問題タブ [identity-aware-proxy]

認証されていない AllUsers アクセスを許可するか、Identity Aware Proxy でアクセスを制御するために IAM をオンにすると、正しく機能する Google Cloud App Engine アプリがあります。ただし、このページhttps://cloud.google.com/iap/docs/cloud-run-sign-inの指示に従って、 Cloud Run Hosted サインインを外部 ID で有効にし、ログイン ページまたはGoogle Cloud Run がホストするサインイン ページにアクセスすると、ブラウザに次のエラーが表示されます。

「URI /computeMetadata/v1/instance/service-accounts/default/token?scopes=https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/を取得できませんでしたアイデンティティツールキット」

コンテキストとして、ユーザー サインインをホストする Google Cloud Run サービスは、すべての非認証を許可するように設定されています。Google App Engine Web アプリにリダイレクトする必要があります。これはアクセス許可またはリダイレクトに関連していると思いますが、修正方法について途方に暮れています。何かご意見は？ありがとう！

Cloud Run Service を再デプロイし、IAP のオンとオフを切り替え、IAM と外部 ID を切り替えて修正を試みましたが、成功しませんでした。

@John Hanley に感謝します。私のコンピューティング エンジン サービス アカウントの 1 つが、プロジェクト内で何らかの理由で無効になっていることを発見しました。再度有効にすると、問題が部分的に解決しました。アクセス許可とリダイレクトのマトリックスを作成して、それらが整合していることを確認するために、より多くの時間を費やします。

私は当初、自分の質問に完全に答えて問題を解決したと思っていました。残念ながら、外部 ID 認証方法の実装で解決できた問題は 1 つだけでした。

その他の問題の説明: メール/パスワードと Google をプロバイダーとして有効にしましたが、Google で認証するオプションをクリックすると、ブラウザーに次のテキストが表示されます:「要求されたアクションは無効です。」

Dev Tools のコンソールで、次のエラーが表示されます。

GET https://www.googleapis.com/identitytoolkit/v3/relyingparty/getProjectConfig?key=*mykey*&cb=1599165379363 403

次の URL が URL バーに表示されます。

https:// .firebaseapp.com/__/auth/handler?apiKey= mykey &appName=%5BDEFAULT%5D-firebaseui-temp&authType=signInViaRedirect&providerId=google.com&customParameters=%7B%22hl%22%3A%22en%22%7D&scopes= profile&redirectUrl=https%3A%2F%2Fiap-gcip-hosted-ui-app-engine-app- myserver -uc.a.run.app%2F%3FapiKey%3D mykey**&v=7.16.0&fw=FirebaseUI-web

mykeyとmyserverはこの記事では削除されており、実際の値ではありません。

メール/パスワード サインインは機能しますが、Google サインインは機能しません。ここで何が欠けていますか？

Google Cloud Identity Aware Proxy (IAP) を使用して保護されている Google App Engine Standard 上に Python アプリがあります。

Cloud Scheduler を使用して、アプリの一部を毎日トリガーしたいと考えています。(API を呼び出し、計算を行い、結果を Google Cloud Storage に保存します。)

そのために、「App Engine HTTP」で POST リクエストをトリガーしてみました。URL の例: 「/refresh_data」

ジョブを実行すると、次のエラーが発生します。

「FAILED_PRECONDITION」エラーに関連するドキュメントが見つからないため、ここで行き詰まりを感じています。

別の方法として、単純な「HTTP」への POST リクエストをトリガーし、Cloud Scheduler に使用しているサービス アカウントに IAP の所有者アクセス レベルを付与することを試みました。今回、表示されるエラー メッセージは次のとおりです。

これを機能させる方法が本当にわかりません... Cloud Schedulerのドキュメントには「App Engine HTTP」オプションがほとんど記載されておらず、IAPの使用に関しては何も文書化されていません...

どんな助けでも大歓迎です:)

TestCafe が IAP で保護されたサービス/アプリに対して認証する方法について、誰かがガイドできますか? このガイドをここで読もうとしましたが、少し複雑に思えます。誰かがこれを以前に行ったことがある場合は、共有していただければ幸いです。前もって感謝します。

2 つのアプリがあるユース ケースがあります。

• web.myportal.example で実行される React SPA フロントエンド
• api.myportal.example で REST API を公開する Node Express バックエンド

どちらのアプリもインターネットにデプロイさGCP Compute Engineれ、インターネットからアクセスできます。不正アクセスを防ぐように IAP を構成できました。UI と API の使用を許可する電子メール アカウントのリストを指定できます。

私が必要としているのは、GCP IAP からの承認機能です。ありますか？簡単な例 - 一部の API エンドポイントは、特定のグループ/ロール メンバーシップを持つユーザーのみがアクセスできるようにする必要があります。IAP からそれを抽出するにはどうすればよいですか? IAP が私に残す唯一のものはGCP_IAAP_AUTH_TOKENCookie です。これは、その定義のために使用することさえできません。

Safari および Brave からの外部 ID を持つユーザーのサインインが機能しません。Safari の回避策は、設定メニューで [クロスサイト トラッキングを防止する] を無効にすることです。https://cloud.google.com/sdk/gcloud/reference/iap/settings/setで説明されているように、gcloud iap 設定セットを使用する別のオプションがあります。試してみましたが、次のエラーが発生します: FAILED_PRECONDITION: Precondition check failed.

また、 https://quabr.com/59905271/how-do-you-enable-cors-requests-to-a-google-compute-engine-iap-enabled-load-balaの手順に従ってみましたが、同様のエラー。