GSP499
Übersicht
In diesem Lab erstellen Sie mit Cloud Run eine einfache Webanwendung und erfahren, wie Sie mithilfe von Identity-Aware Proxy (IAP) den Zugriff auf die Anwendung einschränken und Informationen zur Nutzeridentität für sie bereitstellen. Mit der Anwendung können Sie:
- Eine Begrüßungsseite anzeigen lassen
- Auf Informationen zur Nutzeridentität zugreifen, die von IAP bereitgestellt werden
- Mithilfe von kryptografischer Überprüfung das Spoofing von Informationen zur Nutzeridentität verhindern
Lerninhalte
Aufgaben in diesem Lab:
- Einen einfachen Cloud Run-Dienst mit Python schreiben und bereitstellen
- IAP aktivieren und deaktivieren, um den Zugriff auf die Anwendung einzuschränken
- Informationen zur Nutzeridentität von IAP auf die Anwendung übertragen
- Informationen von IAP zum Schutz vor Spoofing kryptografisch überprüfen
Vorbereitung
Grundkenntnisse in der Programmiersprache Python sind für dieses Lab von Vorteil.
In diesem Lab liegt der Fokus auf Cloud Run und IAP. Auf Konzepte ohne besondere Relevanz wird nicht genauer eingegangen, entsprechende Codeblöcke können Sie einfach kopieren und einfügen.
Einführung in Identity-Aware Proxy
Das Authentifizieren von Personen in Webanwendungen ist häufig notwendig und erfordert in der Regel eine spezielle Programmierung. Bei Google Cloud-Anwendungen können Sie diese Aufgaben an den Dienst Identity-Aware Proxy übergeben. Wenn Sie den Zugriff nur für bestimmte Personen einschränken möchten, sind keine Änderungen an der Anwendung erforderlich. Falls die Anwendung die Identität einer Person erkennen soll (z. B. um die Nutzereinstellungen serverseitig beizubehalten), kann Identity-Aware Proxy diese Information mit minimalem Anwendungscode bereitstellen.
Was ist Identity-Aware Proxy?
Identity-Aware Proxy (IAP) ist ein Google Cloud-Dienst, der an Ihre Anwendung gesendete Webanfragen abfängt, die anfragende Person über den Google Identity Service authentifiziert und Anfragen nur weiterleitet, wenn sie von einer von Ihnen autorisierten Person stammen. Außerdem kann der Dienst Anfrageheader so ändern, dass sie Informationen über die authentifizierte Person enthalten.
Einrichtung und Anforderungen
Vor dem Klick auf „Start Lab“ (Lab starten)
Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.
In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.
Für dieses Lab benötigen Sie Folgendes:
- Einen Standardbrowser (empfohlen wird Chrome)
Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.
- Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.
Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.
Lab starten und bei der Google Cloud Console anmelden
-
Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können.
Auf der rechten Seite befindet sich der Bereich Lab-Einrichtung und ‑Zugriff:
- Button Google Cloud Console öffnen
- Die temporären Anmeldedaten (Nutzername und Passwort), die Sie für dieses Lab verwenden müssen
- Gegebenenfalls weitere Informationen für dieses Lab
Der Lab-Timer befindet sich oben auf der Seite und zeigt die verbleibende Zeit an.
-
Klicken Sie auf Google Cloud Console öffnen. Wenn Sie Chrome verwenden, können Sie auch rechtsklicken und Link in Inkognitofenster öffnen auswählen.
Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.
Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.
Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.
-
Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.
{{{user_0.username | "Username"}}}
Sie finden den Nutzernamen auch im Bereich Lab-Einrichtung und ‑Zugriff.
-
Klicken Sie auf Weiter.
-
Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.
{{{user_0.password | "Password"}}}
Sie finden das Passwort auch im Bereich Lab-Einrichtung und ‑Zugriff.
-
Klicken Sie auf Weiter.
Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos.
Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.
-
Klicken Sie sich durch die nachfolgenden Seiten:
- Akzeptieren Sie die Nutzungsbedingungen.
- Fügen Sie keine Wiederherstellungsoptionen oder 2-Faktor-Authentifizierung hinzu, da dies nur ein temporäres Konto ist.
- Melden Sie sich nicht für kostenlose Testversionen an.
Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.
Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.
Cloud Shell aktivieren
Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.
-
Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren
.
-
Klicken Sie sich durch die folgenden Fenster:
- Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
- Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.
Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:
Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}
gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.
- (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:
gcloud auth list
- Klicken Sie auf Autorisieren.
Ausgabe:
ACTIVE: *
ACCOUNT: {{{user_0.username | "ACCOUNT"}}}
Um das aktive Konto festzulegen, führen Sie diesen Befehl aus:
$ gcloud config set account `ACCOUNT`
- (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:
gcloud config list project
Ausgabe:
[core]
project = {{{project_0.project_id | "PROJECT_ID"}}}
Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.
Code herunterladen
Klicken Sie in Cloud Shell auf den Befehlszeilenbereich, damit Sie Befehle eingeben können.
Laden Sie den Code aus einem öffentlichen Storage-Bucket herunter und wechseln Sie dann in den Ordner mit dem Code:
gcloud storage cp gs://{{{project_0.project_id}}}-bucket/user-authentication-with-iap.zip .
unzip user-authentication-with-iap.zip
cd user-authentication-with-iap
Dieser Ordner enthält für jeden Schritt in diesem Lab einen Unterordner. Sie werden bei jedem Schritt in den entsprechenden Ordner wechseln.
Aufgabe 1: Anwendung bereitstellen und mit IAP schützen
Dieser Cloud Run-Dienst in Python zeigt eine einfache Begrüßungsseite mit dem Titel „Hello, World“ an. Sie stellen die Anwendung bereit und testen sie. Anschließend beschränken Sie den Zugriff mithilfe von IAP.
Anwendungscode überprüfen
- Wechseln Sie vom Hauptprojektordner in den Unterordner
1-HelloWorld, der den Code für diesen Schritt enthält.
cd 1-HelloWorld
Der Anwendungscode befindet sich in der Datei main.py. Er verwendet das Flask-Webframework, um auf Webanfragen mit dem Inhalt einer Vorlage zu antworten. Die Vorlagendatei befindet sich unter templates/index.html und enthält für diesen Schritt nur einfaches HTML. Eine zweite Vorlagendatei unter templates/privacy.html enthält eine beispielhafte einfache Datenschutzrichtlinie.
Es gibt noch eine weitere Datei: In requirements.txt sind alle nicht standardmäßigen Python-Bibliotheken aufgelistet, die von der Anwendung verwendet werden.
Sie können mit dem folgenden cat-Befehl jede Datei in der Shell auflisten:
cat main.py
Alternativ können Sie den Cloud Shell-Code-Editor starten, indem Sie in der Cloud Shell-Symbolleiste auf das Symbol Editor öffnen (Stift) klicken, und so den Code abrufen.
Sie müssen für diesen Schritt keine Dateien ändern.
In Cloud Run bereitstellen
- Anwendung in Cloud Run bereitstellen:
gcloud run deploy user-auth-lab --source . --allow-unauthenticated --region={{{ project_0.default_region | "REGION" }}}
- Wenn Sie aufgefordert werden, die API zu aktivieren, geben Sie Y für „yes“ ein. Wenn Sie aufgefordert werden, ein Artifact Registry-Repository zu erstellen, um fortzufahren, geben Sie Y für „yes“ ein.
Die Bereitstellung dauert ein paar Minuten. Es wird eine Meldung mit der Service-URL angezeigt.
- Öffnen Sie die angezeigte Service-URL in einem neuen Browsertab, um die Webseite aufzurufen. Der Zugriff ist noch nicht eingeschränkt.

Klicken Sie auf Fortschritt prüfen.
Cloud Run-Dienst bereitstellen
Zugriff mit IAP beschränken
-
Klicken Sie in der Google Cloud Console im Navigationsmenü (
) auf Sicherheit > Identity-Aware Proxy.
-
Klicken Sie auf API aktivieren.
-
Klicken Sie auf Zum Identity-Aware Proxy.
-
Klicken Sie auf den Ein/Aus-Button in der Spalte IAP neben user-auth-lab, um IAP zu aktivieren.
-
Klicken Sie zur Bestätigung auf Aktivieren.
Testen, ob IAP aktiviert ist
-
Öffnen Sie einen neuen Browsertab und rufen Sie die Anwendung anhand der URL auf. Die Seite Über Google anmelden wird angezeigt.
-
Melden Sie sich mit den Anmeldedaten für das Lernkonto an, mit denen Sie sich bei der Console angemeldet haben.
Ein Bildschirm, der Ihnen den Zugriff verweigert, wird angezeigt.
Sie haben Ihre App erfolgreich mit IAP geschützt, aber noch keine Nutzerkonten autorisiert.
-
Kehren Sie in der Console zur Seite Identity-Aware Proxy zurück.
-
Klicken Sie auf das Kästchen neben dem Cloud Run-Dienst user-auth-lab, um die Seitenleiste mit den Details auf der rechten Seite zu öffnen.
-
Klicken Sie auf Hauptkonto hinzufügen.
-
Geben Sie unter Neue Hauptkonten Ihre Lern-E-Mail-Adresse ein.
-
Wählen Sie unter Rolle auswählen die Option Cloud IAP > Nutzer von IAP-gesicherten Web-Apps aus.
-
Klicken Sie auf Speichern.
Die Meldung „Richtlinie aktualisiert“ wird am unteren Rand der Seite angezeigt.
-
Gehen Sie zurück zur Anwendung und laden Sie die Seite neu. Da Sie bereits mit einem autorisierten Konto angemeldet sind, sollten Sie nun Ihre Webanwendung sehen.
Hinweis:
Die Rollenänderung dauert etwa eine Minute. Wenn Ihnen weiterhin die Meldung „Sie haben keinen Zugriff“ angezeigt wird, warten Sie eine Minute und aktualisieren Sie dann die Seite.
Klicken Sie auf Fortschritt prüfen.
Richtlinie aktivieren und zu IAP hinzufügen
Wenn Ihnen weiterhin die Seite „Zugriff verweigert“ angezeigt wird, löschen Sie das IAP-Anmeldecookie:
- Hängen Sie
/_gcp_iap/clear_login_cookie an das Ende der Service-URL an (z. B. https://user-auth-lab-[random-hash].run.app/_gcp_iap/clear_login_cookie) und öffnen Sie sie.
- Wenn die neue Seite Über Google anmelden angezeigt wird, klicken Sie auf Anderes Konto verwenden und geben Sie Ihre Anmeldedaten für das Lernkonto noch einmal ein.
Aufgabe 2: Auf Informationen zur Nutzeridentität zugreifen
Sobald eine Anwendung durch IAP geschützt ist, kann sie bereitgestellte Informationen zur Identität von Personen verwenden, die IAP in den Headern der Webanfragen weiterleitet. In diesem Schritt erhält die Anwendung die E-Mail-Adresse der angemeldeten Person und eine dauerhafte eindeutige Nutzungs-ID, die vom Google Identity Service zugewiesen wird. Diese Daten werden auf der Begrüßungsseite angezeigt.
- Wechseln Sie in Cloud Shell zum Ordner für diesen Schritt:
cd ~/user-authentication-with-iap/2-HelloUser
In Cloud Run bereitstellen
- Anwendung in Cloud Run bereitstellen:
gcloud run deploy user-auth-lab --source . --region={{{ project_0.default_region | "REGION" }}}
- Wenn Sie gefragt werden, ob Sie fortfahren möchten, geben Sie Y für „yes“ ein.
Die Bereitstellung sollte in wenigen Minuten abgeschlossen sein. Während Sie warten, können Sie sich die Anwendungsdateien wie unten beschrieben ansehen.
Klicken Sie auf Fortschritt prüfen.
Auf Informationen zur Nutzeridentität zugreifen
Anwendungsdateien ansehen
- Sehen Sie sich die Hauptanwendungsdatei in Cloud Shell mit diesem
cat-Befehl an:
cat main.py
- Sehen Sie sich die Vorlagendatei an, um zu sehen, wie die Nutzerdaten dargestellt werden:
cat templates/index.html
Dieser Ordner enthält die gleichen Dateien wie in der zuvor bereitgestellten Anwendung 1-HelloWorld, aber zwei wurden verändert: main.py und templates/index.html. Das Programm wurde geändert, damit es Informationen zu Personen abrufen kann, die IAP in den Anfrageheadern bereitstellt. In der Vorlage werden diese Daten nun angezeigt.
Es gibt in main.py zwei Zeilen, die die von IAP bereitgestellten Informationen zur Nutzeridentität empfangen:
user_email = request.headers.get('X-Goog-Authenticated-User-Email')
user_id = request.headers.get('X-Goog-Authenticated-User-ID')
Die X-Goog-Authenticated-User-Header werden von IAP zur Verfügung gestellt. In den Namen wird die Groß-/Kleinschreibung nicht berücksichtigt, sodass sie je nach Präferenz auch vollständig in Groß- oder Kleinschreibung angegeben werden können. Die Anweisung „render_template“ beinhaltet jetzt diese Werte, damit sie angezeigt werden können:
page = render_template('index.html', email=user_email, id=user_id)
In der Vorlage „index.html“ werden diese Werte angezeigt, indem die Namen in doppelte geschweifte Klammern eingeschlossen werden:
Hello, {{ email }}! Your persistent ID is {{ id }}.
Wie Sie sehen, wird den bereitgestellten Daten accounts.google.com vorangestellt. Dies gibt an, woher die Daten stammen. Ihre Anwendung kann bei Bedarf alles bis einschließlich des Doppelpunkts entfernen, um die Rohwerte zu erhalten.
Aktualisierte App testen
- Rufen Sie die URL für Ihre Anwendung ab:
gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
- Öffnen Sie die URL in einem neuen Browsertab.
- Aktualisieren Sie die Seite bei Bedarf, damit Ihre E-Mail-Adresse und Ihre dauerhafte ID angezeigt werden.
IAP deaktivieren
Was passiert mit dieser App, wenn IAP deaktiviert oder umgangen wird? Deaktivieren Sie IAP, um es zu erfahren.
- Klicken Sie im Cloud Console-Fenster im Navigationsmenü auf Sicherheit > Identity-Aware Proxy.
- Klicken Sie auf den Ein/Aus-Schalter für IAP neben Ihrem Cloud Run-Dienst (z. B.
user-auth-lab), um IAP zu deaktivieren.
- Klicken Sie auf Öffentlichen Zugriff erlauben.
- Aktualisieren Sie die Webseite der Anwendung. Sie sollten dieselbe Seite sehen, jedoch ohne Nutzerinformationen.
Da die Anwendung jetzt ungeschützt ist, kann eine Person eine Webanfrage senden, die scheinbar IAP durchlaufen hat. Führen Sie beispielsweise den folgenden curl-Befehl aus Cloud Shell aus (ersetzen Sie <your-url-here> durch die URL Ihrer App):
curl -X GET YOUR_URL -H "X-Goog-Authenticated-User-Email: totally fake email"
Die Webseite wird in der Befehlszeile angezeigt und enthält die gefälschte E‑Mail-Adresse:
<!doctype html>
<html>
<head>
<title>IAP Hello User</title>
</head>
<body>
<h1>Hello World</h1>
<p>
Hello, totally fake email! Your persistent ID is None.
</p>
<p>
This is step 2 of the User Authentication with IAP</em>
codelab.
</p>
</body>
</html>
Die Anwendung kann nicht erkennen, dass IAP deaktiviert oder umgangen wurde. In Fällen, in denen dies ein potenzielles Risiko darstellt, bietet die kryptografische Überprüfung eine Lösung.
Aufgabe 3: Kryptografische Überprüfung verwenden
Wenn die Gefahr besteht, dass IAP deaktiviert oder umgangen wird, kann Ihre Anwendung überprüfen, ob die empfangenen Informationen zur Nutzeridentität gültig sind. Dabei wird ein dritter Webanfrage-Header mit dem Namen X-Goog-IAP-JWT-Assertion von IAP hinzugefügt. Der Wert des Headers ist ein kryptografisch signiertes Objekt, das auch die Daten zur Nutzeridentität enthält. Ihre Anwendung kann die digitale Signatur überprüfen und anhand der in diesem Objekt bereitgestellten Daten feststellen, ob sie unverändert von IAP bereitgestellt wurden.
Die Überprüfung der digitalen Signatur erfordert mehrere zusätzliche Schritte, z. B. das Abrufen der neuesten öffentlichen Schlüssel von Google. Sie entscheiden, ob Ihre Anwendung diese zusätzlichen Schritte benötigt – je nachdem, wie hoch das Risiko ist, dass jemand IAP deaktiviert oder umgeht, und je nachdem, ob die Anwendung vertrauliche Informationen empfängt oder nicht.
- Wechseln Sie in Cloud Shell zum Ordner für diesen Schritt:
cd ~/user-authentication-with-iap/3-HelloVerifiedUser
In Cloud Run bereitstellen
-
Suchen Sie die Client-ID Signed Header JWT Audience für Ihren mit IAP gesicherten Cloud Run-Dienst:
-
Rufen Sie in der Cloud Console die Seite Identity-Aware Proxy auf.
-
Suchen Sie in der Liste nach user-auth-lab.
-
Hinweis: Möglicherweise müssen Sie in der Ressourcentabelle nach rechts scrollen (mit der horizontalen Bildlaufleiste unten in der Tabelle), um die Spalte Aktionen ganz rechts zu sehen.
-
Klicken Sie unter Aktionen neben der Ressource auf das Dreipunkt-Menü und wählen Sie JWT-Zielgruppencode abrufen aus.
-
Kopieren Sie im modalen Fenster die angezeigte Client-ID und fügen Sie sie in einen Texteditor ein. Wählen Sie dann Ok aus.
-
Stellen Sie die App in Cloud Run bereit und legen Sie die Umgebungsvariable IAP_AUDIENCE mit dem kopierten Client-ID-Wert fest:
gcloud run deploy user-auth-lab --source . --set-env-vars IAP_AUDIENCE="YOUR_CLIENT_ID" --region={{{ project_0.default_region | "REGION" }}}
- Wenn Sie gefragt werden, ob Sie fortfahren möchten, geben Sie Y für „yes“ ein.
Die Bereitstellung sollte in wenigen Minuten abgeschlossen sein. Während Sie warten, können Sie sich die Anwendungsdateien wie unten beschrieben ansehen.
Klicken Sie auf Fortschritt prüfen.
Kryptografische Überprüfung verwenden
Anwendungsdateien ansehen
- Sehen Sie sich die neue Datei mit dem Authentifizierungs-Helper in der Cloud Shell mit diesem
cat-Befehl an:
cat auth.py
- In der Hauptdatei der App sehen Sie, wie die Methode für überprüfte Personen eingebunden wird:
cat main.py
Dieser Ordner enthält die gleichen Dateien wie 2-HelloUser, jedoch wurden zwei Dateien verändert und eine neue hinzugefügt. Die neue Datei heißt auth.py und bietet eine user()-Methode zum Abrufen und Überprüfen der kryptografisch signierten Identitätsinformationen. Die veränderten Dateien sind main.py und templates/index.html, die nun die Ergebnisse dieser Methode verwenden. Zum Vergleich werden auch die nicht überprüften Header angezeigt, die in der letzten Bereitstellung gefunden wurden.
- Die neue Funktionalität befindet sich hauptsächlich in der
user()-Funktion:
def user():
assertion = request.headers.get('X-Goog-IAP-JWT-Assertion')
if assertion is None:
return None, None
info = jwt.decode(
assertion,
keys(),
algorithms=['ES256'],
audience=audience()
)
return info['email'], info['sub']
Die assertion-Daten sind die kryptografisch signierten Daten, die im angegebenen Anfrageheader bereitgestellt wurden. Sie werden mithilfe einer Bibliothek überprüft und decodiert. Bei der Überprüfung werden die öffentlichen Schlüssel verwendet, die Google zur Überprüfung der signierten Daten bereitstellt. Außerdem wird die Zielgruppe ermittelt, für die die Daten vorbereitet wurden (im Wesentlichen das zu schützende Google Cloud-Projekt). Mit den Hilfsfunktionen keys() und audience() werden diese Werte gesammelt und zurückgegeben.
Das signierte Objekt enthält zwei Datenwerte, die Sie benötigen: die geprüfte E-Mail-Adresse und den eindeutigen ID-Wert (angegeben im Standardfeld sub, das für „subscriber“ steht).
Damit ist Schritt 3 abgeschlossen.
Kryptografische Überprüfung testen
Wenn die Bereitstellung abgeschlossen ist, können Sie die URL für Ihre Anwendung mit folgendem Befehl abrufen:
gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
- Öffnen Sie die URL in einem neuen Browsertab.
- Denken Sie daran, dass Sie zuvor IAP deaktiviert haben. Die Anwendung stellt daher keine IAP-Daten bereit. Prüfen Sie, ob auf der Seite für E-Mail und ID Keine angezeigt wird.
- Rufen Sie in der Console die Seite Identity-Aware Proxy auf.
- Klicken Sie auf den Ein/Aus-Schalter für IAP neben Ihrem Cloud Run-Dienst, um IAP wieder zu aktivieren.
- Klicken Sie zur Bestätigung auf Aktivieren.
- Führen Sie in Cloud Shell diesen Befehl aus, um dem IAP-Dienst-Agent die Berechtigung zum Aufrufen Ihres Cloud Run-Dienstes zu erteilen:
gcloud run services add-iam-policy-binding user-auth-lab \
--member="serviceAccount:service-$(gcloud projects describe {{{project_0.project_id}}} --format='value(projectNumber)')@gcp-sa-iap.iam.gserviceaccount.com" \
--role="roles/run.invoker" \
--region={{{ project_0.default_region | "REGION" }}}
- Aktualisieren Sie die Anwendungsseite. Prüfen Sie, ob die kryptografisch signierte E-Mail-Adresse und die Nutzer-ID jetzt korrekt angezeigt und bestätigt werden.
Beachten Sie, dass die E-Mail-Adresse, die mit der Überprüfungsmethode bereitgestellt wurde, nicht das Präfix accounts.google.com: enthält.
Wenn IAP deaktiviert oder umgangen wird, fehlen die überprüften Daten oder sind ungültig, da sie nur dann eine gültige Signatur haben, wenn sie mit dem privaten Schlüssel von Google erstellt wurden.
Glückwunsch!
Sie haben einen Cloud Run-Dienst bereitgestellt. Zuerst haben Sie den Zugriff auf die App auf die von Ihnen ausgewählten Personen beschränkt. Anschließend haben Sie die Identität derjenigen Personen abgerufen und anzeigen lassen, denen IAP Zugriff auf Ihre Anwendung gewährt hat. Sie haben dann gesehen, wie diese Informationen gefälscht werden können, wenn IAP deaktiviert oder umgangen wird. Zuletzt haben Sie kryptografisch signierte Assertions zur Identität von Personen überprüft, die nicht gefälscht werden können.
Weitere Informationen
Google Cloud-Schulungen und -Zertifizierungen
In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.
Anleitung zuletzt am 28. Mai 2026 aktualisiert
Lab zuletzt am 28. Mai 2026 getestet
© 2026 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.