GCP 允许外部 HTTPS 负载平衡器受 Identity Aware Proxy (IAP) 的保护，使用您的 google 帐户凭据来保护负载平衡器后面的 Web 服务器。这是一种保护您想要在内部使用的 Web 服务的简单方法。但是，有时您需要在另一个域的网站内提供访问权限，例如另一个团队的子域，或者在使用Honeycomb.io 的 Secure Tenancy等第三方服务时。这需要启用跨域资源共享或 CORS。

GCP可以配置为允许跨 IAP 的 CORS 请求，但文档很少。您如何实际启用它？

现在，在 App Engine 服务上启用自定义域变得轻而易举，启用 IAP（Google 身份识别代理）也变得轻而易举。但是，我不知道如何让 IAP和我的自定义域一起工作！

1. 两者https://myservice-dot-myapplication.appspot.com都https://myservice.mydomain.com触发了 IAP 同意屏幕，我可以在其中通过适当的用户登录（在 IAP 角色/成员中配置）
2. https://myservice-dot-myapplication.appspot.com登录后会让我看到我的应用程序
3. https://myservice.mydomain.com将始终拒绝我访问该You don't have access消息，就像我通过未经 IAP 配置授权的 Gmail 帐户登录一样

如果我禁用 IAP，我可以通过这两个域（当然不需要身份验证，这是不希望的）并确认自定义域确实在使用适当的自动生成的证书。感觉就像我错过了 IAP 中配置别名域或类似内容的选项，但我找不到该选项。

我错过了什么？还是目前根本无法让 IAP 与自定义域一起使用？谢谢你的帮助！❤️

注意：域名已更改以保护无辜者。

我刚刚注意到我的两个项目在 GCP 上具有相同的用于 IAP 的 OauthClient。我想更新一个 IAP 资源，以便我的每个项目都有唯一的 OauthClient，但我找不到如何.. 有什么帮助吗？

解决方法

所以这不是一个解决方案，但如果它发生在需要快速修复它的其他人身上。

我所做的只是删除了常见的 OauthClient。然后在我的项目上停用 IAP 并重新激活它。新客户端 Oauth 已自动分配！

谢谢 ：）

我继承了一个系统，我们在 GCP 中托管了一个 gitlab Docker 映像注册表，但它位于 IAP 代理后面，因此我可以在连接到我们的内部网络时执行 docker pull（感谢绕过 IAP 代理的防火墙规则）。

有什么办法可以从互联网上对它进行 docker pull 吗？我怀疑我需要一个插件docker login来让它知道 IAP。

有没有人这样做过？

在 GCP 中，很容易设置 IAP（将您的应用隐藏在 Google oAuth 服务下）。欲了解更多信息：https ://cloud.google.com/iap/docs/app-engine-quickstart

Azure 有类似的东西吗？

出于安全考虑，需要将 GCP Compute Engine 实例设置为没有外部 IP（外部 ip = None）。在这种情况下，它默认为 Identity Aware Proxy。IAP - 到相同的目标 - 确实在其他机器上成功，但在我的数据中心中没有。

即使在完全配置 gcloud 登录/身份验证并且：

然后运行： gcloud compute ssh $INSTANCENAME --tunnel-through-iap

回报：

不清楚这是否指向 ssh_config 问题或其他问题，但这不是我的领域，所以我有点迷茫并且没有看到与此错误相关的其他内容。有什么想法吗？期望的行为是在 ProxyUseFdpass 上不出现错误。并且，为了 ssh 连接成功。

我也跑了gcloud compute ssh $INSTANCENAME --tunnel-through-iap --dry-run，返回的结果与成功连接的地方的结果相匹配。

我有一个在 Google 计算引擎上运行的 SFTP 服务器。防火墙设置为允许来自身份感知代理的流量。

gcloud ssh我可以使用本地连接到服务，但无法从 App Engine 或 Cloud Run 连接。Cloud Run 和 App Engine 的服务帐号已经拥有 IAP 隧道和 Https 权限。

后端使用ssh2-sftp-client在 Node 中编写。

如何保护 Compute Engine 并允许来自 Cloud Run 和 App Engine 端口 22 的 tcp 流量仍然通过？

我在 GCP 中设置 Cloud Run 应用。我想使用 IAP 框架。在我的开发环境中，我想获取 IAP 提供的标头。有没有硬编码的最佳实践？

我正在使用vscode和码头工人。

我希望能够访问，除其他外，X-Goog-Authenticated-User-Email

我有一个使用 React on GAE 制作的应用程序，受 IAP 保护。
我想在应用页面上显示登录用户的电子邮件地址。
根据文档，有一个名为“x-goog-iap-jwt-assertion”的标头，其中包括请求标头中识别的用户信息。
我用 Express 成功检索了 Nodejs 中的请求标头，但无法在 React 中检索此请求标头数据。

有没有办法在 React 中检索此请求标头数据？

更新

我努力了axios.get("/").then(res => console.log(res.headers));

它返回

我目前已启动并运行 App Engine，受 IAP 保护，我的最终目标是让 Apps Script 项目触发它。我已经在没有 IAP 的情况下测试了代码，它工作正常。但是，启用 IAP 后，我在成功授权访问它时遇到了困难。

我已将自己作为受 IAP 保护的 Web 应用程序用户（以及策略管理员）添加到 App Engine，但是每当我尝试从我是所有者的 GSheets Apps 脚本触发它并且它​​与正确的 GCP 项目相关联时（使用这个很好的解释作为指导）我得到以下信息：

“无效的 IAP 凭据：JWT 受众与此应用程序不匹配（'aud' 声明 (1084708005908-bk66leo0dnkrjsh276f0rgeoq8ns87qu.apps.googleusercontent.com) 与预期值不匹配 (1084708005908-oqkn6pcj03c2pmdufkh0l7mh37f79po2.apps.googleuser)）”

我尝试向我的帐户添加/删除各种权限，以及创建新的 Apps 脚本并重新添加到项目中，但无济于事。从 CLI 触发时我遇到了同样的问题，所以我很确定这是身份验证的问题，但是这是我的 Apps 脚本代码，以防万一：

和清单文件：

对此的任何帮助都非常感谢！以前从未在这里发布过，但非常绝望，在 SO 上找不到有这个确切问题的人。