GSP946

總覽

零信任安全模式是指直接將所有使用者、裝置或網路視為不可信。授予存取權與否取決於多項因素，包括但不限於使用者身分、裝置、位置和時段。強制執行零信任政策的其中一個主要用途，是確保使用者能安全存取託管於 Google Cloud 或地端部署資料中心的網頁應用程式，例如 HTTP/HTTPS 型的應用程式。每個網頁應用程式都能設定專屬的存取控管選項，精準管理安全機制，進而降低風險。透過這種模式保護網頁應用程式時，不必設定存取控管清單 (ACL)，只要設定 IP 範圍，即可迅速導入零信任做法，不會影響安全性。從架構層面來看，提供零信任存取機制的主要元件是：

• Identity-Aware Proxy (IAP)：這個引擎會強制執行政策，確保每個存取要求皆獲得授權。

在本實驗室，您會將範例應用程式部署至 App Engine、使用 Identity-Aware Proxy (IAP) 強制執行政策，並取得使用者身分資訊，提供給受 IAP 保護的應用程式。

學習目標

• 使用 Python 部署簡單的 App Engine 應用程式。
• 啟用 Identity-Aware Proxy (IAP)，限制應用程式存取權。
• 透過 IAP 取得使用者身分資訊並提供給應用程式。

必要條件

具備 Python 程式設計語言的基本知識

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

情境

您要透過 Google App Engine 建構簡單的網頁應用程式，並靈活運用 Identity-Aware Proxy 限制應用程式存取權，以及向應用程式提供使用者身分資訊。您的應用程式將會：

• 顯示歡迎頁面
• 存取 IAP 提供的使用者身分資訊

工作 1：使用 IAP 部署並保護應用程式

這是以 Python 3.8 編寫的 App Engine 標準環境應用程式，只會顯示「Hello, world」歡迎頁面。您將部署並測試應用程式，然後使用 IAP 限制相關存取權。

• 在 Cloud Shell 執行下列指令，從 GitHub 取得本實驗室所需的程式碼，再切換至程式碼資料夾：

git clone https://github.com/googlecodelabs/user-authentication-with-iap.git cd user-authentication-with-iap

查看應用程式程式碼

• 將目錄從主要專案資料夾切換至 1-HelloWorld 資料夾：

cd 1-HelloWorld

應用程式程式碼位於 main.py 檔案中。這個檔案採用 Flask 網頁框架，會透過範本內容回應網頁要求。該範本檔案位於 templates/index.html，在這個步驟中僅包含純 HTML。第二個範本檔案則位於 templates/privacy.html，內含簡略的隱私權政策範例。

另外還有兩個檔案：一個是 requirements.txt，當中列出應用程式使用的所有非預設 Python 程式庫，另一個是 app.yaml，用來指示 Google Cloud Platform 這是 Python 3.8 App Engine 應用程式。

您可以在 Cloud Shell 使用 cat 指令列出各個檔案：

cat main.py

您也能點選 Cloud Shell 視窗右上方的「編輯」圖示 ，開啟 Cloud Shell 程式碼編輯器，待載入後即可檢查程式碼。

在這個步驟中，不必變更任何檔案。

將應用程式部署至 App Engine

接下來，要將應用程式部署至 Python 3.8 適用的 App Engine 標準環境。

1. 執行下列指令：

gcloud app create --project=$(gcloud config get-value project) --region={{{ project_0.startup_script.app_region | REGION }}}

系統詢問是否要繼續時，請輸入 Y 表示同意。

您也可能需要授權發出呼叫，才能建立 App Engine 應用程式。這種情況下，請點選「授權」按鈕。

2. 在 Cloud Shell 程式碼編輯器，查看 1-HelloWorld 資料夾中的 app.yaml 檔案，並更新執行階段 Python 版本。

runtime: python310

3. 完成 create 指令後，執行下列指令：

gcloud app deploy

系統詢問是否要繼續時，請輸入 Y 並按下 Enter 鍵。

注意：如果發生錯誤，請重新執行指令。

部署作業會在幾分鐘內完成，屆時畫面上將出現訊息，提示您使用下列指令查看應用程式：

gcloud app browse 注意：由於是首次執行這個應用程式，啟動雲端執行個體時需要幾秒鐘才會顯示，接著您會看到如下圖所示的輸出內容。在這個階段，存取權尚未受到限制。

點選「Check my progress」，確認目標已達成。將應用程式部署至 App Engine

使用 IAP 限制存取權

1. 依序選取「導覽選單」圖示 >「查看所有產品」>「安全性」>「Identity-Aware Proxy」，然後依序點選「啟用 API」按鈕 >「前往 Identity-Aware Proxy」。

2. 依序點選「導覽選單」圖示 >「API 和服務」>「OAuth 同意畫面」，為專案設定 OAuth 同意畫面。

3. 在「OAuth 總覽」頁面點選「開始」，並在「應用程式名稱」欄位輸入 IAP Example。

4. 提供使用者支援電子郵件地址：

5. 在「Audience Type」部分選取「內部」，然後點選「下一步」。

6. 在「聯絡資訊」部分，輸入與步驟 4 相同的電子郵件地址，然後點選「下一步」。

7. 在「完成」部分，勾選「Accept terms and conditions」核取方塊後，即可點選「建立」。

8. 返回第一個瀏覽器分頁，在 Cloud Shell 執行下列指令：

export AUTH_DOMAIN=$(gcloud config get-value project).uc.r.appspot.com

請複製指令輸出的網址，稍後會用來填寫 OAuth 同意畫面分頁的表單。

9. 執行下列指令，查看填入的值：

echo $AUTH_DOMAIN

10. 在「OAuth 總覽」頁面，點選「Create Auth Client」，然後從「應用程式類型」中選取「網頁應用程式」。

11. 在「已授權的重新導向 URI」部分，點選「+ 新增網址」，輸入指令輸出內容中的網址，再點選「建立」。

12. 在另一個分頁，依序點選「導覽選單」圖示 >「查看所有產品」>「安全性」>「Identity-Aware Proxy」。

您可能需要視情況重新整理頁面。

13. 在「App Engine 應用程式」一列，點選「IAP」欄的切換鈕，為前一節部署的應用程式啟用 IAP。

14. 按住 Ctrl/Command 鍵，在 IAP 控制台選取 App Engine 應用程式的網址，即可前往該應用程式。

15. 使用登入表單中列出的學生使用者帳戶登入。

畫面上會隨即顯示訊息，指出您沒有應用程式的存取權。

您已成功使用 IAP 保護應用程式，但尚未指示 IAP 哪些帳戶有存取權。

點選「Check my progress」，確認目標已達成。使用 IAP 限制存取權

允許成員存取應用程式

1. 依序點選「導覽選單」圖示 >「查看所有產品」>「安全性」>「Identity-Aware Proxy」，返回控制台的「Identity-Aware Proxy」頁面。

2. 勾選 App Engine 應用程式旁的核取方塊，然後在頁面的右側欄點選「新增主體」。

3. 在實驗室控制台的左上方複製 Username，然後貼至「新增主體」輸入框。

4. 依序點選「Cloud IAP」>「受 IAP 保護的網頁應用程式使用者」設定角色。

5. 完成後，點選「儲存」。系統隨即會在視窗底部顯示「已更新政策」訊息。

點選「Check my progress」，確認目標已達成。允許成員存取應用程式

確認已重新取得存取權

• 返回 App Engine 應用程式，然後重新載入頁面。您已使用授權的使用者登入，現在應該會看到網頁應用程式。

不過，IAP 可能會因儲存的登入 Cookie 而未重新確認您的授權，導致畫面仍顯示「You don't have access」頁面。

在這種情況下，請執行下列步驟：

1. 開啟網路瀏覽器前往首頁網址，並在網址結尾加上 /_gcp_iap/clear_login_cookie，例如 https://iap-example-999999.appspot.com/_gcp_iap/clear_login_cookie。

注意：請使用先前在本實驗室部署的 App Engine 應用程式網址。上方範例網址僅供參考。

新的「使用 Google 帳戶登入」畫面會隨即顯示，當中列出您的個人帳戶。

注意：請勿點選該帳戶！

2. 點選「使用其他帳戶」，然後重新輸入憑證。

完成這些步驟後，IAP 會重新確認存取權限，您現在應該能看到應用程式的主畫面。

工作 2：存取使用者身分資訊

應用程式受到 IAP 保護後，即可使用 IAP 在網頁要求標頭提供的身分資訊。在這個步驟，應用程式將取得已登入使用者的電子郵件地址，以及 Google Identity 服務指派給該使用者的永久專屬使用者 ID。系統會在歡迎頁面向使用者顯示這項資料。

1. 在 Cloud Shell 輸入下列指令：

cd ~/user-authentication-with-iap/2-HelloUser

2. 在 Cloud Shell 程式碼編輯器，查看 2-HelloUser 資料夾中的 app.yaml 檔案，並更新執行階段 Python 版本：

runtime: python310

3. 使用下列指令，將應用程式部署至 App Engine：

gcloud app deploy 注意：您可能需要授權呼叫來部署應用程式。

4. 系統詢問是否要繼續時，請輸入 Y。

5. 部署作業準備就緒後，輸入下列指令：

gcloud app browse

如果瀏覽器未開啟新分頁，請將顯示的連結複製到新分頁來開啟。您應該會看到類似下列頁面：

注意：請稍候幾分鐘，等系統將先前的應用程式版本換成新版本。請視需要重新整理，以便查看上圖所示的頁面。

點選「Check my progress」，確認目標已達成。存取使用者身分資訊

檢查應用程式檔案

2-HelloUser 資料夾包含與 1-HelloWorld 資料夾相同的一組檔案，但其中兩個檔案有變更：main.py 和 templates/index.html。該程式已改為檢索 IAP 在要求標頭提供的使用者資訊，而且範本現在也會顯示該項資料。

1. 執行 cat main.py，查看 main.py 檔案的內容。

在 main.py 檔案，有兩行程式碼可取得 IAP 提供的身分資料：

user_email = request.headers.get('X-Goog-Authenticated-User-Email') user_id = request.headers.get('X-Goog-Authenticated-User-ID')

X-Goog-Authenticated-User- 標頭是由 IAP 提供，名稱不區分大小寫，您可以依需求全部小寫或大寫。render_template 陳述式現在包含這些值，因此可以顯示：

page = render_template('index.html', email=user_email, id=user_id)

在 index.html 範本用雙大括號括住名稱，即可顯示這些值：

Hello, {{ email }}! Your persistent ID is {{ id }}.

提供的資料包含 accounts.google.com: 前置字串，顯示資訊來源。應用程式可視需要移除半形冒號等所有內容，藉此取得原始值。

恭喜！

您已學會如何使用 Identity-Aware Proxy (IAP) 保護部署至 Google Cloud 的 HTTP(s) 應用程式。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2025 年 11 月 12 日

實驗室上次測試日期：2025 年 11 月 12 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。