問題タブ [identity-aware-proxy]

GCP にデプロイされ、Identity-Aware-Proxy (IAP) の背後にある Web サイト REST API にアクセスしたいと考えています。ローカル コンピューターからのみアクセスできればよいのですが、それを実現するためにサービス アカウント キーを使用することはできません。

gcloud auth loginapplication_default_credentials を使用しgcloud auth application-default loginて設定し、Oauth2 エンドポイントを呼び出して id_token を取得しようとしました。

何を試しても、「オーディエンスクライアントとクライアントは同じプロジェクトにある必要があります」というエラーが返されます。

デフォルトの認証情報にある client_id (74XXXXXXX) と IAP の client_id (73XXXXXXX) は一致しませんが、どちらも同じ GCP プロジェクトを使用しています。

この (ユーザーのデフォルト認証情報を使用して Cloud Identity-Aware Proxy (Cloud IAP) で保護されたリソースにプログラムで認証する方法は? )のPython の例を使用しています。

IAP にローカル ユーザー資格情報を渡す方法についてのアイデアはありますか?

IAP で保護されたサービスを使用して Google アプリ エンジン プロジェクトを作成しました。

署名済みヘッダーを使用して認証済みユーザーの ID を取得する方法を理解しています。しかし、OAuth 2.0 資格情報を取得するにはどうすればよいでしょうか?

これを達成する他の方法 (GCP を使用) についての提案も歓迎します。

IAP では、 を使用してアクセスできるプリンシパルを定義することで、AppEngine 上のアプリを保護できますroles/iap.httpsResourceAccessor。IAM に呼び出されたグループがあり、そのグループにparticipants外部の人々 (個人の Gmail アカウントと請負業者) を追加した場合、これらの人々は私のアプリケーションにアクセスできますか? それとも、従業員とワークショップに参加している数十人の顧客へのアクセスを制限したいのですが、確認のために申請書を提出する必要がありますか?

言い換えれば、IAP は「あなたの組織内の人々」を、@myorg.comメールアドレスしか持っていない人々、または IAM 権限を持つグループの一員である人々として定義していますか?