问题标签 [google-iap]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
619 浏览

google-app-engine - 如何添加 Google IAP (Identity Aware Proxy) 资源?

我正在 Appengine 项目上测试 Google IAP。
该项目由 3 个服务(以前称为模块)组成。
每个代表一个环境(默认为 dev、staging 和 prod)。

我的问题是IAP菜单中只列出了一个资源:
与默认服务的默认版本对应的资源。

使用 Google IAP 时如何考虑其他服务/版本?

谢谢!

0 投票
1 回答
221 浏览

google-app-engine - Gcloud CLI 身份感知代理管理

是否可以仅使用CLI在 Google App Engine Flexible 中管理Identity-Aware Proxy ?gcloud

我需要具有不同应用程序版本的动态域(eq https://0-2-1-1-dot-myproject-prod.appspot.com/或更高版本的https://0-2-1-1.myproject。 com/)。我知道如何在 IAP 中设置固定域(例如https://myproject.com/https://new.myproject.com/),但这是一个基本场景。

我希望有可能在 IAP 中使用通配符(例如 https://*.myproject.com/)来提前将其设置到所有动态域,但 AFAIK 是不可能的。

第二种选择是使用 CLI 在我的 CD 管道中的 DEV 项目中添加新域以及新版本、标记甚至审查gcloud,但直到现在我还没有找到任何子命令来执行此操作。

那么,我可以从 CLI 向 IAP 添加新域吗?

0 投票
1 回答
80 浏览

google-cloud-platform - 授予对 Google Cloud Console 的 Cloud Identity Aware 代理面板的访问权限

似乎只有具有 Owner 角色的项目才能为Cloud Platform Console IAP Panel中列出的资源切换 IAP 。IAM 中的哪个角色可以授予成员用户在此控制台面板中进行编辑的权限?还是项目所有者是唯一在此特定控制台面板中具有编辑权限的用户?

0 投票
1 回答
2438 浏览

cookies - Cookie 或标头发送自己的 API 以防止 Google Cloud Identity Aware Proxy (IAP) 302?

我已经在开发环境中设置了 Cloud IAP(使用 Kubernetes 启动并使用 Let's Encrypt),一切正常。

这个应用程序的设置非常基本:

1)在项目AAPI中具有多个 REST 端点和持久数据存储的

2)在不同的项目BSPA中使用上述的前端应用程序API

在我的浏览器(尝试过 Chrome 和 Firefox)中,我可以通过 IAP 屏幕(通过转到浏览器选项卡中的每个域)在这两个应用程序中验证我的 Google 用户,但是一旦我尝试使用SPA并尝试向.查看网络请求 302 重定向到 Google IAP 登录页面。API

问题:是否需要代表用户通过API请求发送标头或 cookie,以便 IAP 允许直通?

请注意 ,我看到这两个 cookie 顺便说一句GCP_IAAP_AUTH_TOKENGCP_IAAP_XSRF_NONCE.

0 投票
1 回答
682 浏览

php - 使用 PHP 和服务帐户连接到受 IAP(身份识别代理)保护的服务

如何通过服务帐户使用 PHP 连接到受 IAP 保护的服务?我已经无法获得身份验证承载,所以我想我完全走错了路:

任何指向何处以及如何开始的指针都将受到高度赞赏。

0 投票
1 回答
103 浏览

python-2.7 - appengine 服务到服务查询不起作用

我按照这些指示

我有一个应用引擎,其中部署了 2 个服务(我们称它们为A和)。Bappengine 配置了 IAP。(身份感知代理)

我无法B查询A。如果我简单地用 调用它urlfetch.fetch,调用 get 会用 a 重定向302到似乎是登录页面的地方。该呼叫未登录,A因此似乎在其他地方被截获。

据我了解,这应该可行...

无论如何,我尝试使用一个Authorization标题,就像我们想要查询谷歌 API 时需要做的那样。仍然没有运气,然后我得到401一个{'www-authenticate': 'Bearer error="invalid id token"'}

我应该怎么办?我必须使用钥匙吗?在某处激活 API 开关以允许服务间通信?

此外,他们提到X-Appengine-Inbound-Appid需要在那里。我怎么知道它是否是自动添加的?当文档提到它时,我设置follow_redirects为 false 但我不知道如何查看传出流量以确认它是否正常工作。

0 投票
1 回答
437 浏览

google-cloud-platform - Google IAP 公钥到期?

此页面提供公钥来解密来自 Google 的 Identity Aware Proxy 的标头。向页面发出请求会提供它自己的一组标头,其中一个是Expires(它包含一个日期时间)。

有效期实际上是什么意思?我注意到它偶尔会波动,并且没有注意到公钥在到期时发生变化。

我已经阅读了Securing Your App With Signed Headers,它介绍了如何在每次密钥 ID 不匹配后获取密钥,但我希望创建一个更有效的缓存,可以根据到期时间减少获取密钥的频率。

以下是公钥页面的所有标题:

0 投票
1 回答
163 浏览

java - 带有 IAP(身份感知代理)和邮件入站服务的 GAE

我有一个 Java appengine 标准项目,它通过激活的入站服务处理传入的邮件,没有任何问题。

如果我配置并激活IAP(身份感知代理),appengine 项目仍然可以正常工作,没有任何问题。

但是现在接收邮件服务拒绝所有传入的邮件。

我忘记了什么?感谢您的任何提示!

----------------------------------------------

appengine-web.xml

web.xml

0 投票
1 回答
538 浏览

google-app-engine - 如何在灵活的 GAE 中运行 cron 作业

我正在开发我的第一个应用程序。我选择使用与 DataTables 交互的灵活 Python 环境。我的应用程序正在运行,并且使用 Identity-Aware Proxy 保护它,以限制对我们公司域的访问。

我现在正在尝试部署一个 cron 作业来定期清理旧实体以减小数据集的大小。我有清理任务工作,可以手动运行它。但是,在尝试使其自动运行时,我不断在日志中收到以下错误:

请求失败,因为 URL 需要用户登录。对于在 App Engine 中调用的请求(任务队列等离线请求,或 XMPP 和传入邮件等 webhook),URL 必须要求管理员登录(或无需登录)。

根据我在文档中阅读的内容,Flex 环境不再使用 app.yaml 文件的处理程序部分,并且该应用程序应该处理 cron 服务本身的验证。但是这个错误似乎表明脚本甚至没有运行。

我尝试了以下操作,结果每次都出现上面的错误消息: 1. 关闭 IAP 并且对访问没有限制 2. 为 /clean 作业在 app.yaml 文件中添加处理程序部分

有没有人遇到这个问题并让它工作?

应用程序.yaml:

cron.yaml:

0 投票
2 回答
869 浏览

python - Google Pub/Sub 推送订阅到受 IAP 保护的 App Engine

我正在测试一个非常基本的 Pub/Sub 订阅。我将推送端点设置为我通过 App Engine 中的 Python Flex 服务部署的应用程序。该服务位于启用了 Identity-Aware Proxy 的项目中。IAP 被配置为允许通过我们的域进行身份验证的用户。

我没有看到我的应用正在处理任何推送请求。

我关闭了 IAP 保护,然后我看到请求已被处理。我重新打开它,它们不再被处理。

在尝试运行 Cron 服务时,我遇到了与 IAP 类似的问题;在我在同一个项目中部署了一个新的测试应用程序后,该问题自行解决了。

有没有人通过 IAP 配置推送订阅成功?我还尝试将不同的服务帐户放在 IAP 访问列表中,但它们都不起作用。