问题标签 [identity-aware-proxy]

问题布局：我正在使用 AppEngine 界面，并且客户端使用 AD/Azure 进行身份验证。

我已经使用外部提供商（即 Azure 设置）设置了 IAP。谷歌提供的登录屏幕。

这样可行。

但是登录页面并没有显示使用项目google帐户登录的可能性，这对于开发人员来说真的很烦人。

我希望项目所有者/编辑者或具有特定角色的人也能够访问该界面。

我已经使用项目的 webclient id 和 secret 设置了 Google 以及外部提供商。

登录页面现在显示两个登录按钮。好的。

但它没有按预期工作。我被困在 Oauth 同意页面后面。有 3 个选项：内部、测试或生产。

• 内部不起作用。
• 我想测试会起作用，但我必须手动添加用户/开发人员。没有与 IAM 用户的链接。
• 生产工作正常，但每个拥有 gmail 帐户的人都可以访问。

我错过了什么？

我猜想链接回该项目的外部谷歌提供商会限制用户的访问。

我应该检查什么？

有没有更好的方法来获得想要的设置？

我在 Go 中有测试代码，它在 Compute Engine 实例上设置了一个状态（并且不想公开端口）。由于似乎没有直接在 Golang 中执行此操作的简单方法，因此我使用gcloud：

运行时go test，cmd输出：

计算实例是正确的 - 但尝试访问计算实例时出现故障。相同的 gcloud 命令适用于 bash（即使对于非交互式）。我认为 Golang 环境中有些不同。

我正在寻找一种解决方案，通过 IAM 进行授权/身份验证，在 GCP 上建立无服务器网关，但没有找到完美的解决方案。

这个想法是让这些网关使用命令Bearer $TOKEN生成来管理来自 GCP Functions、Cloud Run 和 App Engine 上的 API 的端点gcloud auth print-identity-token。此外，还需要一个 IAP 集成来通过允许 Gmail 域（例如，允许所有@company.com用户访问）来管理访问。

首先，我尝试了 API Gateway，但如果没有带有 SA 私钥的签名令牌并且也没有 IAP 集成，则无法调用端点。然后，我尝试了 HTTPS 负载均衡器并成功获得了编程访问，但没有获得 IAP，因为它没有与 Cloud Functions 集成。

是否有另一种可能性或下一步是尝试使用 Kong 或 Nginx 执行此 API 网关？

在此先感谢您的帮助。