GSP499

總覽

在本實驗室中，您將透過 Google App Engine 建構簡單的網頁應用程式，並瞭解如何使用 Identity-Aware Proxy (IAP) 限制應用程式存取權，以及向應用程式提供使用者身分資訊。您的應用程式將會：

• 顯示歡迎頁面
• 存取 IAP 提供的使用者身分資訊
• 採用加密編譯驗證，防止使用者身分資訊遭到假冒

學習內容

• 如何使用 Python 編寫和部署簡單的 App Engine 應用程式
• 如何啟用和停用 IAP 以限制應用程式存取權
• 如何透過 IAP 取得使用者身分資訊並提供給應用程式
• 如何以加密編譯的方式驗證 IAP 提供的資訊，防範假冒行為

先備知識

如果您具備 Python 程式設計語言的基本知識，將能享有更優質的學習體驗。

本實驗室主要探討 Google App Engine 和 IAP。我們不會對與主題無關的概念和程式碼多做介紹，但會事先準備好這些程式碼區塊，屆時您只要複製及貼上即可。

Identity-Aware Proxy 簡介

驗證網頁應用程式使用者的身分往往是必要的，而這項作業通常需要在應用程式中特別編寫程式碼。如果是 Google Cloud 應用程式，則可交由 Identity-Aware Proxy 服務進行身分驗證。若只需要限制特定使用者的存取權，則無須對應用程式進行任何變更。如果應用程式需要知道使用者的身分 (例如為了將使用者偏好保留於伺服器端)，則 Identity-Aware Proxy 可運用最少的應用程式程式碼提供這項資訊。

什麼是 Identity-Aware Proxy？

Identity-Aware Proxy (IAP) 是一項 Google Cloud 服務，可攔截傳送至應用程式的網頁要求，使用 Google Identity 服務對發出請求的使用者進行身分驗證，並只允許您授權的使用者所傳送的要求。此外，這項功能還能修改要求標頭，加入已驗證使用者相關資訊。

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

下載程式碼

按一下 Cloud Shell 中的指令列區域，即可輸入指令。

從公開儲存空間 bucket 下載程式碼，然後切換至程式碼資料夾：

gsutil cp gs://spls/gsp499/user-authentication-with-iap.zip . unzip user-authentication-with-iap.zip cd user-authentication-with-iap

這個資料夾包含本實驗室每個步驟的子資料夾。您必須切換至正確的資料夾才能執行每個步驟。

工作 1：使用 IAP 部署並保護應用程式

這是以 Python 編寫的 App Engine 標準環境應用程式，只會顯示「Hello, world」歡迎頁面。我們會部署並測試應用程式，然後使用 IAP 限制相關存取權。

查看應用程式程式碼

• 從主要專案資料夾切換至包含此步驟程式碼的 1-HelloWorld 子資料夾。

cd 1-HelloWorld

應用程式程式碼位於 main.py 檔案中。這個檔案使用 Flask 網路架構，透過範本內容回應網頁要求。該範本檔案位於 templates/index.html，在這個步驟中僅包含純 HTML。第二個範本檔案位於 templates/privacy.html，其中包含簡略的隱私權政策範例。

另外還有兩個檔案：一個是 requirements.txt，該檔案會列出應用程式使用的所有非預設 Python 程式庫，另一個是 app.yaml，則指示 Google Cloud 這是 Python App Engine 應用程式。

您可以使用 cat 指令在殼層中列出每個檔案，如下所示：

cat main.py

或者，您也可以點選 Cloud Shell 視窗右上角的鉛筆圖示，啟動 Cloud Shell 程式碼編輯器，以此方式檢查程式碼。

在這個步驟中，您不需要變更任何檔案。

部署至 App Engine

1. 將 Python 執行階段更新至 python313。

sed -i 's/python37/python313/g' app.yaml

2. 將應用程式部署至 Python 適用的 App Engine 標準環境。

gcloud app deploy

3. 選取區域 。

4. 當系統詢問是否要繼續時，請輸入「Y」表示同意。

注意： 如果收到 GAIA 傳播相關錯誤訊息，請重新執行 gcloud app deploy 指令。

部署作業會在幾分鐘內完成。屆時系統會顯示訊息，指示您可以使用 gcloud app browse 查看應用程式。

5. 請輸入以下指令：

gcloud app browse

6. 點選顯示的連結，即可在新分頁中開啟；也可以視需要將連結複製到手動開啟的新分頁。由於是首次執行這個應用程式，啟動雲端執行個體時需要幾秒鐘時間才會顯示，接著您應該會看到以下視窗。

您可以在任何連線至網際網路的電腦上開啟同一個網址，查看該網頁。存取權尚未受到限制。

點選「Check my progress」，確認目標已達成。 部署 App Engine 應用程式

使用 IAP 限制存取權

1. 在 Cloud 控制台視窗中，依序點按「導覽選單」圖示 >「安全性」>「Identity-Aware Proxy」。

2. 點按「啟用 API」。

3. 點按「前往 Identity-Aware Proxy」。

4. 請前往 OAuth 同意畫面，為您的專案進行設定。

5. 點按「開始」。

6. 「應用程式名稱」請輸入 IAP Example。

7. 依序點選「使用者支援電子郵件」、學員的電子郵件和「下一步」。

8. 「目標對象」請選取「內部」，然後點選「下一步」。

   有專案存取權的使用者應能登入應用程式。

9. 在實驗室操作說明的左側面板上，複製使用者名稱。

10. 在「聯絡資訊」貼上複製的使用者名稱。

11. 點選「下一步」。

12. 選取核取方塊，表示同意使用者資料政策，然後依序點選「繼續」和「建立」。

    同意畫面現已設定完畢。

13. 在 Cloud Shell 執行下列指令來停用 Flex API：

gcloud services disable appengineflex.googleapis.com 注意： App Engine 有標準和彈性環境，可為不同的應用程式架構進行最佳化處理。目前，在替 App Engine 啟用 IAP 時，如果啟用了 Flex API，Google Cloud 便會搜尋 Flex 服務帳戶。為了便於作業，您的實驗室專案提供了多個已啟用的 API。然而，這會導致一種特殊情況，也就是啟用了 Flex API 卻沒有建立服務帳戶。

14. 返回 Identity-Aware Proxy 頁面並重新整理。接著，畫面上會列出您可以保護的資源。

按一下「App Engine 應用程式」列中 IAP 欄的切換鈕，即可啟用「IAP」。

15. 網域將受到 IAP 保護。按一下「啟用」。

測試 IAP 是否已啟用

1. 開啟瀏覽器分頁並前往應用程式的網址。隨即會顯示「使用 Google 帳戶登入」畫面，您必須登入才能存取應用程式。

2. 使用您登入控制台的帳戶登入。畫面會顯示「拒絕存取」。

您已成功使用 IAP 保護應用程式，但尚未指示 IAP 哪些帳戶有存取權。

3. 返回控制台的 Identity-Aware Proxy 頁面，選取「App Engine 應用程式」旁的核取方塊，然後查看右側的 App Enginethe 側欄。

取得存取權的每個電子郵件地址 (或 Google 網路論壇電子郵件地址/Workspace 網域名稱) 都必須新增為成員。

4. 按一下「新增主體」。

5. 輸入「學生」的電子郵件地址。

6. 接著依序選取「Cloud IAP」>「受 IAP 保護的網頁應用程式使用者」角色，指派給該電子郵件地址。

您可以用相同方式輸入多個電子郵件地址或 Workspace 網域。

7. 按一下「儲存」。

系統隨即會在視窗底部顯示「已更新政策」訊息。

點選「Check my progress」，確認目標已達成。 啟用並為 IAP 新增政策

測試存取權

返回應用程式，然後重新載入頁面。您已使用授權的使用者登入，因此現在應該會看到網頁應用程式。

如果還是看到「您沒有存取權」頁面，表示 IAP 尚未重新確認您的授權。在這種情況下，請執行下列步驟：

1. 開啟網路瀏覽器前往首頁網址，並在網址結尾加上 /_gcp_iap/clear_login_cookie，例如：https://iap-example-999999.appspot.com/_gcp_iap/clear_login_cookie。
2. 您會看到新的「使用 Google 帳戶登入」畫面，當中顯示您的帳戶。請不要點選該帳戶，而是點選「使用其他帳戶」，然後重新輸入憑證。

注意： 角色變更需要一分鐘才會生效。如果在完成上述步驟後，頁面仍顯示「您沒有存取權」訊息，請稍後再重新整理頁面。

這些步驟會使 IAP 重新確認存取權限，您現在應該可以看到應用程式的主畫面。

如果您可以存取另一個瀏覽器或在瀏覽器中使用無痕模式，並且有其他有效的 Gmail 或 Workspace 帳戶，則可透過該瀏覽器前往應用程式頁面，然後用其他帳戶登入。由於該帳戶尚未獲得授權，因此會顯示「您沒有存取權」畫面，而不是應用程式頁面。

工作 2：存取使用者身分資訊

應用程式受到 IAP 保護後，就能使用 IAP 在網頁要求標頭中提供的身分資訊。在這個步驟中，應用程式將取得已登入使用者的電子郵件地址，以及 Google Identity 服務指派給該使用者的永久專屬使用者 ID。系統會在歡迎頁面向使用者顯示這項資料。

• 在 Cloud Shell 中，切換至以下步驟的資料夾：

cd ~/user-authentication-with-iap/2-HelloUser

部署至 App Engine

1. 將 Python 執行階段更新至 python313。

sed -i 's/python37/python313/g' app.yaml

2. 部署作業需要幾分鐘的時間，因此請先將應用程式部署至 Python 適用的 App Engine 標準環境：

gcloud app deploy

3. 當系統詢問是否要繼續時，請輸入「Y」表示同意。

部署作業應該會在幾分鐘內完成。等待過程中，您可以按照下方說明檢查應用程式檔案。

點選「Check my progress」，確認目標已達成。 存取使用者身分資訊

檢查應用程式檔案

這個資料夾包含與先前部署的應用程式 1-HelloWorld 相同的一組檔案，但其中兩個檔案已變更：main.py 和 templates/index.html。該程式已改為檢索 IAP 在要求標頭中提供的使用者資訊，且範本現在也會顯示該項資料。

在 main.py 中，有兩行程式碼可取得 IAP 提供的身分資料：

user_email = request.headers.get('X-Goog-Authenticated-User-Email') user_id = request.headers.get('X-Goog-Authenticated-User-ID')

X-Goog-Authenticated-User- 標頭是由 IAP 提供，名稱不區分大小寫，因此可依需求採用全部小寫或全部大寫。render_template 語句現在包含這些值，因此可以顯示：

page = render_template('index.html', email=user_email, id=user_id)

index.html 範本可以將名稱加上雙大括號來顯示這些值：

Hello, {{ email }}! Your persistent ID is {{ id }}.

如您所見，提供的資料包含 accounts.google.com 前置字串，顯示資訊來源。應用程式可視需要移除包括半形冒號在內的所有內容，以取得原始值。

測試更新後的 IAP

部署作業準備就緒後，系統會顯示訊息，指示您可以使用 gcloud app browse 查看應用程式。

1. 請輸入以下指令：

gcloud app browse

2. 如果瀏覽器未開啟新分頁，請將顯示的連結複製到新分頁正常開啟。您應該會看到類似以下頁面：

系統可能需要幾分鐘，才能將先前的應用程式版本替換為新版本。請視需要重新整理頁面，以查看類似上述內容的頁面。

停用 IAP

如果停用或以某種方式 (例如透過同一個雲端專案中執行的其他應用程式) 略過 IAP，會對應用程式有什麼影響？停用 IAP 以查看後續影響。

1. 在 Cloud 控制台視窗中，依序點選「導覽選單」>「安全性」>「Identity-Aware Proxy」。
2. 點選 App Engine 應用程式旁的「IAP」切換開關，即可停用「IAP」。按一下「停用」。

系統會提醒您，停用 IAP 後所有使用者都可以存取該應用程式。

3. 重新整理應用程式網頁您應該會看到相同的頁面，但沒有顯示任何使用者資訊：

應用程式目前未受到保護，因此使用者可以發送看似透過 IAP 傳送的網頁要求。舉例來說，您可以在 Cloud Shell 中執行下列 curl 指令，完成 (將 <your-url-here> 替換成應用程式正確網址) 這項操作：

curl -X GET <your-url-here> -H "X-Goog-Authenticated-User-Email: totally fake email"

網頁會顯示在指令列中，如下所示：

<!doctype html> <html> <head> <title>IAP Hello User</title> </head> <body> <h1>Hello World</h1> <p> Hello, totally fake email! Your persistent ID is None. </p> <p> This is step 2 of the User Authentication with IAP</em> codelab. </p> </body> </html>

應用程式無法知道 IAP 是否遭到停用或略過。因此，針對可能存在潛在風險的情況，加密編譯驗證提供了解決方案。

工作 3：採用加密編譯驗證

如果 IAP 可能遭到停用或略過，您的應用程式可確認收到的身分資訊是否有效。方法是使用 IAP 新增的第三個網頁要求標頭，名稱為 X-Goog-IAP-JWT-Assertion。該標頭的值是以加密編譯方式簽署的物件，也包含使用者身分資料。應用程式可驗證數位簽章，並使用該物件中提供的資料確保這個簽章是出自 IAP，未經修改。

數位簽章驗證需要幾個額外的步驟，例如檢索最新的 Google 公開金鑰。您可以根據使用者可能停用或略過 IAP 的可能性，以及應用程式的敏感度，決定應用程式是否需要這些額外步驟。

• 在 Cloud Shell 中，切換至以下步驟的資料夾：

cd ~/user-authentication-with-iap/3-HelloVerifiedUser

部署至 App Engine

1. 將 Python 執行階段更新至 python313。

sed -i 's/python37/python313/g' app.yaml

2. 將應用程式部署至 Python 適用的 App Engine 標準環境：

gcloud app deploy

3. 當系統詢問是否要繼續時，請輸入「Y」表示同意。

部署作業應該會在幾分鐘內完成。等待過程中，您可以按照下方說明檢查應用程式檔案。

點選「Check my progress」，確認目標已達成。 採用加密編譯驗證

檢查應用程式檔案

這個資料夾包含與 2-HelloUser 相同的一組檔案，其中有兩個已變更的檔案和一個新檔案。新檔案是 auth.py，提供 user() 方法來檢索並驗證以加密編譯方式簽署的身分資訊。已變更的檔案是 main.py 和 templates/index.html，這兩個檔案目前採用上述方法得出的結果。此外，系統也會顯示在上次部署作業中發現的未驗證標頭，進行比較。

• 新功能主要位於 user() 函數中：

def user(): assertion = request.headers.get('X-Goog-IAP-JWT-Assertion') if assertion is None: return None, None info = jwt.decode( assertion, keys(), algorithms=['ES256'], audience=audience() ) return info['email'], info['sub']

assertion 是指特定要求標頭中提供的以加密編譯方式簽署的資料。該程式碼會使用程式庫驗證並解碼該資料。驗證作業採用 Google 提供的公開金鑰檢查相關簽署資料，並瞭解資料目標對象 (基本上是指受到保護的 Google Cloud 專案)。輔助函式 keys() 和 audience() 會收集並傳回這些值。

簽署物件包含我們需要的兩種資料：經過驗證的電子郵件地址和專屬 ID 值 (以 sub 列出，表示訂閱者，位於標準欄位)。

這樣步驟 3 就完成了。

測試加密編譯驗證

部署作業準備就緒後，系統會顯示訊息，指示您可以使用 gcloud app browse 查看應用程式。

• 請輸入以下指令：

gcloud app browse

如果瀏覽器未開啟新分頁，請將顯示的連結複製到新分頁正常開啟。

提醒您，先前您已停用 IAP，因此應用程式不會提供 IAP 資料。您應該會看到類似以下頁面：

如同之前的情況，系統可能需要幾分鐘才能將最新版本上線，屆時才能看到新版頁面。

IAP 已停用，因此沒有提供使用者資訊。現在重新啟用 IAP。

1. 在 Cloud 控制台視窗中，依序點選「導覽選單」>「安全性」>「Identity-Aware Proxy」。

2. 點選 App Engine 應用程式旁的「IAP」切換開關，即可重新啟用 IAP。按一下「啟用」。

3. 重新整理頁面。頁面應如下所示：

請注意，經驗證方法提供的電子郵件地址不含 accounts.google.com: 前置字串。

如果停用或略過 IAP，經過驗證的資料會遺失或失效，原因是不具備有效簽章，除非是由 Google 私密金鑰持有者所建立的資料。

恭喜！

您部署了 App Engine 網頁應用程式。首先，您將應用程式存取權授予選定的使用者。接著，您檢索並顯示 IAP 允許應用程式存取權的使用者身分，也瞭解若停用或略過 IAP，該資訊可能會如何遭到冒用。最後，您驗證以加密編碼方式簽署的使用者身分斷言，這類斷言無法假冒。

後續步驟/瞭解詳情

• 進一步瞭解 Cloud Identity-Aware Proxy。
• 查看其他 Google 安全防護產品。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2025 年 10 月 16 日

實驗室上次測試日期：2025 年 10 月 16 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。