问题标签 [identity-aware-proxy]

在一个项目中，我们开始使用GKE来托管一些服务。

所有团队成员都应该可以访问这些服务，但世界上的任何其他人都应该无法访问这些服务。

我们的团队在家工作，因此我们不能限制 IP 地址或类似的东西。

确保只有团队成员才能访问服务的最佳方法是什么？

我试图设置 IAP。那行得通，但是每个服务都有很多设置，我没有找到一种方法来允许“技术用户”，比如允许 sonarscanner 到达 sonarqube。

也许另一种选择是设置一个专用的 nginx-ingress 控制器，我可以使用 BasicAuth 或客户端证书来保护它。- 但感觉我的情况很常见，我错过了一些现有的东西。- 有什么提示吗？

当前 IAP 面临的挑战是，我拥有像 Sonarqube 这样的服务，它同时提供 Web 界面和 API。使用浏览器访问 Web 界面可以正常工作。但我不清楚如何配置例如 sonarscanner 以访问受 IAP 保护的 API。

IAP 的第二个问题是，它要求每个服务配置相当多的 GKE 特定样板文件（Frontendconfig/Backendconfig/Annotations/etc.）。我真的很想将这种配置从服务（即开发人员）转移到集群/入口控制器（即集群管理员）。

我做了一些研究，以找到一种方法来验证外部用户（GCP 组织之外）是否启用了多因素身份验证。我找到了 Google Workspace is_2sv_enrolled，但这是针对组织中的用户的。

您是否知道是否有任何方法可以验证外部用户是否通过身份识别代理从 Google App Engine 登录启用了 MFA？

为了更具体地说明我要解决的问题，这里是上下文的基本摘要：

我使用 Google App Engine 和 Identity-Aware Proxy 在 Python 中开发了一个解决方案，以便授权用户可以进行身份​​验证并允许他们各自的 IP 地址访问 AWS 上的安全组入口中的某些端口，它是一个包含多种技术的解决方案，例如：谷歌应用引擎、身份识别代理、谷歌计算引擎、AWS WAF、AWS API Gateway、AWS Lambda、AWS Lambda等。

目前，任何在身份感知代理中获得授权且符合我已经可以管理的条件的用户都将被允许进入安全组入口。

问题：我想将这些来自外部用户的访问限制为只允许那些拥有启用了 MFA 的 Google 帐户的用户。

谢谢。

我想在 Cloud Run 中使用 firebaseui 创建一个用于登录身份验证的应用。所以，起初，我执行了谷歌发布的以下 URL 的“贡献”之后的所有项目。但是，在创建的应用程序的屏幕上，只显示字符“Loading ...”。如果还需要其他工作，请告诉我。

https://github.com/GoogleCloudPlatform/iap-gcip-web-toolkit/tree/master/authui-container

尝试使用 GCP 上的 Google Cloud Identity Platform 和 Identity Aware Proxy 集成 Github OAUTH2，以及部署在 Cloud Run 上的 Firebase UI（开箱即用）。我有此帐户的所有者角色

尝试访问受保护的应用程序时，从浏览器控制台收到以下错误。似乎正在发生重定向，但未显示 firebase UI。

未找到指定资源，或请求被未公开原因拒绝

导致 HTTP 状态 404 的资源 url 是https://iap-gcip-hosted-ui-app-engine-app-app-specific-code-de.a.run.app/config

除了所有者角色之外，我是否需要任何特定权限。下面的 url 是可访问的，用于配置 firebase UI

https://iap-gcip-hosted-ui-app-engine-app-app-specific-code-de.a.run.app/admin

我有一个 k8s 集群，在带有外部 HTTPS 负载均衡器的 Ingress 后面运行服务，并且我有身份感知代理来保护我的系统。入口有一个公共 IP，当我使用 nmap 扫描它时，我看到以下开放端口：

我的问题是为什么所有这些端口都是打开的，它是否从 IAP 打开，如果是这样，这就是为什么我能够在没有身份验证的情况下扫描似乎是 Ingress IP 的原因，最终我可以关闭除 HTTP/S 端口之外的所有端口为了安全？如果是 IAP，也许这些需要开放，以便为可能可用但不在我的集群中的不同服务转发不同的流量；这能解释这个吗？

任何提示都会很可爱，我已经 RTFMed 并且关于 Ingress 的所有内容似乎都指向它只接受 HTTP/S 流量并转发到服务/部署。这个 IAP 是让这些端口处于打开状态还是真的在 Ingress 上？它是与 Ingress 关联的 IP 地址。我是否需要向我的集群添加 FrontendConfig 来配置 Ingress 以关闭这些端口？

提前致谢！

我使用电子邮件作为外部提供商使用受 IAP/GCIP 保护的 appengine 应用程序。使用 iap-gcip-web-toolkit github 项目中提供的用于 Firebase 身份验证的示例 Angular 项目，我想将此身份验证 UI 用于 appengine 应用程序

当我尝试访问 firebase 身份验证 UI 时，出现以下错误

客户指定了一个无效的参数

我已确保 firebase 使用链接到它的 gcp 项目，并且还使用了与 firebase/gcp 项目关联的 API 密钥。

为什么会抛出此错误？

情况：项目#1：包含负载均衡器和身份感知代理，可通过 GCP 项目（凭据）上的 oauth 客户端（android）访问。项目#2：是一个火力基地项目。GCP 是自动配置的（刚刚从 firebase 创建了项目）。这里添加了带有 sha1 和包名称的 android 应用程序，并且启用了身份验证 google。 问题是：如何通过 Firebase 项目 #2 配置 android（在我的情况下为颤振）应用程序以访问 gcp 项目 #1 上的 oauth Web 客户端以访问 iap ？

我正在尝试使用本指南通过 google 身份识别代理保护我的本地应用程序。

我有一个本地网络应用程序，它在可通过 {public_ip}/scada 访问的 gcp VM 上模拟。我需要实现的是启用 IAP 来保护它。

只要我必须部署和配置 IAP 连接器，我就需要指定源和目标，如链接和图像中所述。

到目前为止我还没有得到什么作为源（iap 连接器上的入口点）和目标（这里可能需要购买域并链接 VM 的公共 IP）。

我可以做些什么来配置源？需要购买其他域并保留一个静态 IP 才能使用？

感谢您的帮助。

iap 连接器配置

尝试使用 Salesforce 身份将 GCIP 配置为 IDP。尝试配置基于 OIDC 的集成。请注意，没有为基于 OIDC 的配置提供 (sfdc) 客户端密码的字段。此外，从 GCIP 端调用 response_type=id_token。我们想使用授权码流（response_type=code）与 SFDC 集成。可能吗？

我想知道是否可以为 App Engine 但为子域或子文件夹启用 IAP OAuth。我已经为域启用了它，但我不希望它出现在整个网站上。例如：我想在 admin.website.com 上使用 IAP 安全登录，但 website.com 的用户应该能够毫无问题地访问它。如果可以为 website.com/admin 做到这一点也可以（我想在 website.com/admin 上启用也容易得多）

（网站名称因隐私而更改）