问题标签 [google-iap]

我正在 Appengine 项目上测试 Google IAP。
该项目由 3 个服务（以前称为模块）组成。
每个代表一个环境（默认为 dev、staging 和 prod）。

我的问题是IAP菜单中只列出了一个资源：
与默认服务的默认版本对应的资源。

使用 Google IAP 时如何考虑其他服务/版本？

谢谢！

是否可以仅使用CLI在 Google App Engine Flexible 中管理Identity-Aware Proxy ？gcloud

我需要具有不同应用程序版本的动态域（eq https://0-2-1-1-dot-myproject-prod.appspot.com/或更高版本的https://0-2-1-1.myproject。 com/）。我知道如何在 IAP 中设置固定域（例如https://myproject.com/或https://new.myproject.com/），但这是一个基本场景。

我希望有可能在 IAP 中使用通配符（例如 https://*.myproject.com/）来提前将其设置到所有动态域，但 AFAIK 是不可能的。

第二种选择是使用 CLI 在我的 CD 管道中的 DEV 项目中添加新域以及新版本、标记甚至审查gcloud，但直到现在我还没有找到任何子命令来执行此操作。

那么，我可以从 CLI 向 IAP 添加新域吗？

似乎只有具有 Owner 角色的项目才能为Cloud Platform Console IAP Panel中列出的资源切换 IAP 。IAM 中的哪个角色可以授予成员用户在此控制台面板中进行编辑的权限？还是项目所有者是唯一在此特定控制台面板中具有编辑权限的用户？

我已经在开发环境中设置了 Cloud IAP（使用 Kubernetes 启动并使用 Let's Encrypt），一切正常。

这个应用程序的设置非常基本：

1)在项目AAPI中具有多个 REST 端点和持久数据存储的

2)在不同的项目BSPA中使用上述的前端应用程序API

在我的浏览器（尝试过 Chrome 和 Firefox）中，我可以通过 IAP 屏幕（通过转到浏览器选项卡中的每个域）在这两个应用程序中验证我的 Google 用户，但是一旦我尝试使用它SPA并尝试向.查看网络请求 302 重定向到 Google IAP 登录页面。API

问题：是否需要代表用户通过API请求发送标头或 cookie，以便 IAP 允许直通？

请注意 ，我看到这两个 cookie 顺便说一句GCP_IAAP_AUTH_TOKEN和GCP_IAAP_XSRF_NONCE.

如何通过服务帐户使用 PHP 连接到受 IAP 保护的服务？我已经无法获得身份验证承载，所以我想我完全走错了路：

任何指向何处以及如何开始的指针都将受到高度赞赏。

我按照这些指示

我有一个应用引擎，其中部署了 2 个服务（我们称它们为A和）。Bappengine 配置了 IAP。（身份感知代理）

我无法B查询A。如果我简单地用 调用它urlfetch.fetch，调用 get 会用 a 重定向302到似乎是登录页面的地方。该呼叫未登录，A因此似乎在其他地方被截获。

据我了解，这应该可行...

无论如何，我尝试使用一个Authorization标题，就像我们想要查询谷歌 API 时需要做的那样。仍然没有运气，然后我得到401一个{'www-authenticate': 'Bearer error="invalid id token"'}

我应该怎么办？我必须使用钥匙吗？在某处激活 API 开关以允许服务间通信？

此外，他们提到X-Appengine-Inbound-Appid需要在那里。我怎么知道它是否是自动添加的？当文档提到它时，我设置follow_redirects为 false 但我不知道如何查看传出流量以确认它是否正常工作。

此页面提供公钥来解密来自 Google 的 Identity Aware Proxy 的标头。向页面发出请求会提供它自己的一组标头，其中一个是Expires（它包含一个日期时间）。

有效期实际上是什么意思？我注意到它偶尔会波动，并且没有注意到公钥在到期时发生变化。

我已经阅读了Securing Your App With Signed Headers，它介绍了如何在每次密钥 ID 不匹配后获取密钥，但我希望创建一个更有效的缓存，可以根据到期时间减少获取密钥的频率。

以下是公钥页面的所有标题：

我有一个 Java appengine 标准项目，它通过激活的入站服务处理传入的邮件，没有任何问题。

如果我配置并激活IAP（身份感知代理），appengine 项目仍然可以正常工作，没有任何问题。

但是现在接收邮件服务拒绝所有传入的邮件。

我忘记了什么？感谢您的任何提示！

----------------------------------------------

appengine-web.xml

web.xml

我正在开发我的第一个应用程序。我选择使用与 DataTables 交互的灵活 Python 环境。我的应用程序正在运行，并且使用 Identity-Aware Proxy 保护它，以限制对我们公司域的访问。

我现在正在尝试部署一个 cron 作业来定期清理旧实体以减小数据集的大小。我有清理任务工作，可以手动运行它。但是，在尝试使其自动运行时，我不断在日志中收到以下错误：

请求失败，因为 URL 需要用户登录。对于在 App Engine 中调用的请求（任务队列等离线请求，或 XMPP 和传入邮件等 webhook），URL 必须要求管理员登录（或无需登录）。

根据我在文档中阅读的内容，Flex 环境不再使用 app.yaml 文件的处理程序部分，并且该应用程序应该处理 cron 服务本身的验证。但是这个错误似乎表明脚本甚至没有运行。

我尝试了以下操作，结果每次都出现上面的错误消息： 1. 关闭 IAP 并且对访问没有限制 2. 为 /clean 作业在 app.yaml 文件中添加处理程序部分

有没有人遇到这个问题并让它工作？

应用程序.yaml：

cron.yaml：

我正在测试一个非常基本的 Pub/Sub 订阅。我将推送端点设置为我通过 App Engine 中的 Python Flex 服务部署的应用程序。该服务位于启用了 Identity-Aware Proxy 的项目中。IAP 被配置为允许通过我们的域进行身份验证的用户。

我没有看到我的应用正在处理任何推送请求。

我关闭了 IAP 保护，然后我看到请求已被处理。我重新打开它，它们不再被处理。

在尝试运行 Cron 服务时，我遇到了与 IAP 类似的问题；在我在同一个项目中部署了一个新的测试应用程序后，该问题自行解决了。

有没有人通过 IAP 配置推送订阅成功？我还尝试将不同的服务帐户放在 IAP 访问列表中，但它们都不起作用。