GSP499
Opis
W tym laboratorium utworzysz niewielką aplikację internetową w Cloud Run, a następnie poznasz różne sposoby ograniczania dostępu do tej aplikacji i przekazywania do niej informacji o tożsamości użytkowników z wykorzystaniem Identity-Aware Proxy (IAP). Twoja aplikacja będzie:
- wyświetlać stronę powitalną,
- uzyskiwać dostęp do pochodzących z IAP informacji o tożsamości użytkowników,
- zapobiegać podszywaniu się i podawaniu fałszywych informacji o tożsamości przy użyciu weryfikacji kryptograficznej.
Czego się nauczysz
Z tego laboratorium dowiesz się, jak:
- napisać i wdrożyć prostą usługę Cloud Run przy użyciu Pythona;
- włączać i wyłączać IAP, aby ograniczać dostęp do aplikacji;
- pobierać informacje o tożsamości użytkowników z IAP i przekazywać je do aplikacji;
- kryptograficznie sprawdzać informacje z IAP, aby chronić aplikację przed podszywaniem się.
Wymagania wstępne
Podstawowa wiedza o programowaniu w języku Python może ułatwić naukę.
To laboratorium dotyczy głównie Cloud Run i IAP. Nieistotne koncepcje i bloki kodu zostały pominięte. Można je po prostu skopiować i wkleić.
Wprowadzenie do Identity-Aware Proxy
Uwierzytelnianie użytkowników aplikacji internetowej jest często niezbędne i zwykle wymaga zaprogramowania aplikacji w specjalny sposób. W przypadku aplikacji Google Cloud za te zadania jest odpowiedzialna usługa Identity-Aware Proxy. Jeśli chcesz przyznać dostęp tylko wybranym użytkownikom, nie musisz wprowadzać w aplikacji żadnych zmian. Jeśli do aplikacji muszą być przekazywane informacje o tożsamości użytkownika (aby na przykład jego preferencje mogły być przechowywane na serwerze), zadanie to może wykonać Identity-Aware Proxy, przy czym wymaga to minimalnej ingerencji w kod aplikacji.
Co to jest Identity-Aware Proxy?
Identity-Aware Proxy (IAP) to usługa Google Cloud, która przechwytuje wysyłane do aplikacji żądania sieciowe, uwierzytelnia użytkownika, przesyłając żądania do usługi tożsamości Google, i przekazuje do aplikacji tylko te z nich, które pochodzą od autoryzowanego użytkownika. Dodatkowo może modyfikować nagłówki żądań, dodając do nich informacje o uwierzytelnionym użytkowniku.
Konfiguracja i wymagania
Zanim klikniesz przycisk Rozpocznij moduł
Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.
W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.
Do ukończenia modułu potrzebne będą:
- Dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).
Uwaga: uruchom ten moduł w oknie incognito (zalecane) lub przeglądania prywatnego. Dzięki temu unikniesz konfliktu między swoim kontem osobistym a kontem do nauki, co mogłoby spowodować naliczanie dodatkowych opłat na koncie osobistym.
- Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.
Uwaga: w tym module używaj tylko konta do nauki. Jeśli użyjesz innego konta Google Cloud, mogą na nim zostać naliczone opłaty.
Rozpoczynanie laboratorium i logowanie się w konsoli Google Cloud
-
Kliknij przycisk Rozpocznij laboratorium. Jeśli laboratorium jest odpłatne, otworzy się okno, w którym możesz wybrać formę płatności.
Po prawej stronie znajduje się panel Konfiguracja laboratorium i dostęp do niego z następującymi elementami:
- przyciskiem Otwórz konsolę Google Cloud;
- uprawnieniami tymczasowymi (nazwą użytkownika i hasłem), których musisz użyć w tym laboratorium;
- innymi informacjami potrzebnymi do ukończenia modułu.
Pamiętaj, że minutnik laboratorium znajduje się u góry strony i pokazuje pozostały czas.
-
Kliknij Otwórz konsolę Cloud (lub kliknij prawym przyciskiem myszy i wybierz Otwórz link w oknie incognito, jeśli korzystasz z przeglądarki Chrome).
Laboratorium uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.
Wskazówka: karty możesz otworzyć w osobnych oknach obok siebie.
Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.
-
W razie potrzeby skopiuj nazwę użytkownika znajdującą się poniżej i wklej ją w oknie logowania.
{{{user_0.username | "Username"}}}
Nazwę użytkownika znajdziesz też w panelu Konfiguracja laboratorium i dostęp do niego.
-
Kliknij Dalej.
-
Skopiuj podane niżej hasło i wklej je w oknie powitania.
{{{user_0.password | "Password"}}}
Hasło znajdziesz też w panelu Konfiguracja laboratorium i dostęp do niego.
-
Kliknij Dalej.
Ważne: musisz użyć danych logowania podanych w laboratorium. Nie używaj danych logowania na swoje konto Google Cloud.
Uwaga: korzystanie z własnego konta Google Cloud w tym laboratorium może wiązać się z dodatkowymi opłatami.
-
Na kolejnych stronach wykonaj następujące czynności:
- Zaakceptuj Warunki korzystania z usługi.
- Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
- Nie rejestruj się w bezpłatnych wersjach próbnych.
Poczekaj, aż na karcie otworzy się konsola Google Cloud.
Uwaga: aby uzyskać dostęp do produktów i usług Google Cloud, kliknij Menu nawigacyjne lub wpisz nazwę usługi albo produktu w polu Szukaj.
Aktywowanie Cloud Shell
Cloud Shell to maszyna wirtualna oferująca wiele narzędzi dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud. Dzięki wierszowi poleceń Cloud Shell zyskujesz dostęp do swoich zasobów Google Cloud.
-
Kliknij Aktywuj Cloud Shell
na górze konsoli Google Cloud.
-
Kliknij te okna:
- Przejdź przez okno z informacjami o Cloud Shell.
- Zezwól Cloud Shell na używanie Twoich danych logowania w celu wywoływania interfejsu Google Cloud API.
Po połączeniu użytkownik od razu jest uwierzytelniony. Uruchomi się Twój projekt o identyfikatorze Project_ID . Dane wyjściowe zawierają wiersz z zadeklarowanym identyfikatorem Project_ID dla tej sesji:
Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}
gcloud to narzędzie wiersza poleceń Google Cloud. Jest ono już zainstalowane w Cloud Shell i obsługuje funkcję autouzupełniania po naciśnięciu tabulatora.
- (Opcjonalnie) Aby wyświetlić listę aktywnych kont, użyj tego polecenia:
gcloud auth list
- Kliknij Autoryzuj.
Dane wyjściowe:
ACTIVE: *
ACCOUNT: {{{user_0.username | "ACCOUNT"}}}
To set the active account, run:
$ gcloud config set account `ACCOUNT`
- (Opcjonalnie) Aby wyświetlić identyfikator projektu, użyj tego polecenia:
gcloud config list project
Dane wyjściowe:
[core]
project = {{{project_0.project_id | "PROJECT_ID"}}}
Uwaga: pełną dokumentację gcloud w Google Cloud znajdziesz w opisie gcloud CLI.
Pobieranie kodu
Kliknij obszar wiersza poleceń w Cloud Shell, aby móc wpisywać polecenia.
Pobierz kod z publicznego zasobnika a następnie przejdź do folderu z kodem:
gcloud storage cp gs://{{{project_0.project_id}}}-bucket/user-authentication-with-iap.zip .
unzip user-authentication-with-iap.zip
cd user-authentication-with-iap
Ten folder zawiera po 1 podfolderze dla każdego kroku tego modułu. Podczas wykonywania określonego kroku przejdź do odpowiadającego mu folderu.
Zadanie 1. Wdrażanie aplikacji i zabezpieczanie jej przy użyciu IAP
To jest usługa Cloud Run napisana w języku Python, która wyświetla po prostu stronę powitalną „Hello World”. Wdrożymy i przetestujemy ją, a następnie ograniczymy do niej dostęp przy użyciu IAP.
Przeglądanie kodu aplikacji
- Przejdź z głównego folderu projektu do podfolderu
1-HelloWorld, który zawiera kod dotyczący tego kroku.
cd 1-HelloWorld
Kod aplikacji znajduje się w pliku main.py. Odpowiada on na żądania sieciowe, przesyłając zawartość szablonu przy użyciu sieciowej platformy programistycznej Flask. Szablon znajduje się w pliku templates/index.html. W przypadku tego kroku zawiera on tylko zwykły kod HTML. Drugi szablon zawiera szkic przykładowego dokumentu polityki prywatności. Znajduje się on w pliku templates/privacy.html.
Dostępny jest także 1 inny plik: requirements.txt zawierający listę wszystkich innych niż domyślne bibliotek Python, które są używane w aplikacji.
Każdy z tych plików można wyświetlić w powłoce przy użyciu polecenia cat, na przykład:
cat main.py
Kod można także przejrzeć, uruchamiając edytor kodu Cloud Shell i klikając ikonę Otwórz edytor (ołówka) na pasku narzędzi Cloud Shell.
W tym kroku nie trzeba modyfikować żadnych plików.
Wdrażanie w Cloud Run
- Wdróż aplikację w Cloud Run:
gcloud run deploy user-auth-lab --source . --allow-unauthenticated --region={{{ project_0.default_region | "REGION" }}}
- Jeśli pojawi się prośba o włączenie interfejsu API, wpisz Y, aby potwierdzić. Jeśli pojawi się prośba o utworzenie repozytorium Artifact Registry, aby kontynuować, wpisz Y, aby potwierdzić.
Aplikacja zostanie wdrożona w ciągu kilku minut. Wyświetli się wiadomość z adresem URL usługi.
- Otwórz wyświetlony adres URL usługi w nowej karcie przeglądarki, aby wyświetlić stronę internetową. Dostęp nie został jeszcze ograniczony.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło.
Wdrożenie usługi Cloud Run
Ograniczanie dostępu przy użyciu IAP
-
W Menu nawigacyjnym (
) konsoli Google Cloud kliknij Zabezpieczenia > Identity-Aware Proxy.
-
Kliknij Włącz API.
-
Kliknij Przejdź do Identity-Aware Proxy.
-
Kliknij przycisk przełączania w kolumnie IAP obok user-auth-lab, aby włączyć IAP.
-
Kliknij Włącz, aby potwierdzić tę czynność.
Sprawdzanie, czy usługa IAP jest włączona
-
Otwórz kartę przeglądarki i przejdź na adres URL swojej aplikacji. Wyświetli się strona Zaloguj się przez Google.
-
Zaloguj się, używając danych logowania na konto do nauki wykorzystywanych do logowania się w konsoli.
Pojawi się ekran z odmową dostępu.
Aplikacja została zabezpieczona przy użyciu IAP, ale nie masz jeszcze autoryzowanych kont użytkowników.
-
Wróć na stronę Identity-Aware Proxy w konsoli.
-
Zaznacz pole wyboru obok usługi Cloud Run user-auth-lab, aby otworzyć po prawej stronie pasek boczny ze szczegółami.
-
Kliknij Dodaj podmiot zabezpieczeń.
-
W polu Nowe podmioty zabezpieczeń wpisz swój adres e-mail konta do nauki.
-
W opcji Wybierz rolę wybierz Cloud IAP > Użytkownik aplikacji internetowej zabezpieczonej przez IAP.
-
Kliknij Zapisz.
U dołu strony pojawi się komunikat „Zasada została zaktualizowana”.
-
Wróć do aplikacji i załaduj ponownie stronę. Teraz aplikacja internetowa powinna być widoczna, ponieważ nastąpiło logowanie przy użyciu autoryzowanego konta.
Uwaga:
zastosowanie zmiany roli może chwilę potrwać. Jeśli po wykonaniu czynności opisanych powyżej nadal widzisz komunikat „Nie masz dostępu”, poczekaj minutę, a następnie odśwież stronę.
Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło.
Włączenie zasady i dodanie jej do IAP
Jeśli nadal widzisz stronę z informacją o odmowie dostępu, usuń plik cookie logowania IAP:
- Dołącz
/_gcp_iap/clear_login_cookie na końcu adresu URL usługi (np. https://user-auth-lab-[random-hash].run.app/_gcp_iap/clear_login_cookie) i otwórz go.
- Gdy pojawi się nowa strona Zaloguj się przez Google, kliknij Użyj innego konta i wpisz ponownie dane logowania konta do nauki.
Zadanie 2. Uzyskiwanie dostępu do informacji o tożsamości użytkowników
Aplikacja zabezpieczona przy użyciu IAP może używać informacji o tożsamości dostarczanych przez IAP w nagłówkach przekazywanych żądań sieciowych. W tym kroku aplikacja pobierze adres e-mail i stały, unikalny identyfikator zalogowanego użytkownika przypisany do niego przez usługę tożsamości Google. Te dane zostaną wyświetlone na stronie powitalnej.
- Aby ukończyć ten krok, przejdź do następującego folderu w Cloud Shell:
cd ~/user-authentication-with-iap/2-HelloUser
Wdrażanie w Cloud Run
- Wdróż aplikację w Cloud Run:
gcloud run deploy user-auth-lab --source . --region={{{ project_0.default_region | "REGION" }}}
- Jeśli pojawi się prośba o kontynuowanie, wpisz Y, aby potwierdzić.
Aplikacja powinna zostać wdrożona w ciągu kilku minut. Czekając na zakończenie tego procesu, możesz przejrzeć pliki aplikacji w opisany poniżej sposób.
Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło.
Uzyskanie dostępu do informacji o tożsamości użytkowników
Przeglądanie plików aplikacji
- Wyświetl główny plik aplikacji w Cloud Shell za pomocą polecenia
cat:
cat main.py
- Otwórz plik szablonu, aby zobaczyć, jak wyświetlane są dane użytkownika:
cat templates/index.html
Ten folder zawiera ten sam zestaw plików co poprzednio uruchomiona aplikacja 1-HelloWorld, jednak dwa pliki zostały zmodyfikowane: main.py i templates/index.html. Program został zmieniony tak, aby mógł pobierać informacje o użytkownikach dostarczane przez IAP w nagłówkach żądań. Szablon wyświetla teraz te dane.
W pliku main.py znajdują się 2 wiersze, które umożliwiają pobieranie przekazywanych przez IAP danych o tożsamości:
user_email = request.headers.get('X-Goog-Authenticated-User-Email')
user_id = request.headers.get('X-Goog-Authenticated-User-ID')
Nagłówki X-Goog-Authenticated-User- są dostarczane przez IAP, a w nazwach nie jest rozróżniana wielkość liter, więc możesz je wpisywać w całości małymi lub wielkimi literami. Instrukcja render_template zawiera teraz te wartości, więc można je wyświetlić:
page = render_template('index.html', email=user_email, id=user_id)
Te wartości można wyświetlić przy użyciu szablonu index.html, umieszczając nazwy w podwójnych nawiasach klamrowych:
Hello, {{ email }}! Your persistent ID is {{ id }}.
Jak widać dostarczone dane są poprzedzone prefiksem accounts.google.com, który informuje o tym, skąd one pochodzą. W razie potrzeby Twoja aplikacja może usunąć wszystko, co znajduje się przed dwukropkiem (oraz sam dwukropek), uzyskując w ten sposób czyste wartości.
Testowanie zaktualizowanej aplikacji
- Pobierz URL swojej aplikacji:
gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
- Otwórz ten URL w nowej karcie przeglądarki.
- W razie potrzeby odśwież stronę, aby wyświetlić swój adres e-mail i trwały identyfikator.
Wyłączanie IAP
Co stanie się z tą aplikacją, gdy IAP zostanie wyłączony lub pominięty? Wyłącz IAP, aby to sprawdzić.
- W oknie konsoli Cloud w Menu nawigacyjnym kliknij Zabezpieczenia > Identity-Aware Proxy.
- Kliknij przełącznik IAP znajdujący się obok Twojej usługi Cloud Run (np.
user-auth-lab), aby wyłączyć IAP.
- Kliknij Zezwól na dostęp publiczny.
- Odśwież stronę internetową aplikacji. Powinna pojawić się ta sama strona, jednak bez żadnych informacji o użytkowniku.
Ponieważ aplikacja nie jest już chroniona, można podjąć próbę wysłania żądań sieciowych, które wyglądają jak przekazane przez IAP. Możesz na przykład wykonać następujące polecenie curl w Cloud Shell (zastąp <your-url-here> adresem URL aplikacji):
curl -X GET YOUR_URL -H "X-Goog-Authenticated-User-Email: totally fake email"
W wierszu poleceń zostanie wyświetlona strona internetowa z fałszywym adresem e-mail:
<!doctype html>
<html>
<head>
<title>IAP Hello User</title>
</head>
<body>
<h1>Hello World</h1>
<p>
Hello, totally fake email! Your persistent ID is None.
</p>
<p>
This is step 2 of the User Authentication with IAP</em>
codelab.
</p>
</body>
</html>
Aplikacja nie może w żaden sposób stwierdzić, że IAP został wyłączony lub pominięty. W sytuacjach, gdy ten problem może stwarzać potencjalne zagrożenie, rozwiązaniem jest weryfikacja kryptograficzna.
Zadanie 3. Używanie weryfikacji kryptograficznej
Jeśli istnieje ryzyko, że IAP zostanie wyłączony lub pominięty, w aplikacji można uwzględnić mechanizmy sprawdzające, czy odbierane informacje o tożsamości są prawidłowe. W tym celu jest używany trzeci spośród dodawanych przez IAP nagłówków żądań sieciowych o nazwie X-Goog-IAP-JWT-Assertion. Wartością tego nagłówka jest kryptograficznie podpisany obiekt, który zawiera także informacje o tożsamości użytkownika. Aplikacja może zweryfikować podpis cyfrowy i użyć danych dostarczonych w tym obiekcie, aby sprawdzić, czy żądanie przekazane przez IAP nie zostało w żaden sposób zmodyfikowane.
Sprawdzenie podpisu cyfrowego wymaga wykonania kilku dodatkowych kroków, takich jak pobranie najnowszego zestawu kluczy publicznych Google. Decyzję o tym, czy dana aplikacja powinna wykonywać te dodatkowe kroki, można podjąć, oceniając ryzyko wyłączenia lub pominięcia IAP oraz poziom poufności aplikacji.
- Aby ukończyć ten krok, przejdź do następującego folderu w Cloud Shell:
cd ~/user-authentication-with-iap/3-HelloVerifiedUser
Wdrażanie w Cloud Run
-
Znajdź identyfikator klienta Odbiorców JWT z podpisanym nagłówkiem dla usługi Cloud Run zabezpieczonej przez IAP:
-
Otwórz stronę Identity-Aware Proxy w konsoli Cloud.
-
Znajdź na liście user-auth-lab.
-
Uwaga: aby wyświetlić kolumnę Działania po prawej stronie, może być konieczne przewinięcie tabeli zasobów w prawo (za pomocą poziomego paska przewijania u dołu tabeli).
-
W sekcji Działania kliknij przycisk 3 pionowe kropki obok zasobu i wybierz Pobierz kod odbiorców JWT.
-
W wyświetlonym oknie modalnym skopiuj wyświetlony ciąg znaków identyfikator klienta, wklej go do edytora tekstu i kliknij OK.
-
Wdróż aplikację w Cloud Run, ustawiając zmienną środowiskową IAP_AUDIENCE ze skopiowaną wartością identyfikatora klienta:
gcloud run deploy user-auth-lab --source . --set-env-vars IAP_AUDIENCE="YOUR_CLIENT_ID" --region={{{ project_0.default_region | "REGION" }}}
- Jeśli pojawi się prośba o kontynuowanie, wpisz Y, aby potwierdzić.
Aplikacja powinna zostać wdrożona w ciągu kilku minut. Czekając na zakończenie tego procesu, możesz przejrzeć pliki aplikacji w opisany poniżej sposób.
Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło.
Użycie weryfikacji kryptograficznej
Przeglądanie plików aplikacji
- Wyświetl nowy plik pomocniczy uwierzytelniania w Cloud Shell za pomocą polecenia
cat:
cat auth.py
- Wyświetl główny plik aplikacji, aby zobaczyć, jak zintegrowana jest metoda weryfikacji użytkownika:
cat main.py
Ten folder zawiera ten sam zbiór plików co folder 2-HelloUser, jednak dwa pliki zostały zmodyfikowane i dodano jeden nowy. Nowy plik to auth.py. Zawiera on metodę user() służącą do pobierania i sprawdzania kryptograficznie podpisanych informacji o tożsamości. Zmodyfikowane pliki to main.py i templates/index.html. Korzystają one z wyników wykonania tej metody. Widoczne są także niezweryfikowane nagłówki w postaci stosowanej w ostatnim wdrożeniu. Dzięki temu można je porównać z nowymi nagłówkami.
- Nowe funkcje znajdują się głównie w funkcji
user():
def user():
assertion = request.headers.get('X-Goog-IAP-JWT-Assertion')
if assertion is None:
return None, None
info = jwt.decode(
assertion,
keys(),
algorithms=['ES256'],
audience=audience()
)
return info['email'], info['sub']
Obiekt assertion zawiera kryptograficznie podpisane dane przekazane w określonym nagłówku żądania. W kodzie używana jest biblioteka, która weryfikuje i dekoduje dane. Proces weryfikacji używa dostarczonych przez Google kluczy publicznych do sprawdzania podpisywanych danych i uzyskiwania informacji o odbiorcach, dla których zostały one przygotowane (czyli o chronionym projekcie Google Cloud). Funkcje pomocnicze keys() i audience() zbierają oraz zwracają te wartości.
Podpisany obiekt zawiera 2 fragmenty danych, których będziemy potrzebować: zweryfikowany adres e-mail i wartość unikalnego identyfikatora (podaną w polu standardowym sub, którego nazwa pochodzi od słowa „subskrybent”).
W ten sposób zakończyliśmy wykonywanie kroku 3.
Testowanie weryfikacji kryptograficznej
Gdy wdrożenie będzie gotowe, możesz uzyskać adres URL swojej aplikacji za pomocą tego polecenia:
gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
- Otwórz ten URL w nowej karcie przeglądarki.
- Pamiętaj, że IAP został wcześniej wyłączony, zatem aplikacja nie udostępnia żadnych danych IAP. Sprawdź, czy widzisz stronę z informacją Brak w polach na adres e-mail i identyfikator.
- Otwórz stronę Identity-Aware Proxy w konsoli.
- Kliknij przełącznik IAP znajdujący się obok usługi Cloud Run, aby ponownie włączyć IAP.
- Kliknij Włącz, aby potwierdzić tę czynność.
- W Cloud Shell uruchom to polecenie, aby przyznać agentowi usługi IAP uprawnienia do wywoływania Twojej usługi Cloud Run:
gcloud run services add-iam-policy-binding user-auth-lab \
--member="serviceAccount:service-$(gcloud projects describe {{{project_0.project_id}}} --format='value(projectNumber)')@gcp-sa-iap.iam.gserviceaccount.com" \
--role="roles/run.invoker" \
--region={{{ project_0.default_region | "REGION" }}}
- Odśwież stronę aplikacji. Sprawdź, czy podpisany kryptograficznie adres e-mail i identyfikator użytkownika są teraz prawidłowo wyświetlane i zweryfikowane.
Zwróć uwagę na to, że adres e-mail zwrócony przez zweryfikowaną metodę nie ma prefiksu accounts.google.com:.
Gdy wyłączysz lub pominiesz IAP, zweryfikowane dane nie będą dostępne albo będą nieprawidłowe, ponieważ odpowiedni podpis mogą mieć wyłącznie dane utworzone przez posiadacza kluczy prywatnych Google.
Gratulacje!
Udało Ci się wdrożyć usługę Cloud Run. Najpierw przyznałeś(-aś) dostęp do aplikacji tylko wybranym użytkownikom. Następnie pobrałeś(-aś) i wyświetliłeś(-aś) informacje o tożsamości tych użytkowników, którym IAP przyznał dostęp do aplikacji. Wiesz już także, jak można podszywać się pod innych użytkowników, jeśli IAP zostanie wyłączony lub pominięty. Na zakończenie sprawdziłeś(-aś) kryptograficznie podpisane asercje tożsamości użytkowników, które zapobiegają podszywaniu się.
Kolejne kroki / Więcej informacji
Szkolenia i certyfikaty Google Cloud
…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.
Ostatnia aktualizacja instrukcji: 28 maja 2026 r.
Ostatni test laboratorium: 28 maja 2026 r.
Copyright 2026 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.