/iap/docs/managing-access），

目前，授予公共访问权限的绑定不能有与之关联的条件。例如，如果请求路径以 /public/ 开头，则允许任何人访问资源的策略是无效的。

此应用程序的用户将是外部客户，因此我不希望通过向他们提供服务帐户和凭据文件并与他们共享代码以生成 OIDC 令牌的过程。

话虽这么说，是否有任何解决方法仍然添加 IP 限制？

我正在尝试遵循本教程。我的最终目标是将基于设备的访问级别应用于身份识别代理 (IAP) 安全资源，特别是 App Engine。但是，正如文档所述：

在新访问级别窗格的条件部分中，单击添加属性，然后单击设备策略。

我没有看到任何设备策略属性。请参阅下面的屏幕截图...

我相信我已经在此处正确启用了端点验证。在 Google Admin 中，通过Devices ->Mobile and endpoints我可以看到正在收集的设备信息。

我在 Google Workspace Enterprise Plus 上的 Google 管理员帐户，我们有 Cloud Identity Premium for GCP。

任何想法为什么我在创建新的访问级别时看不到设备策略属性？？？

我正在寻找一种通过代理实例（GCP VM）连接 Cloud Build 以便能够部署到 GKE 私有集群的方法。

我有安装了 IAP 和 tinyproxy 的堡垒主机，我可以使用 gcloud ssh 连接到它，使用 -- -L8888:locallhost:8888，然后从另一个终端窗口：HTTPS_PROXY=localhost:8888 kubectl get pod，但是我正在寻找一种没有 ssh 的方式，因为 Cloud Build 无法以这种方式连接。

我还尝试从 gcloud compute start-iap-tunnel 到端口 8888 上的隧道连接到堡垒，也从 localhost:8888 进行，但后来我从 kubernetes API（使用相同的 kubeconfig）得到“拒绝访问”，它对我来说很困惑。

有人可以帮我解决这个问题吗？

提前致谢。

使用Identity Aware Proxy将 SSH 流量通过隧道传输到 VM 时，传入流量来自以下范围内的 IP 地址：35.235.240.0/20。

如果多个用户同时连接到一个虚拟机，IAP 是否会重用一个 IP 地址，或者它是否保证每个会话都有一个与之关联的唯一 IP 地址？

例如，如果机器中同时有 5 个用户who，他们是否可能在此输出中看到相同的 IP：

我想创建一个堡垒主机来管理 GCP 上的私有 GKE 集群。

• 堡垒主机是一个名为bastion.
• 该集群是一个名为 的 GKE 私有集群cluster。

流程应该是：

对于这两种资源，我想从头开始创建和配置两个服务帐户，以确保最小权限的原则。

您对范围和角色的最佳设置有什么建议吗？

我有一个位于 IAP（身份感知代理）后面的 AppEngine 应用程序，因此它接收经过身份验证并包含 JWT 令牌的请求。我想从 AppEngine 应用程序向 Google Sheets API 发出请求。这也需要经过身份验证的连接，但鉴于我希望在通过 IAP 访问应用程序的同一用户下建立连接，是否有人知道如何从 AppEngine 应用程序内部创建一个请求，该请求会将令牌转发到 Google Sheets ? 找不到有关该主题的任何信息...我正在使用 Java，因此任何 Java 指针都将不胜感激，但一般/其他语言帮助也很好...

我有一个位于 Google 身份识别代理 (IAP) 后面的网络应用程序。IAP 在转发到我的 Web 应用程序之前对用户进行身份验证。如何从我的 Web 应用程序访问已通过身份验证的用户？

在获取用户的身份中，它声明有X-Goog-Authenticated-User-Email和X-Goog-Authenticated-User-Id标题。但是，我在响应标头中看不到那些：

我确实看到了一些 cookie：

例如，我希望能够在我的网络应用程序中显示他们的姓名和头像照片，以表明他们已通过身份验证并已登录。我知道这些信息可通过 Google 的 OAuth2 结构获得，但我如何从 IAP 获取这些信息？

my-app-frontend目前在 GKE和上有两个部署my-app-backend，都通过入口访问并受 IAP 保护。my-app-backend还启用了 CORS。当my-app-frontend托管在向托管在my-app.com发出请求时，由于 CORS 错误而被阻止：. 我正在寻找一种解决方案，该解决方案将保留在不同的主机上，并且不涉及代码更改。my-app-backendapi.my-app.comCross-Origin Resource Sharing error: MissingAllowOriginHeadermy-app-frontendmy-app-backend

相同的设置适用于 Cloudflare Access，因为您可以添加my-app.com和api.my-app.com作为受信任的来源，它会access-control-allow-origin在响应中添加标头，但我想将其保留在 CGP 生态系统中。

预期结果： my-app-backend应该能够my-app-frontend在托管在不同域（my-app-backend->api.my-app.com和my-app-frontend-> my-app.com）上时发出 HTTP 请求，并且不应该涉及代码更改以检查/添加标头my-app-backend。

到目前为止我已经尝试过：

• 在设置中启用了 HTTP 选项，my-app-backend以便预检请求不需要 auth 标头。
• 在 Auth 2.0 客户端 ID 设置中添加my-app.com并api.my-app.com作为授权的 JavaScript 来源。
• 在同一个域my-app-backend->my-app.com/api和my-app-frontend->上托管两个部署my-app.com，这种方法有效，但这不是我想要的，因为我想将它们保留在不同的域中。

IAP代理有什么方法可以检查用户电子邮件地址是否经过验证？目前，任何人都可以使用正确的凭据（使用 GCP 身份平台）获取 IAP 令牌。未经电子邮件验证的用户向我们的后端发送了大量流量。我看不到任何 IAP 或身份平台设置如何在验证后激活用户。

当然，可以选择在前端和后端检查已验证的电子邮件，但通过 IAP 处理会更好。

我们正在使用这个 SDK https://firebase.google.com/docs/auth/web/password-auth

非常感谢卢卡斯的任何帮助或想法