問題タブ [google-iap]

Google Cloud IAP (Identity Aware Proxy) を使用して保護されている Google APP エンジンにアクセスしようとしています。ID トークンを使用して、postman や (Node または Python) などのバックエンド サービスを使用してリソースにアクセスできます。しかし、同じ ID トークンを使用してブラウザーからアクセスしようとするとすぐに、401 無許可エラーが発生します。

この記事に従って ID トークンを取得しています: https://engineering.q42.nl/google-identity-aware-proxy/

エラー メッセージ: OPTIONS my_url401

my_urlオリジン ' http://localhost:4200 ' からのXMLHttpRequest へのアクセスがCORS ポリシーによってブロックされました: プリフライト要求への応答がアクセス制御チェックに合格しません: 要求されたヘッダーに 'Access-Control-Allow-Origin' ヘッダーが存在しません資源

Cloud Tasks HTTP リクエストを使用して、Cloud IAP で保護された HTTPS ロード バランサーの背後にある Kubernetes エンドポイントに到達しようとしています。

エンドポイントは Gsuite の企業アカウントを使用して正常に動作しますが、クラウド タスクが実行されると、これはクラウド監査 - データ アクセス ログになります (重要な部分のみが表示されます)。

コンピューティング エンジン サービス アカウントを使用してタスクを作成しているため、このアカウントに適切なアクセス許可を付与しました。

タスクを作成するときに、適切な OIDC サービス アカウントの電子メールを http 要求に追加します。

また、別のエンドポイントで Cloud Tasks HTTP リクエストを確認したところ、認証ベアラー トークンが存在していました。

現時点では、それを機能させる方法についてはまったくわかりません。助けてくれてありがとう

アドオン (Google カレンダーのサイドバー アドオン) を作成していますが、アドオンは Google IAP (Identity Aware Proxy) の背後でホストされている API を呼び出す必要があります。IAP には openid トークンが必要であり、id トークンは、オーディエンス パラメーターを使用してGoogle の OAuth2 サービスから付与される必要があります。この oauth2 ライブラリを含めることでこれを機能させることができますが、ユーザーは 2 回ログインする必要があります。1 番目はアドオン、2 番目は IAP サービスです。両方のログインは Google へのログインであり、同じユーザーを使用しているため、一度ログインするだけで済みます。アプリ スクリプトの ScriptApp サービスには、関数getIdentityToken()があります。、しかし、トークンの生成中にオーディエンスパラメーターを使用しなかったため、そのトークンは IAP では機能しません。ユーザーが 2 回ログインする必要がないように、ScriptApp から派生したトークンを使用して IAP を呼び出す方法を知っている人はいますか? リフレッシュ トークンに直接アクセスできなければ、自分でオーディエンス パラメーターを使用して ID トークンを作成することはできません。