问题标签 [google-iap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-cloud-platform - Google Cloud Identity Aware Proxy (IAP) 注销在其他选项卡中不起作用
当我通过访问用户使用 Google IAP 身份验证在我的应用程序中注销用户时,/_gcp_iap/clear_login_cookie
系统会提示用户进入 Google 帐户选择页面,但如果我打开一个新选项卡并访问我的网站,该用户仍处于登录状态。我错过的任何机会某物?
google-app-engine - Google Pub/Sub 推送消息不适用于启用 IAP 的应用引擎
我正在测试一个非常基本的 Pub/Sub 订阅。我将推送端点设置为我通过 App Engine 中的 Python Flex 服务部署的应用程序。该服务位于启用了 Identity-Aware Proxy 的项目中。IAP 被配置为允许通过我们的域进行身份验证的用户。
我没有看到我的应用正在处理任何推送请求。
我关闭了 IAP 保护,然后我看到请求已被处理。我重新打开它,它们不再被处理。
google-compute-engine - 到虚拟机的 IAP 隧道
我有一个关于 Compute VM 及其相关权限的问题。我在项目级别拥有“所有者”权限。我创建了一个 VM,但无法为其分配外部 IP 地址。参考谷歌云文档后,看来我仍然可以使用 VPN 或 IAP 连接到此 VM。单击 VM 旁边的 SSH 链接后,我看到它使用 Cloud-IAP 隧道,但连接失败。
这是错误消息 External IP address was not found; 默认使用 IAP 隧道。
我该如何连接到这个虚拟机?
感谢您对此的帮助
google-cloud-platform - GCP Cloud IAP OAuth2:预计 JWT 有 3 个部分,由“。”分隔 但有两部分
我已经保护了 Cloud IAP 背后的 Google App Engine 应用程序 - 端点现在需要按预期通过浏览器进行 Google 登录,并且一旦我添加了正确的权限就可以正常工作。但是,当我尝试使用 Postman / MS PowerApps OAuth2 身份验证时,出现以下错误:Expected JWT to have 3 parts by a '.' 但有 2 个部分。
这是我的邮递员设置:
Cloud IAP OAuth2 有解决方案吗?
谢谢,
google-cloud-platform - 对于具有外部 IP 的实例,您可以强制浏览器中的 SSH 通过 IAP 进行隧道传输吗?
我有一些具有外部 IP 的计算引擎实例,这些实例具有阻止 SSH 的防火墙规则。这些实例还具有内部 IP,具有将 IAP 网络块的 SSH 列入白名单的防火墙规则(尽管控制台中的 IAP 帮助错误地表示由于资源不足,我需要添加规则,但我离题了)。
相关评论似乎表明,如果有外部 IP,浏览器中的 SSH 将不会使用 IAP,但我不确定是否有解决方法。
我可以使用 Google Cloud SDK 通过 SSH 连接到实例gcloud compute ssh <instance> --tunnel-through-iap
,但是有没有办法通过浏览器强制执行相同操作,以便我可以随时随地轻松登录?
google-cloud-platform - 使用 XHR 请求从 JS 访问 IAP 安全资源?
我正在尝试访问使用 Google Cloud IAP(身份识别代理)保护的 Google APP 引擎。我可以通过使用身份令牌使用邮递员以及任何后端服务(如(Node 或 Python))访问资源。但是,一旦我尝试使用相同的身份令牌从浏览器访问它,就会收到 401 未经授权的错误。
我通过以下文章获取身份令牌: https ://engineering.q42.nl/google-identity-aware-proxy/
错误消息:选项my_url
401
my_url
从源“ http://localhost:4200 ”访问 XMLHttpRequest已被 CORS 策略阻止:对预检请求的响应未通过访问控制检查:请求中不存在“Access-Control-Allow-Origin”标头资源
google-app-engine - 用于 Google Cloud 端点 OpenAPI 的身份识别代理 (IAP)
我们有一个在 Python 3.7 标准环境中开发的应用程序(比如 App-B)。
此应用程序只能由属于 GAE 的另一个项目(应用程序)访问。
我们是否需要使用 Google Cloud 端点公开 App-B 来实现这一点?如果是,根据此处的文档,它说我们需要使用 IAP 保护 App-B。IAP 可以支持“应用程序”而不是“用户”吗?我们该怎么做呢?
google-app-engine - 从服务帐户进行身份验证时访问 IAP 资源时出错 - 502 服务器错误
我们正在尝试实现服务器到服务器的身份验证,并根据此处的文档访问 IAP 资源。
当我们执行上面的代码时,我们得到以下错误。
我们发出请求的项目(我们称之为项目 A)有一个默认服务帐户 project-name-A@appspot.gserviceaccount.com。我们已为其添加了“服务帐户令牌创建者”角色。我们按照此处的文档创建 JWT 并发出 IAP 请求。
我们使用以下函数来接收 OpenID Connect 令牌。
请在此处找到 Project-B 的 IAP 配置。. IAP 安全 Web 应用用户是 project-A@appspot.gserviceaccount.com - 项目 A 的默认服务帐户。
google-iap - 无法从 Cloud Tasks HTTP 请求向 Cloud IAP 后端进行身份验证
我正在尝试使用 Cloud Tasks HTTP 请求到达受 Cloud IAP 保护的 HTTPS 负载均衡器后面的 Kubernetes 端点。
端点可以使用任何 Gsuite 公司帐户正常工作,但是当 Cloud Task 执行时,这是 Cloud Audit - Data Access 日志(仅显示重要部分)
我正在使用计算引擎服务帐户来创建任务,因此我已授予此帐户适当的权限:
创建任务时,我将适当的 OIDC 服务帐户电子邮件添加到 http 请求
我还检查了另一个端点上的 Cloud Tasks HTTP 请求,并且存在身份验证承载令牌。
在这一点上,我真的不知道如何使它工作。谢谢您的帮助
google-apps-script - 使用来自 ScriptService 的 Id Token 对 IAP(身份感知代理)进行 API 调用
我正在制作一个插件(Google 日历的侧边栏插件),该插件需要调用托管在 Google IAP(身份识别代理)后面的 API。IAP 需要一个 openid 令牌,而 id 令牌需要通过使用 Audience 参数从 Google 的 OAuth2 服务授予。我可以通过包含这个 oauth2 库来完成这项工作,但是用户必须登录两次。首先是插件,其次是 IAP 服务。由于两次登录都是 Google 的,并且使用相同的用户,因此他们似乎只需要登录一次。apps 脚本中的 ScriptApp 服务有一个函数getIdentityToken(),但该令牌不适用于 IAP,因为它在生成令牌时没有使用受众参数。有谁知道使用从 ScriptApp 派生的令牌调用 IAP 的方法,以便用户不必登录两次?如果没有直接访问刷新令牌,我自己将无法使用观众参数创建 id 令牌。